Criando regras simples com IP6Tables

Este artigo demonstra como configurar regras de Firewall, usando o IP6Tables.

[ Hits: 18.657 ]

Por: Alex Vitola em 30/08/2013 | Blog: http://www.vitola.net.br


Uma pequena introdução



Para configurar regras de Firewall, muitas pessoas preferem usar scripts mirabolantes, que servem mais para mostrar que sabem programar, do que propriamente criar regras de Firewall (ops... vou levar um drop de muitos por causa desta frase).

Mas, se você usa os sistemas Red Hat/Centos/Fedora, para quê reinventar a roda? O modo nativo já encarrega-se de quase tudo (carregar módulos, variáveis e etc) e atende à grande maioria dos administradores e suas políticas de segurança.

E também, é bom ter uma forma padrão (do sistema operacional) de se fazer as coisas, afinal, hoje é você quem administra o Firewall, amanhã será outro que pode e terá uma forma diferente de fazer as mesmas regras.

Usaremos o arquivo "/etc/sysconfig/ip6tables", ou seja, padrão da Red Hat/CentOS/Fedora. Isto é só um rascunho, possivelmente com algumas falhas. Mas, para um teste inicial e para começar a aprender a usá-lo, já serve.

Quem já está acostumado com o IPTables, não verá muitas dificuldades.

Usei como base uma conexão IPv6 que tenho com a sixxs.

    Próxima página

Páginas do artigo
   1. Uma pequena introdução
   2. Nat ou Mangle / Regras
Outros artigos deste autor

Observium - Monitoramento de Rede

Leitura recomendada

Instalando o oVirt 4.3 Single Host

Asterisk - Configuração de Voice Mail

O fim está próximo

Zoneminder: Substituindo um Unifi NVR

Monitorando Rede com Zabbix no Debian 7

  
Comentários
[1] Comentário enviado por px em 31/08/2013 - 10:19h

Bom artigo, meio superficial para quem começa fazendo uma crítica a terceiros, e ainda acaba no final a mostrar os mesmos scripts mirabolantes usados no ipv4 rsrs, só se muda a tabela de controle e o protocolo, mas valeu a intenção ai abç. e continue crescendo no mundo Gnu/Linux.

[2] Comentário enviado por cROMADO em 31/08/2013 - 19:42h

"ainda acaba no final a mostrar os mesmos scripts mirabolantes usados no ipv4".
Que script?. não estou vendo nenhum shebang ali. ele apenas mostra o arquivo padrão de regras iptables red-hat like.

[3] Comentário enviado por px em 01/09/2013 - 09:59h


[2] Comentário enviado por cROMADO em 31/08/2013 - 19:42h:

"ainda acaba no final a mostrar os mesmos scripts mirabolantes usados no ipv4".
Que script?. não estou vendo nenhum shebang ali. ele apenas mostra o arquivo padrão de regras iptables red-hat like.


Me expressei um pouco mal ali... quis disser que após a critica eu esperava uma "surpresa" no final, algo realmente diferente do que costumo ver neste assunto, entendi? e como você mesmo disse "ele apenas mostra o arquivo de regras iptables red-hat like" mas foi só uma critica construtiva, para ele ir se aperfeiçoando e engajar melhor suas palavras.

[4] Comentário enviado por vitola em 01/09/2013 - 11:16h

Certíssimo "px" ... quem me conhece que sou uma mala mesmo ..

E o objetivo era simsplesmente mostrar uma regra inicial super-básica e inicial. Como estou montando todo um ambiente de cloud atrás deste gateway a tendência é que ele fique bem mais complexo.

Suas atualizações provavelmente irei colocar aqui e seguida. Mas talvés como uma dica e não como um artigo. Que também acho que teria sido melhor, pois num artigo você sempre espera mais coisas e uma dica, como o próprio nome diz é só uma dica.

[5] Comentário enviado por brizao em 22/07/2014 - 11:51h

Sei que já faz um tempo desde que este artigo foi publicado, recentemente comecei a estudar e entender mais sobre ipv6, quebrei bastante a cabeça com essa falta da tabela nat no ip6tables, mas aí fuçando um monte no google, "descobri" que versões mais recentes do kernel do linux suportam a versão mais recente do netfilter, que inclui a tabela nat no ip6tables, então depois de instalar os 2, podemos utilizar o mesmo script do ipv4 para ipv6, algumas regras por exemplo, muito úteis principalmente quando tem que controlar a rede local de uma empresa com dhcpv6 e a rede externa:

# ip6tables -V
ip6tables v1.4.21

ip6tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Para redirecionar pacotes vindo de fora para um IP interno, o ip6tables dá pra utilizar a tabela mangle em conjunto com o target TPROXY --on-ip IPv6 --on-port PORTA, mas sinceramente não consegui fazer esta regra funcionar, já com o a inclusão do nat, volta a ser o que era antes, por exemplo:

ip6tables -t nat -A PREROUTING -i eth0 -p tcp --dport PORTA -j DNAT --to IPv6

http://mirrors.bieringer.de/Linux+IPv6-HOWTO/nat-netfilter6..html


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts