Um pouco sobre IPtables
IPtables é um firewall a nível de pacotes e funciona baseado no endereço/porta de origem/destino do pacote, prioridade etc. Ele funciona através da comparação de regras para saber se um pacote tem ou não permissão para passar. Em firewalls mais restritivos, o pacote é bloqueado e registrado para que o administrador do sistema tenha conhecimento sobre o que está acontecendo em seu sistema.
[ Hits: 62.845 ]
Por: Douglas Q. dos Santos em 08/12/2012 | Blog: http://wiki.douglasqsantos.com.br
Chain INPUT (policy ACCEPT 4030 packets, 5678K bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 3037 packets, 858K bytes) pkts bytes target prot opt in out source destinationComo pode ser notado, temos alguns contadores em nosso firewall, que são os pacotes aceitos e a quantidade em bytes. Então, podemos zerar esses contadores da seguinte forma:
Chain INPUT (policy ACCEPT 2 packets, 298 bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destinationComo pode ser notado, os contadores já mudaram de valores, porém, entre o tempo de eu limpar as regras e listar novamente, já tinham passado 2 pacotes pelo meu firewall.
Chain INPUT (policy ACCEPT 11 packets, 834 bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 1 packets, 52 bytes) pkts bytes target prot opt in out source destinationComo pode ser notado, a chain de INPUT está com um valor bem maior do que o da chain OUTPUT que acabamos de limpar.
Chain INPUT (policy ACCEPT) num target prot opt source destination 1 internet all -- 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT) num target prot opt source destination Chain OUTPUT (policy ACCEPT) num target prot opt source destination Chain internet (1 references) num target prot opt source destination 1 ACCEPT all -- 10.0.0.20 0.0.0.0/0Note o nosso fluxo, agora a primeira regra da chain INPUT é direcionada para a nossa chain internet, então, vai ser executado tudo que estiver na chain internet e depois vai ser retornado para a 2ª regra da chain INPUT.
Chain INPUT (policy ACCEPT) num target prot opt source destination 1 internet all -- 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT) num target prot opt source destination Chain OUTPUT (policy ACCEPT) num target prot opt source destination Chain internet (1 references) num target prot opt source destination 1 ACCEPT all -- 10.0.0.20 0.0.0.0/0 2 ACCEPT all -- 10.0.0.21 0.0.0.0/0Com isso o firewall vai ler a chain INPUT e vai notar que a primeira regra é ir para a chain internet e executar o que estiver lá, depois, voltar para a regra número 2 na chain INPUT e continuar o seu fluxo.
Debian Lenny com Kernel 2.6.28 + Layer7 + Firewall
Servidor Jabber com Openfire + MySQL + Debian Lenny
Alta disponibilidade com Debian Lenny + Heartbeat + DRBD8 + OCFS2 + MONIT + LVS
Debian + Postfix + MySQL + PostfixAdmin + MailScanner + Webmail + Quotas
Bind9 slave em chroot no Debian Lenny
Firewall admin: administração do iptables
Criando firewalls dinâmicos com Iptables Recent
Como construir um firewall de baixo custo para sua empresa (parte 3)
Ensinando seu servidor a ler emails e liberar acesso SSH
Roteamento de entrada/saída com iproute e iptables
Como escolher o melhor escalonador de CPU para melhorar o desempenho da máquina
Curiosidade sobre DOOM Guy e Isabelle de Animal Crossing
Inicializando servidor Ubuntu na AWS e rodando apache em Container
Instalando TeamViewer no Debian 12
Conheça o Octopi, outro frontend para o Pacman com acesso ao AUR (Arch Linux e derivados)
Terminal transparente no Debian 12 com interface i3wm usando Xfce4-Terminal e Compton
O que é isso no meu navegador? [RESOLVIDO] (5)
Eu estou com problemas para usar o QBASIC no Dosbox X (2)
Ubuntu simplesmente morreu (8)
Como colocar uma assinatura digital em um código compilado ! (2)