Criando regras simples com IP6Tables
Este artigo demonstra como configurar regras de Firewall, usando o IP6Tables.
[ Hits: 18.987 ]
Por: Alex Vitola em 30/08/2013 | Blog: http://www.vitola.net.br
Uma pequena introdução
Para configurar regras de Firewall, muitas pessoas preferem usar scripts mirabolantes, que servem mais para mostrar que sabem programar, do que propriamente criar
regras de Firewall (ops... vou levar um drop de muitos por causa desta frase).
Mas, se você usa os sistemas Red Hat/Centos/Fedora, para quê reinventar a roda? O modo nativo já encarrega-se de quase tudo (carregar módulos, variáveis e etc) e atende à grande maioria dos administradores e suas políticas de segurança.
E também, é bom ter uma forma padrão (do sistema operacional) de se fazer as coisas, afinal, hoje é você quem administra o Firewall, amanhã será outro que pode e terá uma forma diferente de fazer as mesmas regras.
Usaremos o arquivo "/etc/sysconfig/ip6tables", ou seja, padrão da Red Hat/CentOS/Fedora. Isto é só um rascunho, possivelmente com algumas falhas. Mas, para um teste inicial e para começar a aprender a usá-lo, já serve.
Quem já está acostumado com o IPTables, não verá muitas dificuldades.
Usei como base uma conexão IPv6 que tenho com a sixxs.
Mas, se você usa os sistemas Red Hat/Centos/Fedora, para quê reinventar a roda? O modo nativo já encarrega-se de quase tudo (carregar módulos, variáveis e etc) e atende à grande maioria dos administradores e suas políticas de segurança.
E também, é bom ter uma forma padrão (do sistema operacional) de se fazer as coisas, afinal, hoje é você quem administra o Firewall, amanhã será outro que pode e terá uma forma diferente de fazer as mesmas regras.
Usaremos o arquivo "/etc/sysconfig/ip6tables", ou seja, padrão da Red Hat/CentOS/Fedora. Isto é só um rascunho, possivelmente com algumas falhas. Mas, para um teste inicial e para começar a aprender a usá-lo, já serve.
Quem já está acostumado com o IPTables, não verá muitas dificuldades.
Usei como base uma conexão IPv6 que tenho com a sixxs.
Páginas do artigo
1. Uma pequena introdução2. Nat ou Mangle / Regras
Outros artigos deste autor
Observium - Monitoramento de Rede
Leitura recomendada
Nagios 3 + NagiosQL no Ubuntu Server 12.04
Problemas encontrados na adoção do IPv6
Roubando bits - Receita para cálculo de sub-redes
Comentários
[1] Comentário enviado por px em 31/08/2013 - 10:19h
Bom artigo, meio superficial para quem começa fazendo uma crítica a terceiros, e ainda acaba no final a mostrar os mesmos scripts mirabolantes usados no ipv4 rsrs, só se muda a tabela de controle e o protocolo, mas valeu a intenção ai abç. e continue crescendo no mundo Gnu/Linux.
Bom artigo, meio superficial para quem começa fazendo uma crítica a terceiros, e ainda acaba no final a mostrar os mesmos scripts mirabolantes usados no ipv4 rsrs, só se muda a tabela de controle e o protocolo, mas valeu a intenção ai abç. e continue crescendo no mundo Gnu/Linux.
[2] Comentário enviado por cROMADO em 31/08/2013 - 19:42h
"ainda acaba no final a mostrar os mesmos scripts mirabolantes usados no ipv4".
Que script?. não estou vendo nenhum shebang ali. ele apenas mostra o arquivo padrão de regras iptables red-hat like.
"ainda acaba no final a mostrar os mesmos scripts mirabolantes usados no ipv4".
Que script?. não estou vendo nenhum shebang ali. ele apenas mostra o arquivo padrão de regras iptables red-hat like.
[3] Comentário enviado por px em 01/09/2013 - 09:59h
[2] Comentário enviado por cROMADO em 31/08/2013 - 19:42h:
"ainda acaba no final a mostrar os mesmos scripts mirabolantes usados no ipv4".
Que script?. não estou vendo nenhum shebang ali. ele apenas mostra o arquivo padrão de regras iptables red-hat like.
Me expressei um pouco mal ali... quis disser que após a critica eu esperava uma "surpresa" no final, algo realmente diferente do que costumo ver neste assunto, entendi? e como você mesmo disse "ele apenas mostra o arquivo de regras iptables red-hat like" mas foi só uma critica construtiva, para ele ir se aperfeiçoando e engajar melhor suas palavras.
[2] Comentário enviado por cROMADO em 31/08/2013 - 19:42h:
"ainda acaba no final a mostrar os mesmos scripts mirabolantes usados no ipv4".
Que script?. não estou vendo nenhum shebang ali. ele apenas mostra o arquivo padrão de regras iptables red-hat like.
Me expressei um pouco mal ali... quis disser que após a critica eu esperava uma "surpresa" no final, algo realmente diferente do que costumo ver neste assunto, entendi? e como você mesmo disse "ele apenas mostra o arquivo de regras iptables red-hat like" mas foi só uma critica construtiva, para ele ir se aperfeiçoando e engajar melhor suas palavras.
[4] Comentário enviado por vitola em 01/09/2013 - 11:16h
Certíssimo "px" ... quem me conhece que sou uma mala mesmo ..
E o objetivo era simsplesmente mostrar uma regra inicial super-básica e inicial. Como estou montando todo um ambiente de cloud atrás deste gateway a tendência é que ele fique bem mais complexo.
Suas atualizações provavelmente irei colocar aqui e seguida. Mas talvés como uma dica e não como um artigo. Que também acho que teria sido melhor, pois num artigo você sempre espera mais coisas e uma dica, como o próprio nome diz é só uma dica.
Certíssimo "px" ... quem me conhece que sou uma mala mesmo ..
E o objetivo era simsplesmente mostrar uma regra inicial super-básica e inicial. Como estou montando todo um ambiente de cloud atrás deste gateway a tendência é que ele fique bem mais complexo.
Suas atualizações provavelmente irei colocar aqui e seguida. Mas talvés como uma dica e não como um artigo. Que também acho que teria sido melhor, pois num artigo você sempre espera mais coisas e uma dica, como o próprio nome diz é só uma dica.
[5] Comentário enviado por brizao em 22/07/2014 - 11:51h
Sei que já faz um tempo desde que este artigo foi publicado, recentemente comecei a estudar e entender mais sobre ipv6, quebrei bastante a cabeça com essa falta da tabela nat no ip6tables, mas aí fuçando um monte no google, "descobri" que versões mais recentes do kernel do linux suportam a versão mais recente do netfilter, que inclui a tabela nat no ip6tables, então depois de instalar os 2, podemos utilizar o mesmo script do ipv4 para ipv6, algumas regras por exemplo, muito úteis principalmente quando tem que controlar a rede local de uma empresa com dhcpv6 e a rede externa:
# ip6tables -V
ip6tables v1.4.21
ip6tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Para redirecionar pacotes vindo de fora para um IP interno, o ip6tables dá pra utilizar a tabela mangle em conjunto com o target TPROXY --on-ip IPv6 --on-port PORTA, mas sinceramente não consegui fazer esta regra funcionar, já com o a inclusão do nat, volta a ser o que era antes, por exemplo:
ip6tables -t nat -A PREROUTING -i eth0 -p tcp --dport PORTA -j DNAT --to IPv6
http://mirrors.bieringer.de/Linux+IPv6-HOWTO/nat-netfilter6..html
Sei que já faz um tempo desde que este artigo foi publicado, recentemente comecei a estudar e entender mais sobre ipv6, quebrei bastante a cabeça com essa falta da tabela nat no ip6tables, mas aí fuçando um monte no google, "descobri" que versões mais recentes do kernel do linux suportam a versão mais recente do netfilter, que inclui a tabela nat no ip6tables, então depois de instalar os 2, podemos utilizar o mesmo script do ipv4 para ipv6, algumas regras por exemplo, muito úteis principalmente quando tem que controlar a rede local de uma empresa com dhcpv6 e a rede externa:
# ip6tables -V
ip6tables v1.4.21
ip6tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Para redirecionar pacotes vindo de fora para um IP interno, o ip6tables dá pra utilizar a tabela mangle em conjunto com o target TPROXY --on-ip IPv6 --on-port PORTA, mas sinceramente não consegui fazer esta regra funcionar, já com o a inclusão do nat, volta a ser o que era antes, por exemplo:
ip6tables -t nat -A PREROUTING -i eth0 -p tcp --dport PORTA -j DNAT --to IPv6
http://mirrors.bieringer.de/Linux+IPv6-HOWTO/nat-netfilter6..html
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Programa IRPF - Guia de Instalação e Resolução de alguns Problemas
Criando uma Infraestrutura para uma micro Empresa
Criar entrada (menuentry) ISO no Grub
Como gerar qualquer emoji ou símbolo unicode a partir do seu teclado
Dicas
Instalando o Pi-Hole versão v5.18.4 depois do lançamento da versão v6.0
Instalar o VIM 9.1 no Debian 12
Como saber o range de um IP público?
Muitas dificuldades ao instalar distro Linux em Notebook Sony Vaio PCG-6131L (VPCEA24FM)
Tópicos
Contas online no POP OS 24.04 ? (1)
Liberação de alguns links no squid (19)
Top 10 do mês
-
Xerxes
1° lugar - 81.560 pts -
Fábio Berbert de Paula
2° lugar - 59.991 pts -
Buckminster
3° lugar - 23.673 pts -
Mauricio Ferrari
4° lugar - 19.791 pts -
Alberto Federman Neto.
5° lugar - 18.051 pts -
Daniel Lara Souza
6° lugar - 16.150 pts -
Diego Mendes Rodrigues
7° lugar - 15.780 pts -
edps
8° lugar - 15.820 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 15.246 pts -
Andre (pinduvoz)
10° lugar - 13.216 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
