Iptables detalhado
Tentarei explicar um pouco sobre o Iptables, uma poderosa ferramenta de firewall.
[ Hits: 51.469 ]
Por: Ricardo Vasconcellos em 02/02/2010 | Blog: http://www.vivaolinux.com.br/~qxada07
Meu primeiro firewall
Temos que ter um objetivo para poder começar a configurar um firewall, seguem abaixo algumas dicas:
Seguem abaixo alguns dos principais parâmetros:
Removendo regras de acesso:
Para remover a regra acima iremos usar a seguinte linha:
ou localize a linha que você queira deletar através do comando:
e aplique a regra abaixo para deletá-la:
Para direcionar a saída padrão de internet para o Squid utilize a linha abaixo:
Zerando as regras de firewall:
Até pessoal... Espero ter ajudado!
- Escolher qual tabela iremos usar (filter, nat, mangle)
- Quais regras iremos configurar (INPUT, FORWARD)
- Será necessário configurar a interface de entrada (-i para INPUT) ou de saída (-o para OUTPUT)
- Será necessário definir uma porta de acesso
- Escolher uma TARGET (ACCEPT, DROP, REJECT)
Seguem abaixo alguns dos principais parâmetros:
- -A: Faz um Append de uma chain
- -I: Faz um Index de uma chain
- -N: Cria uma nova chain
- -F: Elimina todas as regras
- -s: Define origem do pacote
- -d: Define um destino para o pacote
- -i: Define interface de entrada
- -o: Define interface de saída
- -p: Define um protocolo
- --dport: Define porta de destino
- --sport: Define porta de origem
- -j: O que será feito com o pacote
Regras de firewall - diversos
Para listar as regras de firewall criadas podemos utilizar as seguintes regras:
iptables -L
iptables -t nat -L
iptables -t mangle
iptables -t nat -L
iptables -t mangle
Removendo regras de acesso:
iptables -A INPUT -i eth0 -s 192.168.100.100 -p tcp --dport 22 -j ACCEPT
Para remover a regra acima iremos usar a seguinte linha:
iptables -D INPUT -i eth0 -s 192.168.100.100 -p tcp --dport 22 -j ACCEPT
ou localize a linha que você queira deletar através do comando:
iptables -L INPUT
e aplique a regra abaixo para deletá-la:
iptables -D INPUT <número da linha>
Para direcionar a saída padrão de internet para o Squid utilize a linha abaixo:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 8080
Zerando as regras de firewall:
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -t nat -F
iptables -t mangle -F
Até pessoal... Espero ter ajudado!
Páginas do artigo
1. Vantagens e fluxo de pacote2. Meu primeiro firewall
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada
Firewall funcional de fácil manipulação
Instalando um firewall mínimo em Debian
Entendendo a teoria do iptables
Script de firewall e análise de log
Comentários
[1] Comentário enviado por elgio em 02/02/2010 - 19:04h
Não entendi porque traduzir RELATED para reincidente... Não há qualquer sentido nisto!
Related é melhor traduzido para "relacionada", ou seja, conexões que possuem uma relação entre si, mas que não são a mesma.
Quando tu envia o primeiro pacote de SYN TCP, por exemplo, os demais pacotes irão casar com ESTABLISHED pois a conexão está estabelecida. Mesmo UDP não tendo conceito de conexão, ESTABLISHED se aplica também a UDP e até mesmo ICMP (uma resposta de um ping casaria na regra ESTABLISHED).
O que seria então o RELATED?
São outros pacotes que não são da mesma conexão, mas se relacionam com ela.
Exemplo: se tu envia um SYN para a porta 80 e a porta 80 está fechada por um firewall com REJECT, tu vai receber um ICMP tipo 3, código 3 (porta inacessível). Este ICMP casaria com o RELATED pois o iptables entende que diz respeito aquele SYN que passou.
Não entendi porque traduzir RELATED para reincidente... Não há qualquer sentido nisto!
Related é melhor traduzido para "relacionada", ou seja, conexões que possuem uma relação entre si, mas que não são a mesma.
Quando tu envia o primeiro pacote de SYN TCP, por exemplo, os demais pacotes irão casar com ESTABLISHED pois a conexão está estabelecida. Mesmo UDP não tendo conceito de conexão, ESTABLISHED se aplica também a UDP e até mesmo ICMP (uma resposta de um ping casaria na regra ESTABLISHED).
O que seria então o RELATED?
São outros pacotes que não são da mesma conexão, mas se relacionam com ela.
Exemplo: se tu envia um SYN para a porta 80 e a porta 80 está fechada por um firewall com REJECT, tu vai receber um ICMP tipo 3, código 3 (porta inacessível). Este ICMP casaria com o RELATED pois o iptables entende que diz respeito aquele SYN que passou.
[2] Comentário enviado por zelongatto em 03/02/2010 - 21:42h
Gostei do artigo, simples de entender, vai ajudar bastante quem tinha dificuldades em entender firewall...
valew
abraço
Gostei do artigo, simples de entender, vai ajudar bastante quem tinha dificuldades em entender firewall...
valew
abraço
[3] Comentário enviado por andre_deko em 05/02/2010 - 11:29h
Muito bom!!!
De fácil entendimento, e de grande ajuda principalmente para quem está tentando entender iptables para iniciar alguns estudos, bem simples e prático.
Abraço
Muito bom!!!
De fácil entendimento, e de grande ajuda principalmente para quem está tentando entender iptables para iniciar alguns estudos, bem simples e prático.
Abraço
[5] Comentário enviado por anderson.brd em 03/09/2010 - 11:26h
Na hora da instalação no Ubuntu, ele pede: interface de Entrada e de Saida. É pra eu digitar: eth0 e eth1 ? O q seria isso ?
Estou no começo mesmo de iptables pra um trabalho, mas já sei alguns comando pra instalar e etc.
Podem ajudar a clarear as idéias ?
Obrigado pela a atenção.
Na hora da instalação no Ubuntu, ele pede: interface de Entrada e de Saida. É pra eu digitar: eth0 e eth1 ? O q seria isso ?
Estou no começo mesmo de iptables pra um trabalho, mas já sei alguns comando pra instalar e etc.
Podem ajudar a clarear as idéias ?
Obrigado pela a atenção.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Monitorando o Preço do Bitcoin ou sua Cripto Favorita em Tempo Real com um Widget Flutuante
IA Turbina o Desktop Linux enquanto distros renovam forças
Como extrair chaves TOTP 2FA a partir de QRCODE (Google Authenticator)
Dicas
Ativando e usando "zoom" no ambiente Cinnamon
Vídeo Nostálgico de Instalação do Conectiva Linux 9
Como realizar um ataque de força bruta para desobrir senhas?
Tópicos
Thinkpads são bons mesmo ?! (2)
O que faz quando quer se recarregar de positividade e aliviar o stress... (1)
Top 10 do mês
-
Xerxes
1° lugar - 116.108 pts -
Fábio Berbert de Paula
2° lugar - 83.244 pts -
Mauricio Ferrari
3° lugar - 24.614 pts -
Alberto Federman Neto.
4° lugar - 23.632 pts -
edps
5° lugar - 22.007 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
6° lugar - 20.620 pts -
Daniel Lara Souza
7° lugar - 20.662 pts -
Buckminster
8° lugar - 19.600 pts -
Andre (pinduvoz)
9° lugar - 19.557 pts -
Diego Mendes Rodrigues
10° lugar - 16.443 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
