JoPa.Fr » Firewall

Openwrt, Openvpn et Firewall…

Jopa — Mon, 03 Nov 2008 00:01:55 +0000

Les dernières versions d’Openwrt (développement) intègrent un système de configuration plus homogène. L’ensemble de la configuration des services est placée dans le répertoire /etc/config, au même titre que le paramétrage des interfaces réseaux et wifi. La syntaxe diffère un peu de ce que nous pouvions avoir vu jusque là et mérite que nous y regardions de plus près.

La suite de l’article va présenter la configuration d’un client Openvpn et la mise en place de quelques règles de firewall entre le lan, Internet et ce vpn.

Openvpn

L’installation ne pose pas de problème particulier, il faut quand même penser que l’outil de gestion des paquets est maintenant opkg et non plus ipkg !

opkg install openvpn

Comme précisé en introduction, le fichier de configuration est maintenant /etc/config/openvpn.

Le fichier founit par le paquet contient deux exemples de configurations bien commentés (serveur ou client). L’exemple ci-dessous concerne un client.

^?View Code INI

package openvpn                                                                                                                                              
 
config openvpn linet.jopa                                                                                                                                    
 
    # Activer le VPN
    option enable 1                                                                                                                                      
 
    # Mode Client
    option client 1                                                                                                                                      
 
    # Type d'interface (tap ou tun)
    option dev tun                                                                                                                                       
 
    # Protocole (tcp ou udp)
    option proto udp                                                                                                                                     
 
    # Adresse et port du serveur
    # Plusieurs lignes possible pour effectuer du load balancing
    # XX.XX.XX.XX est à remplacer par l'IP publique du serveur VPN
    list remote "XX.XX.XX.XX 1194"                                                                                                                      
 
    # Définition de la liaison point à point
    # N'est pas utilse si un pool d'adresses est defini sur le serveur
    option ifconfig "10.8.1.1 10.8.1.2"                                                                                                        
 
    # Essayer de résoudre l'adresse du serveur indéfiniment
    option resolv_retry infinite                                                                                                                         
 
    # Inutile d'attacher un port specifique au client
    option nobind 1                                                                                                                                      
 
    # Essayer de conserver certains états au redémarrage
    option persist_key 1
    option persist_tun 1                              
 
    # Chemin des clés et certificats SSL/TLS
    option ca /etc/openvpn/ca.crt
    option cert /etc/openvpn/linet.jopa.crt
    option key /etc/openvpn/linet.jopa.key                                                                                                               
 
    # Activer le compression lzo
    option comp_lzo 1                                                                                                                                    
 
    # Niveaux de Logs
    option verb 3

La configuration du client VPN est terminée…
Pour complément d’informations, vous trouverez ci-dessous la configuration du serveur VPN correspondant. (Openvpn sur serveur Debian Etch). Le site « Coagul » propose un tutoriel complet sur la mise en place d’une architecture Openvpn (SSL/TLS).

^?View Code INI

# Serveur OpenVPN - Liaison avec Fonera/Openwrt Maison
 
# Protocole / Interface / Port
proto udp
dev tun
port 1194
 
# Certificats 
 
ca ca.crt
cert vpnserver.crt
key vpnserver.key
dh dh2048.pem
 
# Serveur (SSL/TLS)
tls-server
 
# Configuration statique des adresses Ptp
ifconfig 10.8.1.2 10.8.1.1
 
# Adresse publique locale à utiliser
local XX.XX.XX.XX
 
# Keepalive
keepalive 10 90
 
# Compression LZO
comp-lzo
 
# Utilisateur et groupe du démon openvpn
user nobody
group nogroup
 
# Conserver l'état des clés et de l'interface au redémarrage
persist-key
persist-tun
 
# Fichier de status
status openvpnlinet-status.log
 
# Création d'une route sur le serveur
route 192.168.7.0 255.255.255.0
 
# Ajout de routes sur le client
push "route 192.168.70.0 255.255.255.0"
push "route 192.168.72.0 255.255.255.0"

Firewall

Nous disposons maintenant d’un routeur/firewall OpenWrt à trois pattes :

LAN : bridge entre l’interface ethernet connectée au réseau privé et l’interface wifi,
WAN : Interface ethernet publique,
VPN : Interface virtuelle pour le vpn.

Il nous faut avant tout déclarer l’interface tun0 dans la configuration réseau pour pouvoir ensuite l’affecter à une zone du firewall. Celle-ci sera déclarée sur un réseau que nous appellerons arbitrairement « vpn« .

/etc/config/network

^?View Code INI

config 'interface' 'loopback'
        option 'ifname' 'lo'
        option 'proto' 'static'
        option 'ipaddr' '127.0.0.1'
        option 'netmask' '255.0.0.0'
 
config 'interface' 'lan'
        option 'type' 'bridge'
        option 'proto' 'static'
        option 'ipaddr' '192.168.7.253'
        option 'netmask' '255.255.255.0'
        option 'ifname' 'eth0.0'
        option 'dns' '192.168.7.2'
 
config 'interface' 'wan'
        option 'ifname' 'eth0.1'
        option 'proto' 'dhcp'
 
config 'interface' 'vpn'
        option 'ifname' 'tun0'
        option 'network' 'vpn'
        option 'proto' 'none'

Définition de la politique par défaut

Nous pouvons dès à présent attaquer la configuration du Firewall. Pour une utilisation à domicile, nous allons opter pour une politique assez ouverte (pas trop quand même !).

Seul le trafic du lan vers le routeur et du routeur vers Internet est ouvert.

Si nous avions appliqué une politique plus sévère, nous aurions tout vérouillé à ce stade, pour gérer ensuite les autorisations au cas par cas en fonction du type flux.

/etc/config/firewall

config 'defaults'
        option 'syn_flood' '1'
        option 'input' 'REJECT'
        option 'output' 'REJECT'
        option 'forward' 'REJECT'                                                                    

config 'zone'
        option 'name' 'lan'
        option 'input' 'ACCEPT'
        option 'output' 'REJECT'
        option 'forward' 'REJECT'                                                                    

config 'zone'
        option 'name' 'vpn'
        option 'input' 'REJECT'
        option 'output' 'REJECT'
        option 'forward' 'REJECT'                                                                                                                                 

config 'zone'
        option 'name' 'wan'
        option 'input' 'REJECT'
        option 'forward' 'REJECT'
        option 'output' 'ACCEPT
        option 'masq' '1'

La dernière option (masq) permet biensûr d’activer le masquerading pour internet.

Quelques ouvertures

Au delà de ce paramétrage par défaut, nous avons besoins d’être un peu plus permissifs, histoire de rendre la connexion internet utilisable !

Comme nous somme à la maison, nous allons nous permettre d’ouvrir le trafic provenant du lan et à destination du vpn ou d’Internet.

^?View Code INI

config 'forwarding'
        option 'src' 'lan'
        option 'dest' 'wan'                                                                        
 
config 'forwarding'
        option 'src' 'lan'
        option 'dest' 'vpn'

Nous allons ensuite autoriser ssh et le ping depuis le vpn vers le lan… Puis soyons fous, nous allons aussi permettre le ping du routeur depuis Internet.

^?View Code INI

config 'rule'
        option '_name' 'Ssh depuis VPN'
        option 'src' 'vpn'
        option 'dest' 'lan'
        option 'proto' 'tcp'
        option 'dest_port' '22'
        option 'target' 'ACCEPT'
 
config 'rule'
        option '_name' 'Ping depuis VPN'
        option 'src' 'vpn'
        option 'dest' 'lan'
        option 'proto' 'icmp'
        option 'target' 'ACCEPT'  
 
config 'rule'
        option '_name' 'Ping depuis Internet'
        option 'src' 'wan'
        option 'proto' 'icmp'
        option 'target' 'ACCEPT'

Pour finir, nous pouvons rendre accessible depuis Internet le serveur web d’une machine située sur le Lan. ( Ceci est un exemple, dans la pratique, une dmz ne serait pas du luxe !).

^?View Code INI

config 'redirect'
        option '_name' 'Http vers web perso'
        option 'src' 'wan'
        option 'proto' 'tcp'
        option 'src_dport' '22'
        option 'dest_ip' '192.168.7.2'
        option 'dest_port' '22'

Bases d’un firewall sur serveur dédié avec Netfilter (iptables)

Jopa — Fri, 26 Sep 2008 00:14:17 +0000

Notre serveur dédié se sent un peu nu sur Internet et pour cause : il n’est doté d’aucun filtrage IP. Il faudrait rapidement lui injecter, à l’aide d’iptables, quelques règles netfilter afin de le protéger un minimum.

Nous allons créer un script contenant les règles à mettre en place. Ce script sera lancé au démarrage du serveur.

Initialisation

La toute première étape va consister à vider les tables :

# RAZ DES TABLES
iptables -t filter -F
iptables -t filter -X
 .

Les connexions existantes ne doivent pas être cassées… C’est utile sur un serveur dédié, pour ne pas perdre la main.

# Ne pas casser les connexions établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 .

Comme toujours quand on parle de sécurité, nous allons commencer par tout interdire. Aucun paquet, qu’il soit entrant, sortant ou routé par le serveur ne doit passer.

# Interdire tous les paquets...tous...
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
 .

A nous maintenant d’autoriser le trafic nécessaire… Et seulement le trafic nécessaire. Nous allons, dans l’ordre, étudier les connexions entrante, sortantes et éventuellement celles susceptibles d’ être routées par la machine; C’est relativement rare pour un serveur dédié, mais possible, dans le cas de VPN par exemple.

Règles pour les paquets entrants

Quels services sont fournis par le serveur ?

Un serveur WEB,

# HTTP
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
.

Un serveur VPN (OpenVPN) pour un client dont l’adresse IP est XXX.XXX.XXX.XXX,

# OpenVPN
iptables -t filter -A INPUT -p udp --dport 1194 -s XXX.XXX.XXX.XXX -j ACCEPT
.

Un serveur de mails,

# SMTP
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
.

Les boites mails sont accessibles en POP et IMAP, mais depuis le VPN uniquement,

# POP3
iptables -t filter -A INPUT  -i tun+ -p tcp --dport 110 -j ACCEPT
# IMAP
iptables -t filter -A INPUT -i tun+ -p tcp --dport 143 -j ACCEPT
.

De même, un serveur DNS est disponible pour les machines du vpn,

# DNS en Entrée
iptables -t filter -A INPUT -i tun+ -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -i tun+ -p udp --dport 53 -j ACCEPT
.

Pour être conforme au RFC, le serveur répond aux requêtes ICMP (ping),

# ICMP
iptables -t filter -A INPUT -p icmp -j ACCEPT
.

N’oublions pas SSH… Ca peut toujours servir,

# SSH
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
.

Enfin, aucune restriction n’est appliquée pour l’interface Loopback (Localhost)

# LOOPBACK
iptables -t filter -A INPUT -i lo -j ACCEPT
.

Règles pour les paquets sortants

Quels services sont nécessaires au serveur ?

Le serveur doit pouvoir envoyer des requêtes DNS,

# DNS
iptables -t filter -A OUTPUT  -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT  -p udp --dport 53 -j ACCEPT
.

Disposer d’un accès HTTP ( utile pour les mises à jour ),

# HTTP
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
.

Ssh est autorisé en sortie,

# SSH
iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT
.

Envoyer des mails,

# SMTP
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
.

Récupérer des mails sur un compte POP3 par l’intermédiaire de fetchmail,

# POP3
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
.

Pinguer (ben tiens !),

# ICMP
iptables -t filter -A OUTPUT -t icmp -j ACCEPT
.

Etablir une connexion OpenVPN vers un autre serveur dont l’adresse IP est YYY.YYY.YYY.YYY : Ce serveur interconnecte un VPN dont il est le serveur avec un VPN dont il est client,

# VPN
iptables -t filter -A OUTPUT -p udp --dport 1194 -d YYY.YYY.YYY.YYY -j ACCEPT
.

Enfin, aucune restriction sur l’interface loopback,

# LOOPBACK
iptables -t filter -A OUTPUT -o lo -j ACCEPT
.

Règle pour les paquets traversants (routés)

Ce serveur interconnecte deux VPN, on ne souhaite pas filter le trafic d’un VPN vers l’autre,

# VPN2VPN
iptables -t filter -A FORWARD -i tun+ -o tun+ -j ACCEPT

.

Syn flood, spoofing et compagnie…

Pour finir, ajoutons quelques règles pour limiter tout ça, quelques traces dans les logs et le tour sera joué…

Limitation du syn flood

# Syn Flood
iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp  -m limit --limit 1/second -j ACCEPT
.

« Anti-spoofing »

# Spoofing
iptables -N SPOOFED
iptables -A SPOOFED -s 127.0.0.0/8 -j DROP
iptables -A SPOOFED -s 169.254.0.0/12 -j DROP
iptables -A SPOOFED -s 172.16.0.0/12 -j DROP
iptables -A SPOOFED -s 192.168.0.0/16 -j DROP
iptables -A SPOOFED -s 10.0.0.0/8 -j DROP
.

Log des paquets rejetés dans syslog

# LOG des paquets rejetés
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP]:'
iptables -A LOG_DROP -j DROP
iptables -t filter -A INPUT -j LOG_DROP
iptables -t filter -A OUTPUT -j LOG_DROP
iptables -t filter -A FORWARD -j LOG_DROP
.

Voilà, ce n’est pas trop mal pour un début ; ) Ci-dessous, le script « recollé » :

^?View Code BASH

##########
## INIT ##
##########
 
# RAZ DES TABLES
iptables -t filter -F
iptables -t filter -X
 
# Ne pas casser les connexions établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# Interdire tous les paquets...tous...
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
 
###########
## INPUT ##
###########
# HTTP
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
# OpenVPN
iptables -t filter -A INPUT -p udp --dport 1194 -s XXX.XXX.XXX.XXX -j ACCEPT
# SMTP
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
# POP3
iptables -t filter -A INPUT  -i tun+ -p tcp --dport 110 -j ACCEPT
# IMAP
iptables -t filter -A INPUT -i tun+ -p tcp --dport 143 -j ACCEPT
# DNS en Entrée
iptables -t filter -A INPUT -i tun+ -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -i tun+ -p udp --dport 53 -j ACCEPT
# ICMP
iptables -t filter -A INPUT -p icmp -j ACCEPT
# SSH
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
# LOOPBACK
iptables -t filter -A INPUT -i lo -j ACCEPT
 
############
## OUTPUT ##
############
# DNS
iptables -t filter -A OUTPUT  -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT  -p udp --dport 53 -j ACCEPT
# HTTP
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
# SSH
iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT
# SMTP
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
# POP3
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
# ICMP
iptables -t filter -A OUTPUT -t icmp -j ACCEPT
# VPN
iptables -t filter -A OUTPUT -p udp --dport 1194 -d YYY.YYY.YYY.YYY -j ACCEPT
# LOOPBACK
iptables -t filter -A OUTPUT -o lo -j ACCEPT
 
###############
## FORWARD ##
###############
# VPN2VPN
iptables -t filter -A FORWARD -i tun+ -o tun+ -j ACCEPT
 
###############
## FINITIONS ##
###############
# Syn Flood
iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp  -m limit --limit 1/second -j ACCEPT
 
# Spoofing
iptables -N SPOOFED
iptables -A SPOOFED -s 127.0.0.0/8 -j DROP
iptables -A SPOOFED -s 169.254.0.0/12 -j DROP
iptables -A SPOOFED -s 172.16.0.0/12 -j DROP
iptables -A SPOOFED -s 192.168.0.0/16 -j DROP
iptables -A SPOOFED -s 10.0.0.0/8 -j DROP
 
# LOG des paquets rejetés
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP]:'
iptables -A LOG_DROP -j DROP
iptables -t filter -A INPUT -j LOG_DROP
iptables -t filter -A OUTPUT -j LOG_DROP
iptables -t filter -A FORWARD -j LOG_DROP