Perguntas[firewall](server)

Quero executar uma VM que hospeda um servidor TFTP (porta 69) no ESXi8. O ESXi não tem uma regra de firewall padrão para cobrir isso, e adicionar uma nova regra personalizada aparentemente não é suportado no nível do usuário final. Estou bem com "sem suporte" e quero adicionar minha regra personalizada.

O Google sugere que um arquivo xml colocado em /etc/vmare/firewallcostumava ser o caminho (em versões anteriores do ESXi). Então, eu criei my-custom-firewall.xml, mas não consigo fazer funcionar. O arquivo desaparece na reinicialização. Alguma dica?

<?xml version="1.0" encoding="UTF-8"?>
<ConfigRoot>
   <service id="0001">
     <id>daemon-tftpd</id>
     <rule id="0000">
        <direction>inbound</direction>
        <protocol>tcp</protocol>
        <porttype>dst</porttype>
        <port>69</port>
     </rule>
     <enabled>true</enabled>
     <required>false</required>
   </service>
</ConfigRoot>

Estou usando o túnel StrongSwan para Mikrotik IKEv2. Gostaria de saber se é possível descobrir o que vem do túnel ipsec do lado do Mikrotik?

O problema é que tenho um host na minha rede local que está atrás de um firewall cuja configuração é proibida. Este firewall permitirá apenas conexões da mesma sub-rede (digamos 192.168.10.X), mas o que vem do túnel é originado em 100.64.10.1, que é rejeitado pelo host mencionado acima.

O que também vale ressaltar é que do lado do Mikrotik tenho um IP 100.64.10.2 criado pela configuração ipsec do Swan.

Já tentei uma abordagem direta criando uma regra NAT no Mikrotik, mas ela está sendo ignorada (pelo que entendi devido às regras notrack geradas pelo ipsec). Também estive pesquisando em RAW e MANGLE (que estão realmente funcionando) por uma solução alternativa, mas ainda assim o netstat em um host fictício mostrará 100.64.10.1 para IP de entrada.

Por favor ajude :D

Fragmento ipsec.conf:

conn arterial
    [email protected]
    left=%any
    leftcert=scert.pem
    lefthostaccess=yes
    leftid=XXX.XXX.XXX.XXX (public IP)
    leftsendcert=always
    leftsubnet=100.64.10.0/28
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightdns=8.8.8.8,8.8.4.4
    rightsendcert=never
    rightsourceip=100.64.0.2
    rightsubnet=192.168.10.0/16

conn roadwar
    also=arterial
    [email protected]
    rightsourceip=100.64.10.3-100.64.10.15
    rightsubnet=100.64.10.0/28

fragmento de iptables:

iptables -t nat -A POSTROUTING -s 192.168.10.0/16 -o enpXsY -m policy --pol ipsec --dir out -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.10.0/16 -o enpXsY -j MASQUERADE

Identidades no Mikrotik:

Tenho dois servidores com versões diferentes de RHEL e firewalld. Ambos são configurados da mesma forma, mas se comportam de maneira diferente quando adiciono um IP de origem a uma zona.

Servidor A:

# cat /etc/redhat-release
Red Hat Enterprise Linux Server release 7.9 (Maipo)
# firewall-cmd --version
0.6.3

Servidor B:

# cat /etc/redhat-release
Red Hat Enterprise Linux release 9.3 (Plow)
# firewall-cmd --version
1.2.5

Ambos os servidores têm uma configuração de firewalld muito básica e posso fazer ssh em ambos (observe a inclusão do serviço ssh em ambas as configurações):

A:

# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens32
  sources:
  services: dhcpv6-client mysql ssh
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

B:

# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eno8303
  sources:
  services: cockpit dhcpv6-client ssh
  ports:
  protocols:
  forward: yes
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

Os servidores irão hospedar um banco de dados MariaDB, então preciso garantir que a porta 3306 seja permitida. Sem outras alterações, executo os seguintes comandos que (por experiência própria) permitem o tráfego da porta 3306 do endereço IP específico 192.168.1.2:

# firewall-cmd --new-zone=test --permanent
success
# firewall-cmd --zone=test --add-source=192.168.1.2 --permanent
success
# firewall-cmd --zone=test --add-port=3306/tcp --permanent
success
# firewall-cmd --reload

Depois de executar esses comandos, ainda posso fazer SSH no Servidor A a partir do endereço IP 192.168.1.2, mas não consigo fazer SSH no Servidor B. Posso, no entanto, fazer SSH no Servidor B a partir de outras máquinas. De 192.168.1.2 para o Server BI, obtenha:

# ssh ServerB
ssh: connect to host ServerB port 22: No route to host

Se eu criar a zona sem a --add-sourceopção, o SSH funcionará bem, então parece que esta opção tem um comportamento diferente no servidor mais recente. Isso está correto? Não consigo encontrar nenhum outro motivo para isso não funcionar.

tldr; bridge (veja abaixo) não funciona se houver uma queda correspondente em outra tabela (como as regras padrão do firewalld).

Olá,
estou construindo minha própria biblioteca de VM (uma espécie de quickemu ).
Tenho um problema com as regras de firewall para ponte. Comecei com iptables-nft e funcionou bem até testar meus scripts no fedora. Não importa o que eu faça, o firewalld bloqueia tudo. Então optei pelo nftables para tentar ignorar as regras do firewalld diretamente, mas mesmo assim não consigo encontrar uma maneira de fazê-lo funcionar sem excluir as regras do firewalld.

Pelo que entendi, a prioridade afeta apenas a ordem em que as regras são testadas, se houver drop, mesmo no final o pacote é descartado?

Existe uma maneira de contornar esse comportamento que eu não conheço? Tentei pesquisar as marcas, mas não tenho certeza se é a solução certa.

Aqui estão as regras que uso para a ponte (funciona perfeitamente se não houver outra tabela no conjunto de regras):

#!/usr/bin/nft -f
# vim:set ts=2 sw=2 et:

table ip QEMU
delete table ip QEMU
table ip QEMU {
  chain input {
    type filter hook input priority filter - 1;

    ct state {established,related} iifname "virbr0" counter accept
  }

  chain forward {
    type filter hook forward priority filter - 1;

    ct state {established,related} iifname "virbr0" counter accept
  }

  chain postrouting {
    type nat hook postrouting priority srcnat;

    iifname "virbr0" counter masquerade
  }
}

Estou tentando configurar um servidor OpenVPN em um VPS executando o Fedora Server 35. Configurei a VPN e estou funcionando, mas estou tendo problemas com a configuração do firewall.

Esta é minha primeira experiência administrando um firewall, e também não sou nativo de Linux, mas estou tentando aprender. Segui um guia para uma instância do CentOS, mas como o CentOS não existe mais, optei por uma imagem do Fedora no Contabo.

O guia baseou-se no firewalld, e como já estava instalado e parcialmente configurado no meu VPS, fiz o mesmo. Eu sei que esse firewalldé o problema porque quando eu o desligo, o cliente VPN se conecta sem problemas.

Existem 2 zonas ativas configuradas FedoraServere trusted. A FedoraServerzona veio pré-configurada com a imagem VPS e foi configurada como zona padrão. Usei os seguintes comandos para alterar a configuração conforme o guia:

firewall-cmd --zone=trusted --add-service openvpn
firewall-cmd --zone=trusted --add-service openvpn --permanent
firewall-cmd --add-masquerade
firewall-cmd --add-masquerade --permanent
VAR=$(ip route get 1.1.1.1 | awk 'NR==1 {print $(NF-2)}')
firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A POSTROUTING -s 10.8.0.0/24 -o $VAR -j MASQUERADE
firewall-cmd --reload

As informações da zona atual são as seguintes:

[~]# firewall-cmd --info-zone=FedoraServer
FedoraServer (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources: 
  services: cockpit dhcpv6-client ssh
  ports: 
  protocols: 
  forward: no
  masquerade: yes
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
[~]# firewall-cmd --info-zone=trusted
trusted (active)
  target: ACCEPT
  icmp-block-inversion: no
  interfaces: tun0
  sources: 
  services: openvpn
  ports: 
  protocols: 
  forward: yes
  masquerade: yes
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

A ressalva interessante é que quando eu defino trustedcomo zona padrão, consigo me conectar à VPN em firewalldexecução, com o NAT funcionando e com acesso à Internet.

Agora, você poderia dizer problema resolvido. Mas devido à minha falta de conhecimento, estou preocupado em estar deixando uma falha na segurança porque a trustedzona usa target: ACCEPT.

Eu li inúmeros tópicos no StackExchange, nos fóruns do Fedora e nos fóruns do OpenVPN, bem como firewallddocumentos sem nenhum resultado. Sinto que estou perdendo o conhecimento básico de rede para descobrir isso e não sei mais o que procurar.

Qualquer ajuda, dicas ou orientações serão apreciadas!

Eu tenho duas sub-redes

• R: 192.168.2.0/24. Dentro de A temos um firewall e uma conexão com a internet.
• B: 172.16.12.0/24.

Eles estão conectados entre si por meio de um switch e ambas as sub-redes são configuradas como vlans. O switch possui, portanto, um endereço IP em ambas as sub-redes.

• Dentro de A eu tenho 192.168.2.226
• Dentro de B é 172.16.12.175

Agora tudo funciona bem se eu configurar as máquinas em A da seguinte forma:

• sudo ip route adicionar 172.16.12.0/24 via 192.168.2.226

e máquinas em B via

• sudo ip route adicionar 192.168.2.0/24 via 172.16.12.175

Hosts em B agora podem acessar hosts em A (assim como hosts da Internet).

Agora gostaria de remover a rota estática manual nos hosts em A. Em vez disso, gostaria de adicionar a rota de 192 a 172 por meio de uma regra no firewall, de modo que os hosts em A não precisem de configuração adicional. Para isso adicionei uma "IPv4-Unicast-Route" com o alvo 172.16.12.0/24 e o gateway 192.168.2.226. Agora, os hosts em A podem alcançar B:

> traceroute 172.16.12.4 /// running on 192.168.2.84
traceroute to 172.16.12.4 (172.16.12.4), 30 hops max, 60 byte packets
 1  _gateway (192.168.2.254)  0.199 ms  0.219 ms  0.243 ms
 2  192.168.2.226 (192.168.2.226)  1.579 ms  1.995 ms  2.429 ms
 3  172.16.12.4 (172.16.12.4)  1.064 ms  1.044 ms  1.026 ms

Mas os hosts em B não podem alcançar os hosts em A:

> traceroute 192.168.2.84 //// running on 172.16.12.4
traceroute to 192.168.2.84 (192.168.2.84), 30 hops max, 60 byte packets
 1  _gateway (172.16.12.175)  8.750 ms  9.058 ms  9.410 ms
 2  _gateway (172.16.12.175)  3.811 ms !H  4.551 ms !H  5.006 ms !H

(hosts em B ainda podem alcançar hosts da Internet como 8.8.8.8 ou hosts em A com uma rota IP manual ativa ( sudo ip route add 172.16.12.0/24 via 192.168.2.226))

Qual poderia ser o motivo disso/o que estou faltando em relação à configuração do firewall? Tentei adicionar regras de firewall, que permitem o acesso de 172 hosts a 192, mas não fez diferença.

Editar: devo acrescentar que o firewall tem o ip 192.168.2.254. Ele é roteado corretamente para 192.168.2.226, como pode ser visto no primeiro traceroute.

Rotas de switch Netgear conforme definido na imagem adicionada rotas de switch netgear

Estou configurando uma VLAN na nuvem onde vários servidores irão se conectar a um host remoto via VPN. A configuração é a seguinte:

           Their Host d.d.d.72
                     |
                     |
                     |
       Their VPN Public IP b.b.b.116
                     |
                     |
                  Internet
                     |
                     |
        Our VPN Public IP a.a.a.101
                     |
         Our VPN Local IP s.s.s.31
                     |
  Our VLAN ----------+-----------+-------------------+--------...--------+--
                                 |                   |                   |
                             s.s.s.111           s.s.s.112    ...    s.s.s.nnn
                                 |                   |                   |
                                UAT1                UAT2      ...       UATn

strongswané usado por Our VPNe o objetivo é permitir UAT1que UATnos hosts Our VLANse conectem Their Hostusando um soquete TCP bruto.

SYNos pacotes são enviados de UAT2e alcançam Their Hostquais respostas com SYN ACK. SYN ACKsão recebidos por Our VPNe encaminhados para UAT2. O PROBLEMA É que SYN ACKnão são recebidos por UAT2!

Aqui estão os logs do tcpdump UAT2:

root@uat2:~# tcpdump -ttnnvvS -i any host d.d.d.72
tcpdump: data link type LINUX_SLL2
tcpdump: listening on any, link-type LINUX_SLL2 (Linux cooked v2), snapshot length 262144 bytes
1687385350.426771 ens7  Out IP (tos 0x10, ttl 64, id 38370, offset 0, flags [DF], proto TCP (6), length 60)
    s.s.s.112.54838 > d.d.d.72.9990: Flags [S], cksum 0x324d (incorrect -> 0x3ba1), seq 4126082045, win 62720, options [mss 8960,sackOK,TS val 4002865714 ecr 0,nop,wscale 7], length 0
1687385351.445963 ens7  Out IP (tos 0x10, ttl 64, id 38371, offset 0, flags [DF], proto TCP (6), length 60)
    s.s.s.112.54838 > d.d.d.72.9990: Flags [S], cksum 0x324d (incorrect -> 0x37a6), seq 4126082045, win 62720, options [mss 8960,sackOK,TS val 4002866733 ecr 0,nop,wscale 7], length 0
1687385353.461982 ens7  Out IP (tos 0x10, ttl 64, id 38372, offset 0, flags [DF], proto TCP (6), length 60)
    s.s.s.112.54838 > d.d.d.72.9990: Flags [S], cksum 0x324d (incorrect -> 0x2fc6), seq 4126082045, win 62720, options [mss 8960,sackOK,TS val 4002868749 ecr 0,nop,wscale 7], length 0

Aqui estão os logs do tcpdump Our VPN:

root@vpn1:~# tcpdump -ttnnvvS -i any host d.d.d.72
tcpdump: data link type LINUX_SLL2
tcpdump: listening on any, link-type LINUX_SLL2 (Linux cooked v2), snapshot length 262144 bytes
1687385350.426647 ens4  In  IP (tos 0x10, ttl 64, id 38370, offset 0, flags [DF], proto TCP (6), length 60)
    s.s.s.112.54838 > d.d.d.72.9990: Flags [S], cksum 0x3ba1 (correct), seq 4126082045, win 62720, options [mss 8960,sackOK,TS val 4002865714 ecr 0,nop,wscale 7], length 0
1687385350.468411 ens3  In  IP (tos 0x0, ttl 57, id 11319, offset 0, flags [DF], proto TCP (6), length 60)
    d.d.d.72.9990 > s.s.s.112.54838: Flags [S.], cksum 0x94f0 (correct), seq 1695227873, ack 4126082046, win 65535, options [mss 1460,nop,wscale 2,nop,nop,TS val 1699598776 ecr 4002865714], length 0
1687385350.469803 ens4  Out IP (tos 0x0, ttl 56, id 11319, offset 0, flags [DF], proto TCP (6), length 60)
    d.d.d.72.9990 > s.s.s.112.54838: Flags [S.], cksum 0x94f0 (correct), seq 1695227873, ack 4126082046, win 65535, options [mss 1460,nop,wscale 2,nop,nop,TS val 1699598776 ecr 4002865714], length 0
1687385351.445122 ens4  In  IP (tos 0x10, ttl 64, id 38371, offset 0, flags [DF], proto TCP (6), length 60)
    s.s.s.112.54838 > d.d.d.72.9990: Flags [S], cksum 0x37a6 (correct), seq 4126082045, win 62720, options [mss 8960,sackOK,TS val 4002866733 ecr 0,nop,wscale 7], length 0
1687385351.484746 ens3  In  IP (tos 0x0, ttl 57, id 11635, offset 0, flags [DF], proto TCP (6), length 60)
    d.d.d.72.9990 > s.s.s.112.54838: Flags [S.], cksum 0x90f3 (correct), seq 1695227873, ack 4126082046, win 65535, options [mss 1460,nop,wscale 2,nop,nop,TS val 1699598778 ecr 4002866733], length 0
1687385351.484783 ens4  Out IP (tos 0x0, ttl 56, id 11635, offset 0, flags [DF], proto TCP (6), length 60)
    d.d.d.72.9990 > s.s.s.112.54838: Flags [S.], cksum 0x90f3 (correct), seq 1695227873, ack 4126082046, win 65535, options [mss 1460,nop,wscale 2,nop,nop,TS val 1699598778 ecr 4002866733], length 0
1687385353.461170 ens4  In  IP (tos 0x10, ttl 64, id 38372, offset 0, flags [DF], proto TCP (6), length 60)
    s.s.s.112.54838 > d.d.d.72.9990: Flags [S], cksum 0x2fc6 (correct), seq 4126082045, win 62720, options [mss 8960,sackOK,TS val 4002868749 ecr 0,nop,wscale 7], length 0
1687385354.421463 ens3  In  IP (tos 0x0, ttl 57, id 13219, offset 0, flags [DF], proto TCP (6), length 60)
    d.d.d.72.9990 > s.s.s.112.54838: Flags [S.], cksum 0x90ee (correct), seq 1695227873, ack 4126082046, win 65535, options [mss 1460,nop,wscale 2,nop,nop,TS val 1699598783 ecr 4002866733], length 0
1687385354.421495 ens4  Out IP (tos 0x0, ttl 56, id 13219, offset 0, flags [DF], proto TCP (6), length 60)
    d.d.d.72.9990 > s.s.s.112.54838: Flags [S.], cksum 0x90ee (correct), seq 1695227873, ack 4126082046, win 65535, options [mss 1460,nop,wscale 2,nop,nop,TS val 1699598783 ecr 4002866733], length 0
1687385359.466543 ens3  In  IP (tos 0x10, ttl 253, id 37551, offset 0, flags [DF], proto TCP (6), length 40)
    d.d.d.72.9990 > s.s.s.112.54838: Flags [R.], cksum 0x019a (correct), seq 1695227874, ack 4126082046, win 0, length 0
1687385359.466573 ens4  Out IP (tos 0x10, ttl 252, id 37551, offset 0, flags [DF], proto TCP (6), length 40)
    d.d.d.72.9990 > s.s.s.112.54838: Flags [R.], cksum 0x019a (correct), seq 1695227874, ack 4126082046, win 0, length 0

Como você pode ver:

• UAT2enviou SYNcomid 38370
• Esse pacote foi recebido por Our VPNquem o encaminhou paraTheir Host
• Their Hostrespondeu com SYN ACKcomid 11319
• Esse pacote foi recebido por Our VPNquem o encaminhou paraUAT2
• O PROBLEMA É: UAT2não recebiSYN ACK

Alguma ideia de como investigar esse problema?

Durante o teste acima:

• Our VPN, UAT1para UATntodas as Debian 11VMs na nuvem

• iptablesem UAT2estava vazio:

  root@uat2:~# iptables -L -v --line-numbers
  Chain INPUT (policy ACCEPT 65 packets, 26451 bytes)
  num   pkts bytes target     prot opt in     out     source               destination         
  
  Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
  num   pkts bytes target     prot opt in     out     source               destination         
  
  Chain OUTPUT (policy ACCEPT 64 packets, 26539 bytes)
  num   pkts bytes target     prot opt in     out     source               destination         
  root@uat2:~# telnet d.d.d.72 9990
  Trying d.d.d.72...
  ^C
  

• Uma rota estática foi definida dentro UAT2para alcançarTheir Host

• Para Our VPN, ip_forwardé ativado:

  net.ipv4.ip_forward = 1
  

• O túnel ipsec está bem estabelecido:

  root@vpn1:~# ipsec status
  Security Associations (1 up, 0 connecting):
  our_conn[2]: ESTABLISHED 24 minutes ago, a.a.a.101[a.a.a.101]...b.b.b.116[b.b.b.116]
  our_conn{2}:  INSTALLED, TUNNEL, reqid 1, ESP SPIs: c38c258f_i c727e8a0_o
  our_conn{2}:   s.s.s.0/24 === d.d.d.72/32
  root@vpn1:~# 
  

• Our VPNpings com sucessoUAT2

É possível descartar todos os pacotes TCP SYN com uma carga usando nftables?

As páginas do manual mencionam várias lengthopções, mas nenhuma que eu possa usar para pacotes TCP sem erros de sintaxe.

Estou usando o kernel v6.2.10 e nftables v1.0.7.

Estou tentando identificar o serviço apropriado para permitir que apenas um determinado intervalo de IP faça solicitações ao API Gateway e armazenamento em nuvem. Isso ocorre porque queremos aceitar apenas solicitações provenientes da cloudflare. Encontramos serviços como Cloud NAT e regras de firewall VPC, mas é difícil dizer se eles se aplicam ao API Gateway e armazenamento em nuvem. E como temos um orçamento pequeno, não queremos habilitar e desabilitar todos os serviços. Idealmente, queremos que todos os nossos serviços também aceitem solicitações do mesmo intervalo de IP. Existe um serviço de nuvem do Google que pode conseguir isso?

Meu firewall está enfrentando um problema relacionado a arquivos max states per rule.

#  pfctl -vvsi
Status: Enabled for 0 days 13:05:38           Debug: Urgent

Hostid:   0x6556c6a9
Checksum: 0xe80368af9b3c0a876218cd2af59fbed5

State Table                          Total             Rate
  current entries                     7614
  searches                       323053106         6853.3/s
  inserts                          6650716          141.1/s
  removals                         6643102          140.9/s
Source Tracking Table
  current entries                        0
  searches                               0            0.0/s
  inserts                                0            0.0/s
  removals                               0            0.0/s
Counters
  match                           31988315          678.6/s
  bad-offset                             0            0.0/s
  fragment                               0            0.0/s
  short                                  0            0.0/s
  normalize                              0            0.0/s
  memory                                 0            0.0/s
  bad-timestamp                          0            0.0/s
  congestion                             0            0.0/s
  ip-option                             12            0.0/s
  proto-cksum                            0            0.0/s
  state-mismatch                      4702            0.1/s
  state-insert                       45381            1.0/s
  state-limit                        13837            0.3/s
  src-limit                              0            0.0/s
  synproxy                               0            0.0/s
Limit Counters
  max states per rule                13837            0.3/s
  max-src-states                         0            0.0/s
  max-src-nodes                          0            0.0/s
  max-src-conn                           0            0.0/s
  max-src-conn-rate                      0            0.0/s
  overload table insertion               0            0.0/s
  overload flush states                  0            0.0/s

Como podemos ver acima, estamos batendo state-limitsdevido amax states per rule

Meus maxes são bem grandes:

# pfctl -sm
states        hard limit   550000
src-nodes     hard limit    50000
frags         hard limit     5000
tables        hard limit     5000
table-entries hard limit   400000

Mas como posso aumentar o max states per rule?