Criando regras simples com IP6Tables
Este artigo demonstra como configurar regras de Firewall, usando o IP6Tables.
[ Hits: 19.289 ]
Por: Alex Vitola em 30/08/2013 | Blog: http://www.vitola.net.br
Uma pequena introdução
Para configurar regras de Firewall, muitas pessoas preferem usar scripts mirabolantes, que servem mais para mostrar que sabem programar, do que propriamente criar
regras de Firewall (ops... vou levar um drop de muitos por causa desta frase).
Mas, se você usa os sistemas Red Hat/Centos/Fedora, para quê reinventar a roda? O modo nativo já encarrega-se de quase tudo (carregar módulos, variáveis e etc) e atende à grande maioria dos administradores e suas políticas de segurança.
E também, é bom ter uma forma padrão (do sistema operacional) de se fazer as coisas, afinal, hoje é você quem administra o Firewall, amanhã será outro que pode e terá uma forma diferente de fazer as mesmas regras.
Usaremos o arquivo "/etc/sysconfig/ip6tables", ou seja, padrão da Red Hat/CentOS/Fedora. Isto é só um rascunho, possivelmente com algumas falhas. Mas, para um teste inicial e para começar a aprender a usá-lo, já serve.
Quem já está acostumado com o IPTables, não verá muitas dificuldades.
Usei como base uma conexão IPv6 que tenho com a sixxs.
Mas, se você usa os sistemas Red Hat/Centos/Fedora, para quê reinventar a roda? O modo nativo já encarrega-se de quase tudo (carregar módulos, variáveis e etc) e atende à grande maioria dos administradores e suas políticas de segurança.
E também, é bom ter uma forma padrão (do sistema operacional) de se fazer as coisas, afinal, hoje é você quem administra o Firewall, amanhã será outro que pode e terá uma forma diferente de fazer as mesmas regras.
Usaremos o arquivo "/etc/sysconfig/ip6tables", ou seja, padrão da Red Hat/CentOS/Fedora. Isto é só um rascunho, possivelmente com algumas falhas. Mas, para um teste inicial e para começar a aprender a usá-lo, já serve.
Quem já está acostumado com o IPTables, não verá muitas dificuldades.
Usei como base uma conexão IPv6 que tenho com a sixxs.
Páginas do artigo
1. Uma pequena introdução2. Nat ou Mangle / Regras
Outros artigos deste autor
Observium - Monitoramento de Rede
Leitura recomendada
Configurando o Rclone no CentOS 7
Problemas encontrados na adoção do IPv6
Comentários
[1] Comentário enviado por px em 31/08/2013 - 10:19h
Bom artigo, meio superficial para quem começa fazendo uma crítica a terceiros, e ainda acaba no final a mostrar os mesmos scripts mirabolantes usados no ipv4 rsrs, só se muda a tabela de controle e o protocolo, mas valeu a intenção ai abç. e continue crescendo no mundo Gnu/Linux.
Bom artigo, meio superficial para quem começa fazendo uma crítica a terceiros, e ainda acaba no final a mostrar os mesmos scripts mirabolantes usados no ipv4 rsrs, só se muda a tabela de controle e o protocolo, mas valeu a intenção ai abç. e continue crescendo no mundo Gnu/Linux.
[2] Comentário enviado por cROMADO em 31/08/2013 - 19:42h
"ainda acaba no final a mostrar os mesmos scripts mirabolantes usados no ipv4".
Que script?. não estou vendo nenhum shebang ali. ele apenas mostra o arquivo padrão de regras iptables red-hat like.
"ainda acaba no final a mostrar os mesmos scripts mirabolantes usados no ipv4".
Que script?. não estou vendo nenhum shebang ali. ele apenas mostra o arquivo padrão de regras iptables red-hat like.
[3] Comentário enviado por px em 01/09/2013 - 09:59h
[2] Comentário enviado por cROMADO em 31/08/2013 - 19:42h:
"ainda acaba no final a mostrar os mesmos scripts mirabolantes usados no ipv4".
Que script?. não estou vendo nenhum shebang ali. ele apenas mostra o arquivo padrão de regras iptables red-hat like.
Me expressei um pouco mal ali... quis disser que após a critica eu esperava uma "surpresa" no final, algo realmente diferente do que costumo ver neste assunto, entendi? e como você mesmo disse "ele apenas mostra o arquivo de regras iptables red-hat like" mas foi só uma critica construtiva, para ele ir se aperfeiçoando e engajar melhor suas palavras.
[2] Comentário enviado por cROMADO em 31/08/2013 - 19:42h:
"ainda acaba no final a mostrar os mesmos scripts mirabolantes usados no ipv4".
Que script?. não estou vendo nenhum shebang ali. ele apenas mostra o arquivo padrão de regras iptables red-hat like.
Me expressei um pouco mal ali... quis disser que após a critica eu esperava uma "surpresa" no final, algo realmente diferente do que costumo ver neste assunto, entendi? e como você mesmo disse "ele apenas mostra o arquivo de regras iptables red-hat like" mas foi só uma critica construtiva, para ele ir se aperfeiçoando e engajar melhor suas palavras.
[4] Comentário enviado por vitola em 01/09/2013 - 11:16h
Certíssimo "px" ... quem me conhece que sou uma mala mesmo ..
E o objetivo era simsplesmente mostrar uma regra inicial super-básica e inicial. Como estou montando todo um ambiente de cloud atrás deste gateway a tendência é que ele fique bem mais complexo.
Suas atualizações provavelmente irei colocar aqui e seguida. Mas talvés como uma dica e não como um artigo. Que também acho que teria sido melhor, pois num artigo você sempre espera mais coisas e uma dica, como o próprio nome diz é só uma dica.
Certíssimo "px" ... quem me conhece que sou uma mala mesmo ..
E o objetivo era simsplesmente mostrar uma regra inicial super-básica e inicial. Como estou montando todo um ambiente de cloud atrás deste gateway a tendência é que ele fique bem mais complexo.
Suas atualizações provavelmente irei colocar aqui e seguida. Mas talvés como uma dica e não como um artigo. Que também acho que teria sido melhor, pois num artigo você sempre espera mais coisas e uma dica, como o próprio nome diz é só uma dica.
[5] Comentário enviado por brizao em 22/07/2014 - 11:51h
Sei que já faz um tempo desde que este artigo foi publicado, recentemente comecei a estudar e entender mais sobre ipv6, quebrei bastante a cabeça com essa falta da tabela nat no ip6tables, mas aí fuçando um monte no google, "descobri" que versões mais recentes do kernel do linux suportam a versão mais recente do netfilter, que inclui a tabela nat no ip6tables, então depois de instalar os 2, podemos utilizar o mesmo script do ipv4 para ipv6, algumas regras por exemplo, muito úteis principalmente quando tem que controlar a rede local de uma empresa com dhcpv6 e a rede externa:
# ip6tables -V
ip6tables v1.4.21
ip6tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Para redirecionar pacotes vindo de fora para um IP interno, o ip6tables dá pra utilizar a tabela mangle em conjunto com o target TPROXY --on-ip IPv6 --on-port PORTA, mas sinceramente não consegui fazer esta regra funcionar, já com o a inclusão do nat, volta a ser o que era antes, por exemplo:
ip6tables -t nat -A PREROUTING -i eth0 -p tcp --dport PORTA -j DNAT --to IPv6
http://mirrors.bieringer.de/Linux+IPv6-HOWTO/nat-netfilter6..html
Sei que já faz um tempo desde que este artigo foi publicado, recentemente comecei a estudar e entender mais sobre ipv6, quebrei bastante a cabeça com essa falta da tabela nat no ip6tables, mas aí fuçando um monte no google, "descobri" que versões mais recentes do kernel do linux suportam a versão mais recente do netfilter, que inclui a tabela nat no ip6tables, então depois de instalar os 2, podemos utilizar o mesmo script do ipv4 para ipv6, algumas regras por exemplo, muito úteis principalmente quando tem que controlar a rede local de uma empresa com dhcpv6 e a rede externa:
# ip6tables -V
ip6tables v1.4.21
ip6tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Para redirecionar pacotes vindo de fora para um IP interno, o ip6tables dá pra utilizar a tabela mangle em conjunto com o target TPROXY --on-ip IPv6 --on-port PORTA, mas sinceramente não consegui fazer esta regra funcionar, já com o a inclusão do nat, volta a ser o que era antes, por exemplo:
ip6tables -t nat -A PREROUTING -i eth0 -p tcp --dport PORTA -j DNAT --to IPv6
http://mirrors.bieringer.de/Linux+IPv6-HOWTO/nat-netfilter6..html
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Comparação entre os escalonadores BFQ e MQ-Deadline (acesso a disco) no Arch e Debian
Conciliando o uso da ZRAM e SWAP em disco na sua máquina
Servidor de Backup com Ubuntu Server 24.04 LTS, RAID e Duplicati (Dell PowerEdge T420)
Visualizar câmeras IP ONVIF no Linux sem necessidade de instalar aplicativos
Dicas
Como instalar o Telegram Desktop no Ubuntu 24.04
Overclocking Permanente para Drastic no Miyoo Mini Plus
Problemas de chaves (/usr/share/keyrings) no Debian
Converter os repositórios Debian para o novo formato com as chaves
Tópicos
Primeiras impressões do Debian 13 (8)
como resolver o problema de som do linux mint mate (4)
Top 10 do mês
-
Xerxes
1° lugar - 59.772 pts -
Fábio Berbert de Paula
2° lugar - 35.217 pts -
Buckminster
3° lugar - 17.487 pts -
Mauricio Ferrari
4° lugar - 13.165 pts -
Alberto Federman Neto.
5° lugar - 11.512 pts -
edps
6° lugar - 10.564 pts -
Daniel Lara Souza
7° lugar - 10.379 pts -
Sidnei Serra
8° lugar - 10.043 pts -
Diego Mendes Rodrigues
9° lugar - 9.402 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 8.809 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
