Aula Iptables
Transcript of Aula Iptables
-
Iptables
-
Firewalls,um pouco sobre...
-
Firewalls Realizam a filtragem de pacotes
Baseando-se em: endereo/porta de origem; endereo/porta de destino; protocolo;
Efetuam aes: Aceitar Rejeitar Descartar Registrar
-
Firewalls Realizam o mascaramento (Proxy)
Geralmente incorporado ao Firewall Mascarar vrios IPs privados em um pblico
-
Firewalls Na maioria dos casos possui trs tipos de
fluxos bsicos de pacotes de rede, sendo: Direcionados mquina onde o firewall est
instalado INPUT Direcionados da mquina onde o firewall est
instalado um destino qualquer OUTPUT Encaminhados, repassados, pela mquina onde o
firewall est instalado outras mquinas na rede interna FORWARD
Cada fluxo possui suas regras prprias
-
Vantagens do Firewall Iptables
-
Desvantagens de outros Firewalls
Trabalham na camada de aplicao do TCP/IP, gerando Retardo Travamento Alm de poderem ser alvos de antivrus e IDS
-
Firewall Iptables Implementado diretamente no kernel
linux-source/include/linux/netfilter_ipv4/ip_tables.h Trabalha na camada de Rede do TCP/IP Mais rpido Mais eficiente no tratamento de pacotes
-
IPTables
-
Tabelas IPTables Possui trs tabelas
FILTER a tabela padro (utilizada mesmo se a opo -t no for fornecida). Contm trs cadeias de regras:
INPUT para pacotes destinado a servios locais da mquina FORWARD para pacotes sendo roteados OUTPUT para os pacotes gerados localmente
NAT Esta tabela consultada quando encontra-se um pacote cria uma nova conexo, que deve ser enviado
para outro destino. Contm trs cadeias de regras: PREROUTING para alterar pacotes assim que eles chegarem OUTPUT para alterar pacotes gerados localmente antes de serem roteados POSTROUTING para alterar pacotes momentos antes deles partirem para outros hosts
MANGLE Esta tabela utilizada para alterao especializada dos pacotes. Possui cinco cadeias de regras:
PREROUTING para alterar pacotes que acabaram de chegar, antes de serem roteados OUTPUT para alterar pacotes gerados localmente antes de serem roteados INPUT para pacotes que passam no roteamento FORWARD para alterar os pacotes sendo roteados POSTROUTING para alterar pacotes momentos antes deles partirem para outros hosts
-
Viso geral da tabela Filter
Entrada SadaDeciso deRoteamento
INPUT OUTPUT
FORWARD
Servios Locais
-
Destinos dos Pacotes Na tabela Filter, pode-se definir regras que determinam
se os pacotes sero: ACCEPT
Aceitos Permite que os pacotes passem. DROP
Descartados No permite a passagem dos pacotes e no avisa origem sobre o descarte.
REJECT Rejeitados Rejeita os pacotes e avisam origem sobre a rejeio
LOG Logados (Registrados) Armazena informaes do pacote em
/var/log/syslog (Obs.: em sistemas tipo Debian)
-
Exemplo em Filter INPUTiptables -I INPUT -s -j ACCEPTiptables -I INPUT -s -j DROPiptables -I INPUT -s -j REJECT
-
Exemplo em Filter OUTPUTiptables -I OUTPUT -p tcp --dport 80 -j DROPiptables -I OUTPUT -p tcp --dport 25 -j REJECTiptables -I OUTPUT -p tcp --dport 22 -j ACCEPT
-
Manipulando IPTables
-
Manipulao de regras Manipulando regras dentro de uma cadeia de
regras (chain) -A acrescenta nova regra ao fim da lista -I acrescenta nova regra ao incio da lista -D pos remove uma regra da posio pos -D regra remove a primeira regra que coincidir -L lista as regras na tela
-
Manipulao de cadeia de regras Operaes para aplicar em uma cadeia de
regras (chain) -N Cria uma nova cadeia de regras (chain) -X Deleta uma cadeia de regras (chain) vazia -P Muda a poltica padro de uma cadeia de
regras (chain) -F Apaga todas as regras de uma cadeia de
regras (chain) -Z Zera os pacotes e os bytes de todas as
regras da cadeia de regras (chain)
-
Mais opes -s IP ou Rede de Origem do pacote
Ex: iptables -I INPUT -s 10.10.0.0/16 -j ACCEPT -d IP ou Rede de Destino do pacote
Ex: iptables -I OUTPUT -d 10.10.0.0/16 -j ACCEPT -p Protocolo do pacote
--dport porta destinoEx: iptables -I INPUT -p tcp --dport 80 -j ACCEPT
--sport porta de origemEx: iptables -D OUTPUT -p tcp --dport
-i interface de origem do pacoteEx: iptables -I INPUT -i eth0 -j ACCEPT
-o interface de destino do pacoteEx: iptables -O OUTPUT -o eth1 -j ACCEPT
! exclusoEx: iptables -O OUTPUT ! -s 10.10.0.1 -j ACCEPT
-
Viso geral da tabela NAT
Entrada SadaDeciso deRoteamento
INPUTfilter
OUTPUTfilter
FORWARDfilter
Servios Locais
PREROUTINGnat
POSTROUTINGnat
-
Exemplo de Mascaramento Liberando acesso ao protocolo http na Internet
Internet interface eth0 Rede Interna 10.10.0.0/24
# Habilitando o encaminhamento de pacotesecho 1 > /proc/sys/net/ipv4/ip_forward# Fornecendo a regra para encaminhamentoiptables -t nat -I POSTROUTING \ -s 10.10.0.0/24 -o eth0 \ -p tcp --dport 80 -j MASQUERADE
-
Mais informaes
http://www.netfilter.org http://focalinux.cipsga.org.br/guia/avancado/ch-fw-iptables.htm http://www.zago.eti.br/firewall/dicas-iptables.html http://www.eriberto.pro.br/iptables https://help.ubuntu.com/community/IptablesHowTo
Slide 1Slide 2Slide 3Slide 4Slide 5Slide 6Slide 7Slide 8Slide 9Slide 10Slide 11Slide 12Slide 13Slide 14Slide 15Slide 16Slide 17Slide 18Slide 19Slide 20Slide 21