A teoria por trás do firewall

Neste artigo procuro mostrar a estrutura - tabelas, cadeias e regras - a configuração, a criação de regras do firewall Netfilter/Iptables - nativo do Linux desde a versão 2.4.0 do kernel - bem como suas principais opções para criação de regras de firewall.

[ Hits: 86.258 ]

Por: Oscar Costa em 29/10/2005 | Blog: https://oscarcosta.dev/


Tabelas, cadeias e regras



A estrutura lógica do Netfilter/Iptables é composta de tabelas, que são parte do Netfilter, ou seja, existem no kernel do Linux. Cadeias ou chains são a subdivisão lógica das tabelas, para melhor tratamento das regras de firewall.

4.1 Tabelas


As tabelas são parte da divisão do Netfilter onde as regras do Iptables são colocadas. Elas são utilizadas de acordo com a utilização do computador: workstation, gateway ou router, por exemplo.

No Netfilter atualmente existem três tabelas:

filter Tabela padrão. Contém três cadeias básicas: INPUT, FORWARD e OUTPUT;
nat Tabela para pacotes que queiram criar uma nova conexão, utilizada em um computador funcionando como gateway ou roteador. Tem as cadeias PREROUTING, OUTPUT e POSTROUTING;
mangle Tabela utilizada para alterações nos pacotes. Desde o kernel 2.4.18 tem as cadeias PREROUTING, OUTPUT, INPUT, FORWARD e POSTROUTING.


4.2. Cadeias


No Netfilter/Iptables existe o conceito de cadeias ou "chains". Essas cadeias nada mais são que a divisão das regras do iptables em conjuntos mais lógicos, para melhorar o entendimento de como o Netfilter processa os pacotes. Este conceito foi implementado já no Ipchains, mas foi melhorado no iptables.

No iptables existem as seguintes cadeias:

INPUT Utilizada em pacotes que estão chegando ao host
FORWARD Utilizada para pacotes roteados pelo host
OUTPUT Utilizada para pacotes originados no host
PREROUTING Utilizada para alterar pacotes que estão chegando ao host
POSTROUTING Utilizada para alterar pacotes que estão saindo do host


4.3. Regras


As regras são constituídas de um conjunto de classificadores e uma ação, política de firewall. Um pacote ao se deparar com uma regra é testado com os classificadores, se ele passar é definida uma ação ou política para aquele pacote, se ele não passar é comparado à próxima regra chegando até a regra padrão da cadeia em que ele se encontra.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Linux e firewalls
   3. Netfilter/Iptables
   4. Tabelas, cadeias e regras
   5. Políticas ou ações
   6. Classificadores
   7. Utilização
   8. Conclusões e bibliografia
Outros artigos deste autor

Automatizando a montagem de partições Windows (FAT e NTFS) no Linux

O Kerberos não é um cachorro de 3 cabeças!

SSH - Uma breve abordagem

Leitura recomendada

Dominando o Iptables (parte 2)

Automatizando Firewall com IDS Snort e SnortSam

Como criar um firewall de baixo custo para sua empresa

L7-filter (funcionando) no Slackware 10.2

Manual do IPtables - Comentários e sugestões de regras

  
Comentários
[1] Comentário enviado por PCMasterPB em 29/10/2005 - 22:10h

Cara, seu artigo está ótimo, e qdo li ele finalmente entendi as benditas chains PREROUTING, POSTROUTING, INPUT, OUTPUT e FORWARD e qual a lógica delas. Muito bom mesmo.

[2] Comentário enviado por moskito em 29/10/2005 - 22:58h

Não aparece a figura do final do capitulo 3

Parece ser mtu bom, mas ainda nao parei pra ler com calma.

[3] Comentário enviado por removido em 30/10/2005 - 00:38h

Tudo que foi abordado no artigo já estão em vários livros, ou melhor nada de novo.

[4] Comentário enviado por fabio em 30/10/2005 - 01:18h

Bom, como não tenho tempo nem dinheiro de sobra pra comprar e ler "vários" livros, esse artigo foi uma mão na roda, foi direto ao ponto. Muito bem escrito e explicado, meus parabéns!

Em tempo, você é do contra mesmo heim wrochal?!?! Ops. confundi... é articulador.

[]'s,
Fábio

[5] Comentário enviado por removido em 30/10/2005 - 12:35h

Fábio,

Acho que vc esta me confudindo, estou apenas falando meu ponto de vista diante o artigo, que tudo que ele disse esta igual e similar o que esta escrito nos livros.

Sem mais,

Obs.: Posso notar que você gosta de confusão.

[6] Comentário enviado por removido em 30/10/2005 - 19:16h

estando ou não em um livro, é inegável que a abordagem de kilocan é bastante objetiva e esclarecedora, além do mais o próprio autor informa da bibliografia que a informação saiu das páginas de manual e devemos lembrar que nem todos dominam o idioma yankee.
excelente artigo!

[7] Comentário enviado por fernoliv em 31/10/2005 - 06:18h

Parabéns pelo artigo. Muito bem escrito e esclarecedor.

Abraço, Fernando.

[8] Comentário enviado por removido em 31/10/2005 - 15:03h

Pelo Amor de Deus. Esqueceu de por a referencia do guia focalinux.

http://focalinux.cipsga.org.br/guia/avancado/ch-fw-iptables.htm

tim-tim por tim-tim de iptables.

Abraços

[9] Comentário enviado por jmaurobug em 31/10/2005 - 16:52h

Realmente esta de parabéns ... simples e direto...

parabéns

[10] Comentário enviado por gabriel.bezerra em 31/10/2005 - 23:05h

muito bom o artigo, boa linguagem.

continue assim

[11] Comentário enviado por agk em 10/11/2005 - 15:07h

Excelente artigo, bem elaborado e rico em detalhes.

[12] Comentário enviado por renato.leite em 01/10/2008 - 09:00h

muito bom o artigo


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts