Professor - Carlos
Dia - 04-09-2009
1º Parte
Mangle - serve para tratar um pacote para usar da maneira mais adequada.
Definir uma table
iptables -t filter - A INPUT -d 127.0.0.0 -j ACCEPT
Comando - filter - chains
- Fais um filtro de pacotes aonde todos pacotes que entrarem na maquina local que forem destinados ao ip 127.0.0.0 (loopback) vão ser aceitos.
Se trocar o ACCEPR por DROP "todos os pacotes serão descartados"
A table Filter não precisa ser informada, se voce não informar o tipo da table, por padrão ele usa a filter.
iptables -A INPUT -d 127.0.0.1 -j DROP - não foi informado, usa a filter por padrão
Filtra pacotes que entrem na interface de rede 'x' que
-s = source - origem - para onde o pacote saiu
-d = destination - destino, trata o pacote vai
.....
ACCEPT - aceitar
DROP - descartar, usa ex. Ataque de negação de serviço, o sistema pega o pacote e descarta
REJECT - rejeitar, iptables informa a origem que aquele pacote foi rejeitado, manda o icmp de volta disendo "esse pacote foi rejeitado", o gerente tem condiçoes de saber que o pacote foi rejeitado e sabe o destino. (a origem é informada que o pacote foi regeitado)
Chains - são as regras que as tables vai seguir;
Conjunto de regras associada a table
Tipos - filter - input e output, forward;
Nat - PREROUTING, POSTROUTING
Mangle - prerounting, postrouting, output
Filter - filtragem de pacotes (entrada, saida, retransmição, INPUT, OUTPUT, FORWARD)
Nat
mangle
Se a minha regra é filter - INPUT, OUTPUT, FORWARD
Nat - PREROUTING, POSTROUTING
Mangle - PREROUTING, POSTROUTING, OUTPUT
1o coisa quando for implementar iptables
Definir politicas "polices" politicas padrão para o iptables
1 - bloqueia tudo e depois libera o que queremos que seja liberados;
2 - libera tudo e bloqueia o que não quer que passe.
iptables -P INPUT DROP - todos os pacotes que entrarem vão ser dropadas;
iptables -P OUTPUT DROP - pacotes que saem;
iptables -P FORWARD DROP - que tentem atravessar;
Todos os pacotes que entrarem, sairem, ou atravessar a maquina de uma placa de rede por outra serao bloqueada.
INPUT - TIPO DE REGRA
DROP - FILTRO
Só podera acessar a máquina via terminal, ssh não funciona nem outro tipo de comando para acesso remoto.
A partir daki vem o conjunto de regras "bloqueios"
Lembrar - trabalhar com firewall, obrigatoriamente tem que ser super usuário.
Teste rápido - ping 127.0.0.1
Verificar se já tem iptables startado.
Service iptables stop - para o serviço
iptables -f filter -A INPUT -d 127.0.0.1 -j DROP
Bloqueia ping
Todos pacotes que entrarem na maquina 127.0.0.1 será dropado.
Ntsysv - mostra os serviços que inicia junto com a maquina.
Ntsysv - desmarcar iptables para não inicializar quando a maquina for inicializada.
| Comandos | |||
| Listar as regras ativas | Iptables -L | -n nao resolve dns, com isso ele coloca somente os ips na lista, se deixar o -L ele tenta transformar os ip`s em nomes. | Iptables -L -n |
| Iptables -t NAT -L -n | Visualuza a table NAT | ||
| Iptables -t mangle -L -n | Visualuza tablela mangle | ||
| Limpar as regras | Iptables -F | Limpa as regras, "Nao apaga o arquivo de regras" e fica somente com a police padrão | |
| Iptables -t NAT - F | Limpa regras NAT | ||
| Iptables -t mangle -F | Limpa regras mangle |
Iptables -t filter -A INPUT -s 201.72.88.10 -i eth0 -j DROP
Todos pacotes que chegaram na maquina que forem originados "-s" porque a regra de IMPUT e vieram do ip 201.72.88.10 através da interface eth0 serão dropados ou seja descartados, os demais pacotes de outros ip`s serão aceitos.
-i eth0 - Dispositivo de rede.
Iptables -t filter -A INPUT -s 201.72.88.10 -p TCP --dport 80 -j DROP
-A INPUT - destinados a maquina local
-p - tipo de protocolo
--dport 80 -j DROP - destinados a porta 80
Tcp - tipo tcp
DROP - dropa
-p TCP - tcp, udp, icmp
--dport - porta de destino, sport"porta de origem", dport"porta de destino"
Bloqueia acesso web para ip especifico da rede. Se a pagina web estiver ospedada no próprio equipamento
Todos os pacotes que entram no ip que sejam tcp que sejam destinados a porta 80 dropa
2o parte
Iptables -A INPUT -P TCP --dport 20:22 -j ACCEPT
Todos pacotes do tipo tcp destinados as portas são aceitas.
20:22 - faixa de portas.
1o port DROP depois tem que ser ACCEPT
1o port ACCEPT depois tem que ser DROP
Toda conexão estabelecida no tcp vc tem que liberar tanto entrada quanto saida por que o equipamento tem que dar um tipo de resposta.
Iptables -A OUTPUT -P TCP --sport 20:22 -j ACCEPT
Todos os pacotes que se originarem da interface
Iptables -t nat -A PREROUTING -P TCP -i eth0 -d 202.1.1.1 --dport 110 - j DNAT --to-dest 10.1.1.1
-t NAT - table nat, conversao de endereço do tipo prerouting
-A PREROUTING - enxergar apartir da internet uma maquina que esta por detras do firewall
DNAT -
Todos pacotes que chegarem na eth0 com destino a 201.1.1 na porta 110 ele redireciona para 10.1.1.1 na porta 110 porque nao foi especificado a porte destino.
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Todos os pacotes que saem da rede local e querem ir para a internet
-A POSTROUTING -
MASQUERADE - pega o ip de origem e troca por um ip válido
Nenhum comentário:
Postar um comentário