Product SiteDocumentation Site

14.2. Firewall atau Penyaringan Paket

KEMBALI KE DASAR Firewall

Firewall adalah peralatan komputer dengan perangkat keras dan/atau perangkat lunak yang menyortir paket jaringan masuk atau keluar (datang ke atau dari jaringan lokal) dan hanya mengizinkan lewat paket-paket yang cocok dengan kondisi standar tertentu.
Firewall adalah gateway jaringan yang menyaring dan hanya efektif pada paket yang harus melaluinya. Oleh karenanya, itu hanya dapat efektif ketika melalui firewall adalah satu-satunya rute untuk paket-paket ini.

KASUS SPESIFIK Firewall Lokal

Firewall dapat dibatasi pada satu mesin tertentu (bukan pada jaringan yang lengkap), dalam hal ini perannya adalah untuk menyaring atau membatasi akses ke beberapa layanan. Akan tetapi, selalu lebih baik untuk mengkonfigurasi layanan untuk tidak mendengarkan pada antar muka jaringan tersebut, di mana layanan ini tidak seharusnya ditawarkan, atau untuk menonaktifkan dan menghapus layanan, yang tidak boleh ditawarkan sama sekali, daripada menggunakan filter paket untuk mencegah akses yang tidak diinginkan ke layanan ini.
Perannya juga bisa untuk menyaring atau membatasi koneksi oleh perangkat lunak jahat atau yang diprogram dengan buruk yang bisa saja, baik disengaja maupun tidak, telah diinstal oleh pengguna. Namun, keandalan ini, sangat tergantung pada tujuan tindakan ini dan integritas sistem itu sendiri. Tindakan ini bukan merupakan langkah untuk mencegah potensi ancaman untuk mengirim data.
Kernel Linux menyertakan firewall netfilter. Ini dapat dikontrol dari ruang pengguna dengan perintah iptables, ip6tables, arptables, dan ebtables.
Namun, perintah iptables Netfilter digantikan oleh nftables, yang menghindari banyak masalahnya. Desainnya melibatkan lebih sedikit duplikasi kode, dan dapat dikelola hanya dengan perintah nft. Sejak Debian Buster, framework nftables digunakan secara baku. Perintah-perintah yang disebutkan sebelumnya disediakan oleh versi, yang menggunakan API kernel nftables, secara baku. Jika seseorang memerlukan perintah "klasik", biner yang relevan dapat disesuaikan menggunakan update-alternatives.

ALAT fwbuilder dan ufw

Meskipun (ditakdirkan untuk) digantikan oleh nftables, iptables masih banyak digunakan dan cocok untuk banyak kasus penggunaan. Membuat aturan memerlukan pemanggilan iptables/ip6tables. Mengetik perintah ini secara manual bisa membosankan, sehingga panggilan biasanya disimpan dalam skrip, sehingga konfigurasi yang sama disiapkan secara otomatis setiap kali mesin melakukan boot, atau mereka dapat dibuat "persisten" menggunakan iptables-persistent.
Sebuah skrip biasanya perlu ditulis dengan tangan. Tetapi ada, alat yang membuatnya lebih mudah untuk mengkonfigurasi firewall netfilter, dengan representasi grafis dari aturan pemfilteran. fwbuilder tidak diragukan lagi di antara yang terbaik dari mereka. Aturan dibuat dengan tindakan seret dan jatuhkan sederhana pada objek (antarmuka, jaringan, port, server, dll.). Beberapa menu kontekstual dapat mengubah kondisi (meniadakannya, misalnya). Lalu tindakan perlu dipilih dan dikonfigurasi.
Alternatif untuk menulis dan menyimpan/memuat aturan yang diperlukan adalah dengan menggunakan ufw dari paket dengan nama yang sama. Alat ini adalah frontend untuk iptables juga, tetapi hanya menyediakan antarmuka baris perintah. Perintah sederhana dapat mengaktifkan atau menonaktifkan (memblokir) lalu lintas jaringan ke dan dari port dan alamat IP. Berkas konfigurasi di /etc/ufw/ juga memungkinkan kumpulan aturan yang kompleks (misalnya mengaitkan ke rantai Docker), yang kemudian disimpan dan dimuat secara otomatis. Alat ini sering digunakan untuk pengaturan sederhana dan untuk memblokir lalu lintas masuk pada port yang tidak dapat ditetapkan ke serangkaian antarmuka terbatas atau ditutup dengan tepat.
Untuk mengaktifkan firewall default di Debian, jalankan: 
# apt install -y nftables
Reading package lists... Done
...
# systemctl enable nftables.service
Created symlink /etc/systemd/system/sysinit.target.wants/nftables.service → /lib/systemd/system/nftables.service.

14.2.1. Perilaku nftables

Ketika kernel mengolah paket jaringan, itu berhenti dan memungkinkan kita untuk memeriksa paket dan memutuskan apa yang harus dilakukan dengan paket tersebut. Misalnya, kita mungkin ingin menjatuhkan atau membuang paket masuk tertentu, memodifikasi paket lainnya dengan berbagai cara, memblokir paket keluar tertentu untuk mengontrol malware atau mengalihkan beberapa paket pada tahap sedini mungkin ke antarmuka jaringan bridge atau untuk menyebarkan beban paket yang masuk antar sistem.
Pemahaman yang baik dari layer 3, 4, dan 5 dari model OSI (Open System Interconnection) sangat penting untuk mendapatkan yang terbaik dari netfilter.

KULTUR Model OSI

Model OSI adalah model konseptual untuk mengimplementasikan protokol jaringan tanpa memperhatikan struktur internal dan teknologi yang mendasari. Tujuannya adalah interoperabilitas dari sistem komunikasi yang beragam dengan protokol komunikasi standar.
Model ini didefinisikan dalam standar ISO/EIC 7498. Berikut ini adalah tujuh lapisan yang diuraikan:
  1. Fisik: transmisi dan penerimaan aliran bit mentah melalui media fisik
  2. Data Link: transmisi frame data yang handal antara dua simpul yang terhubung oleh lapisan fisik
  3. Jaringan: menata dan mengelola jaringan multi-simpul, termasuk pengalamatan, routing, dan kontrol lalu lintas
  4. Transport: transmisi segmen data yang handal antar titik pada jaringan, termasuk segmentasi, acknowledgement, dan multiplexing
  5. Session: mengelola sesi komunikasi, yaitu pertukaran informasi terus-menerus dalam bentuk beberapa transmisi bolak-balik antara dua node
  6. Presentasi: penerjemahan data antara layanan jaringan dan aplikasi; termasuk pengkodean karakter, kompresi data dan enkripsi/dekripsi
  7. Aplikasi: API tingkat tinggi, termasuk berbagi sumber daya, akses berkas jarak jauh.
Informasi lebih lanjut dapat ditemukan di Wikipedia:
→ https://en.wikipedia.org/wiki/OSI_model
Firewall dikonfigurasi dengan tabel, yang memegang aturan yang terkandung dalam rantai. Tidak seperti iptables, nftables tidak memiliki tabel default. Pengguna memutuskan mana dan berapa banyak tabel yang dibuat. Setiap tabel harus ditugaskan hanya ke satu dari lima keluarga berikut: ip, ip6, inet, arp dan bridge. ip digunakan jika keluarga tidak dinyatakan.
Ada dua jenis rantai: rantai dasar dan rantai reguler. Sebuah rantai dasar adalah titik masuk untuk paket dari stack jaringan, mereka terdaftar ke dalam hook netfilter, yaitu, rantai ini melihat paket yang mengalir melalui stack TCP/IP. Di sisi lain, dan rantai reguler tidak melekat pada hook apa pun, sehingga mereka tidak melihat lalu lintas, tetapi dapat digunakan sebagai target melompat untuk pengorganisasian yang lebih baik.
Aturan yang terbuat dari pernyataan, yang mencakup beberapa ungkapan yang harus dicocokkan dan kemudian pernyataan putusan, seperti accept, drop, queue, continue, return, jump chain, dan goto chain.

KEMBALI KE DASAR ICMP

ICMP (Internet Control Message Protocol) merupakan protokol yang digunakan untuk mengirimkan informasi pelengkap pada komunikasi. Hal ini memungkinkan pengujian konektivitas jaringan memakai perintah ping (yang mengirim pesan echo request ICMP, yang oleh penerima dimaksudkan untuk dijawab dengan pesan echo reply ICMP). Itu menandakan bahwa firewall menolak paket, menunjukkan meluapnya penyangga penerima, mengusulkan rute yang lebih baik untuk paket-paket berikutnya dalam hubungan, dan seterusnya. Protokol ini didefinisikan oleh beberapa dokumen; RFC 777 awal dan RFC 792 segera selesai dan diperluas.
→ http://www.faqs.org/rfcs/rfc777.html
→ http://www.faqs.org/rfcs/rfc792.html
Untuk referensi, suatu penyangga penerima adalah sebuah zona memori kecil yang menyimpan data antara saat itu datang dari jaringan dan saat kernel menanganinya. Jika zona ini penuh, data baru tidak dapat diterima, dan ICMP mengirim sinyal adanya masalah, sehingga pengirim dapat memperlambat laju transfer (yang idealnya harus mencapai suatu keseimbangan setelah beberapa waktu).
Perhatikan bahwa meskipun jaringan IPv4 dapat bekerja tanpa ICMP, ICMPv6 secara ketat diperlukan untuk jaringan IPv6, karena itu memadukan beberapa fungsi yang, di dunia IPv4, tersebar di ICMPv4, IGMP (Internet Group Membership Protocol), dan ARP (Address Resolution Protocol). ICMPv6 didefinisikan dalam RFC4443.
→ http://www.faqs.org/rfcs/rfc4443.html

14.2.2. Berpindah dari iptables ke nftables

Perintah iptables-translate dan ip6tables-translate dapat digunakan untuk menerjemahkan perintah iptables lama ke dalam sintaks nftables baru. Seluruh aturan juga dapat diterjemahkan, dalam hal ini kita memigrasi peraturan yang dikonfigurasi dalam satu komputer yang dipasangi Docker: 
# iptables-save > iptables-ruleset.txt
# iptables-restore-translate -f iptables-ruleset.txt

# Translated by iptables-restore-translate v1.8.9 on Wed Aug 14 00:35:02 2024
add table ip filter
add chain ip filter INPUT { type filter hook input priority 0; policy accept; }
add chain ip filter FORWARD { type filter hook forward priority 0; policy drop; }
add chain ip filter OUTPUT { type filter hook output priority 0; policy accept; }
add chain ip filter DOCKER
add chain ip filter DOCKER-ISOLATION-STAGE-1
add chain ip filter DOCKER-ISOLATION-STAGE-2
add chain ip filter DOCKER-USER
add rule ip filter FORWARD counter jump DOCKER-USER
add rule ip filter FORWARD counter jump DOCKER-ISOLATION-STAGE-1
add rule ip filter FORWARD oifname "docker0" ct state related,established counter accept
add rule ip filter FORWARD oifname "docker0" counter jump DOCKER
add rule ip filter FORWARD iifname "docker0" oifname != "docker0" counter accept
add rule ip filter FORWARD iifname "docker0" oifname "docker0" counter accept
add rule ip filter DOCKER-ISOLATION-STAGE-1 iifname "docker0" oifname != "docker0" counter jump DOCKER-ISOLATION-STAGE-2
add rule ip filter DOCKER-ISOLATION-STAGE-1 counter return
add rule ip filter DOCKER-ISOLATION-STAGE-2 oifname "docker0" counter drop
add rule ip filter DOCKER-ISOLATION-STAGE-2 counter return
add rule ip filter DOCKER-USER counter return
add table ip nat
add chain ip nat PREROUTING { type nat hook prerouting priority -100; policy accept; }
add chain ip nat INPUT { type nat hook input priority 100; policy accept; }
add chain ip nat OUTPUT { type nat hook output priority -100; policy accept; }
add chain ip nat POSTROUTING { type nat hook postrouting priority 100; policy accept; }
add chain ip nat DOCKER
add rule ip nat PREROUTING fib daddr type local counter jump DOCKER
add rule ip nat OUTPUT ip daddr != 127.0.0.0/8 fib daddr type local counter jump DOCKER
add rule ip nat POSTROUTING oifname != "docker0" ip saddr 172.17.0.0/16 counter masquerade
add rule ip nat DOCKER iifname "docker0" counter return
# Completed on Wed Aug 14 00:35:02 2024
# iptables-restore-translate -f iptables-ruleset.txt > ruleset.nft
# nft -f ruleset.nft
# nft list ruleset
# Warning: table ip nat is managed by iptables-nft, do not touch!
table ip nat {
	chain DOCKER {
		iifname "docker0" counter packets 0 bytes 0 return
		iifname "docker0" counter packets 0 bytes 0 return
	}

	chain POSTROUTING {
		type nat hook postrouting priority srcnat; policy accept;
		oifname != "docker0" ip saddr 172.17.0.0/16 counter packets 0 bytes 0 masquerade
		oifname != "docker0" ip saddr 172.17.0.0/16 counter packets 0 bytes 0 masquerade
	}

	chain PREROUTING {
		type nat hook prerouting priority dstnat; policy accept;
		fib daddr type local counter packets 0 bytes 0 jump DOCKER
		fib daddr type local counter packets 0 bytes 0 jump DOCKER
	}

	chain OUTPUT {
		type nat hook output priority -100; policy accept;
		ip daddr != 127.0.0.0/8 fib daddr type local counter packets 0 bytes 0 jump DOCKER
		ip daddr != 127.0.0.0/8 fib daddr type local counter packets 0 bytes 0 jump DOCKER
	}

	chain INPUT {
		type nat hook input priority 100; policy accept;
	}
}
# Warning: table ip filter is managed by iptables-nft, do not touch!
table ip filter {
	chain DOCKER {
	}

	chain DOCKER-ISOLATION-STAGE-1 {
		iifname "docker0" oifname != "docker0" counter packets 0 bytes 0 jump DOCKER-ISOLATION-STAGE-2
		counter packets 0 bytes 0 return
		iifname "docker0" oifname != "docker0" counter packets 0 bytes 0 jump DOCKER-ISOLATION-STAGE-2
		counter packets 0 bytes 0 return
	}

	chain DOCKER-ISOLATION-STAGE-2 {
		oifname "docker0" counter packets 0 bytes 0 drop
		counter packets 0 bytes 0 return
		oifname "docker0" counter packets 0 bytes 0 drop
		counter packets 0 bytes 0 return
	}

	chain FORWARD {
		type filter hook forward priority filter; policy drop;
		counter packets 0 bytes 0 jump DOCKER-USER
		counter packets 0 bytes 0 jump DOCKER-ISOLATION-STAGE-1
		oifname "docker0" ct state related,established counter packets 0 bytes 0 accept
		oifname "docker0" counter packets 0 bytes 0 jump DOCKER
		iifname "docker0" oifname != "docker0" counter packets 0 bytes 0 accept
		iifname "docker0" oifname "docker0" counter packets 0 bytes 0 accept
		counter packets 0 bytes 0 jump DOCKER-USER
		counter packets 0 bytes 0 jump DOCKER-ISOLATION-STAGE-1
		oifname "docker0" ct state established,related counter packets 0 bytes 0 accept
		oifname "docker0" counter packets 0 bytes 0 jump DOCKER
		iifname "docker0" oifname != "docker0" counter packets 0 bytes 0 accept
		iifname "docker0" oifname "docker0" counter packets 0 bytes 0 accept
	}

	chain DOCKER-USER {
		counter packets 0 bytes 0 return
		counter packets 0 bytes 0 return
	}

	chain INPUT {
		type filter hook input priority filter; policy accept;
	}

	chain OUTPUT {
		type filter hook output priority filter; policy accept;
	}
}
Alat iptables-nft, ip6tables-nft, arptables-nft, ebtables-nft adalah versi iptables yang menggunakan API nftables, sehingga pengguna dapat tetap menggunakan sintaks iptables lama dengan mereka, tapi itu tidak dianjurkan; alat ini hanya boleh digunakan untuk kesesuaian ke belakang.

14.2.3. Sintaks nft

Perintah nft memungkinkan memanipulasi tabel, rantai, dan aturan. Opsi table mendukung beberapa operasi: add, create, delete, list, dan flush. nft add table ip6 mangle menambahkan tabel baru dari keluarga ip6.
Untuk memasukkan rantai dasar baru ke tabel filter, Anda dapat mengeksekusi perintah berikut (perhatikan bahwa titik koma di-escape dengan garis miring terbalik saat menggunakan Bash): 
# nft add chain filter input { type filter hook input priority 0 \; }
Aturan biasanya ditambahkan dengan sintaks berikut: nft add rule [family] table chain handle handle pernyataan .
insert mirip dengan perintah add, namun aturan yang diberikan ditambahkan ke awal rantai atau sebelum aturan dengan handle yang diberikan bukan pada akhir atau setelah aturan itu. Sebagai contoh, perintah berikut ini memasukkan aturan sebelum aturan dengan handler nomor 8: 
# nft insert rule filter output position 8 ip daddr 127.0.0.8 drop
Perintah nft yang dieksekusi tidak membuat perubahan permanen untuk konfigurasi, sehingga mereka akan hilang jika mereka tidak disimpan. Aturan firewall terletak di /etc/nftables.conf. Sebuah cara sederhana untuk menyimpan konfigurasi firewall saat ini secara permanen adalah dengan mengeksekusi nft list ruleset > /etc/nftables.conf sebagai root.
nft memungkinkan lebih banyak operasi, lihat halaman manual nft(8) untuk informasi lebih lanjut.

14.2.4. Menginstal Aturan Pada Setiap Boot

Untuk mengaktifkan firewall baku di Debian, Anda perlu menyimpan aturan di /etc/nftables.conf dan mengeksekusi systemctl enable nftables.service sebagai root. Anda dapat menghentikan firewall dengan mengeksekusi nft flush ruleset sebagai root.
Dalam kasus lain, cara yang disarankan adalah mendaftarkan skrip konfigurasi dalam direktif up dari berkas /etc/network/interfaces. Pada contoh berikut, skrip disimpan di bawah /usr/local/etc/arrakis.fw.

Contoh 14.1. berkas interface yang memanggil skrip firewall

auto eth0
iface eth0 inet static
    address 192.168.0.1
    network 192.168.0.0
    netmask 255.255.255.0
    broadcast 192.168.0.255
    up /usr/local/etc/arrakis.fw
Ini jelas mengasumsikan bahwa Anda menggunakan ifupdown untuk mengkonfigurasi antarmuka jaringan. Jika Anda menggunakan sesuatu yang lain (seperti NetworkManager atau systemd-networkd), maka rujuklah ke dokumentasi mereka masing-masing untuk mengetahui cara menjalankan skrip setelah antarmuka telah dihidupkan.