O kernel 2.4 do Linux trouxe uma inovação no que diz respeito a ferramenta de firewall padrão do sistema. Bom, como já estamos no kernel 2.6.x, estabilizado no mercado e já sendo utilizado por milhares servidores espalhados pela web, finalmente podemos falar do IPTABLES.
Eis a grande novidade do iptables, as extensões, que são o que realmente facilitam as coisas na criação das regras. Vamos à elas.
-sport [!][port:port] -dport [!] [port:port] - Normalmente estas extensões são utilizadas com o comando -m do iptables. Trata-se de um direcionamento de porta(s) origem (-sport) para porta(s) destino(-dport). Pode-se inclusive definir um número padrão de portas para o acesso (port:port). Este comando pode ser utilizado tanto para portas TCP ou UDP.
-mac-source[!] endereço - Especifica qual placa de rede através de seu endereço MAC que irá transmitir pacotes através do firewall, limitado pela política do mesmo.
-icmp-type[1] tipo - Especifica quais os tipos de pacote icmp podem passar ou não pelo firewall. São eles:
Mensagem
Tipo
Código
Echo-request
8
0
Echo-reply
3
0
Source-quench
4
0
Time-exceeded
11
0
Destination-unreachable
3
Network-unreachable
3
0
Host-unreachable
3
1
Protocol-unreachable
3
2
Port-unreacheble
3
3
Com isto podemos bloquear alguns ataques do tipo ping flood, bloquear ping, etc.
[!] -- syn - Especifica o uso dos bits ACK E FIN em requisições SYN TCP.
[1] Comentário enviado por elgio em 23/08/2007 - 09:09h
Oi. Muito legal este artigo. O que de melhor pode acontecer na comunidade é o pessoal abandonar um pouco esta estória de COPY AND PASTE de scritps iptables e aprender o que cada regra significa. Assim cada um faz o seu próprio.
Só uma correção (para ser CRI CRI).
O REJECT não envia, por padrão, um pacote de RESET, até porque UDP não teria reset (interpretei esta tua definição como FLAG RST do TCP. Foi mal?)
Na verdade ele devolve um pacote ICMP, sendo que se pode mudar o tipo de ICMP retornado.
Mas isto é detalhe do detalhe do detalhe ;-)
Parabéns!
[7] Comentário enviado por MAPOGOS em 11/05/2014 - 21:06h
Eu não entendo nada só estou pensando sobre isso.
Nossa isso ja faz um tempão de postagem ao VOL.
Nesse tempo eu nem sabia quando era dia.
Mas hoje eu relembro e aprendo sobre ipchains e iptables e tabela Filter, Nat e Mangle.
Porque?
Quando eu leio sobre esses artigos bem explicados da paraentender um pouco melhor e estudar sobre outros assuntoos, como pacotes e protocolos, mas ja surgem muitas outras dúvidas sobre regras.
Pode uma ipchain fazer relacionamento com outra iptables de uma vez só ao declarar um comando
de uma forma que um parâmetro de regra num assunto só entre as duas?
Porque?
exemplo?
iptables -A INPUT p- tcp -s 10.0.0.1 -j REJECT
iptables -A INPUT p- tcp -s 10.0.0.1 -J FORWARD -
#iptables -A IMPUT p -tcp -s DROP
#iptables -A IMPUT p -tcp -s OUTPUT
Ta eu ja entendi mais ou menos.
Qual regra básica eu utilizaria na minha rede com sistemas operacionais Windous, Linux outros dispositivos Smartphones.
Muito Obrigado, hoje foi um dia produtivo lendo este artigo.