A teoria por trás do firewall
Neste artigo procuro mostrar a estrutura - tabelas, cadeias e regras - a configuração, a criação de regras do firewall Netfilter/Iptables - nativo do Linux desde a versão 2.4.0 do kernel - bem como suas principais opções para criação de regras de firewall.
[ Hits: 86.223 ]
Por: Oscar Costa em 29/10/2005 | Blog: https://oscarcosta.dev/
Utilização
Uma maneira mais inteligente e bem mais prática é a criação de um script feito em Shell para que seja chamado na inicialização do sistema.
7.1. Comandos
A estrutura do comando para criar regras do iptables é:
/sbin/iptables <COMANDO> <CADEIA> <parâmetros e/ou extensão> <POLÍTICA>
Onde:
- /sbin/iptables é arquivo binário referente ao iptables;
- <COMANDO> é um dos comandos (seção 6.1.) que especificam o que fazer com a regra;
- <CADEIA> é a cadeia (seção 4.2.) onde a regra vai ser estabelecida;
- <parâmetros e/ou extensão> são as informações que definem a regra;
- <POLÍTICA> é a ação que o Netfilter vai fazer com pacotes que sejam tratados pela regra;
7.2. Exemplos de regras
# /sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
Esta regra protege um host contra o "ping da morte", dando um limite de 1 ping por segundo para requisições de ping.
# /sbin/iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
Esta regra protege um host contra ataques do tipo "Syn-flood, DoS".
# /sbin/iptables -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
Esta regra libera o acesso a interface de loopback.
# /sbin/iptables -A INPUT -i eth0 -s 10.0.0.0 -p tcp --dport 22 -j ACCEPT
Esta regra libera o acesso a máquina através de SSH por maquinas de uma rede interna.
# /sbin/iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 80 -j REDIRECT --to-port 3128
# /sbin/iptables -t nat -A PREROUTING -p udp -i eth0 --dport 80 -j REDIRECT --to-port 3128
Estas duas regras redirecionam a porta 80 para a porta 3128, utilizado em servidores proxy.
7.3. Módulos do kernel
Como padrão o kernel vem com as partes referentes a segurança por firewall carregadas como módulos. Desta forma estes módulos deverão ser chamados por comando ou por script. Alguns módulos básicos para o funcionamento do firewall são: ip_tables, módulo básico do iptables, iptable_nat.
2. Linux e firewalls
3. Netfilter/Iptables
4. Tabelas, cadeias e regras
5. Políticas ou ações
6. Classificadores
7. Utilização
8. Conclusões e bibliografia
Automatizando a montagem de partições Windows (FAT e NTFS) no Linux
O Kerberos não é um cachorro de 3 cabeças!
Incrementando seu Firewall com o Layer 7 Filter
Bloqueando MSN, orkut, trojans e mais
Zentyal 2.0 - Solução completa de segurança open source
Port Scan Attack Detector (PSAD) com iptables
Cara, seu artigo está ótimo, e qdo li ele finalmente entendi as benditas chains PREROUTING, POSTROUTING, INPUT, OUTPUT e FORWARD e qual a lógica delas. Muito bom mesmo.
Não aparece a figura do final do capitulo 3
Parece ser mtu bom, mas ainda nao parei pra ler com calma.
Tudo que foi abordado no artigo já estão em vários livros, ou melhor nada de novo.
Bom, como não tenho tempo nem dinheiro de sobra pra comprar e ler "vários" livros, esse artigo foi uma mão na roda, foi direto ao ponto. Muito bem escrito e explicado, meus parabéns!
Em tempo, você é do contra mesmo heim wrochal?!?! Ops. confundi... é articulador.
[]'s,
Fábio
Fábio,
Acho que vc esta me confudindo, estou apenas falando meu ponto de vista diante o artigo, que tudo que ele disse esta igual e similar o que esta escrito nos livros.
Sem mais,
Obs.: Posso notar que você gosta de confusão.
estando ou não em um livro, é inegável que a abordagem de kilocan é bastante objetiva e esclarecedora, além do mais o próprio autor informa da bibliografia que a informação saiu das páginas de manual e devemos lembrar que nem todos dominam o idioma yankee.
excelente artigo!
Parabéns pelo artigo. Muito bem escrito e esclarecedor.
Abraço, Fernando.
Pelo Amor de Deus. Esqueceu de por a referencia do guia focalinux.
http://focalinux.cipsga.org.br/guia/avancado/ch-fw-iptables.htm
tim-tim por tim-tim de iptables.
Abraços
Realmente esta de parabéns ... simples e direto...
parabéns
muito bom o artigo, boa linguagem.
continue assim
Excelente artigo, bem elaborado e rico em detalhes.
Patrocínio
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
Não to conseguindo resolver este problemas ao instalar o playonelinux (1)
Excluir banco de dados no xampp (1)
Top 10 do mês
-
Xerxes
1° lugar - 67.027 pts -
Fábio Berbert de Paula
2° lugar - 51.792 pts -
Buckminster
3° lugar - 17.772 pts -
Mauricio Ferrari
4° lugar - 15.629 pts -
Alberto Federman Neto.
5° lugar - 14.298 pts -
Diego Mendes Rodrigues
6° lugar - 13.779 pts -
Daniel Lara Souza
7° lugar - 13.363 pts -
Andre (pinduvoz)
8° lugar - 10.674 pts -
edps
9° lugar - 10.912 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 10.741 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
