Páginas

sexta-feira, 11 de setembro de 2009

Iptables - 11-09

Iptables
Professor - Carlos

Variaveis = Nomes que podem ser dados a alguns comandos quando podemos associar parametros.

Placa_Externa = "eth0" - defini uma variavel chamado Placa_Externa
IP_WAN = "201.1.1.10"
IP_LAN = "10.1.1.254"

Iptables -t filter -A input -I $Placa_Externa -j ACCEPT


Arquivo txt
1 - #----------------------
#variaveis
#--------------------
2 - Modulos - modulos do kernel que precisa carregar pada determindos tipos de serviço.
3 - Polices - regras padrão do iptables (-p DROP)
4 - INPUT - regras de entrada
5 - OUTPUT - regras de saida
6 - FORWARD
7 - NAT
8 - MANGLE
9 - LOG
Não é norma, é uma possibilidade de organizar as regras
É imprencidivel que as variaveis sejam definidas primeiro.
.....

___________________________
STATES -estado

Regras de estado, dis respeito a conexoes tcp, udp, icmp, dis respeito ao estado da conexão
Established - trata a conexão
Related - quando o serviço precisa starta uma nova conexão, se nao autorizar no firewall nenhum ftp irá funcionar "deixa um serviço de uma maquina externa, abrir uma outra porta."

Iptables -t filter _A FORWARD -m state RELATED, ESTABLISHED -j ACCEPT

ACCEPT
-A FORWARD
RELATED, ESTABLISEHD

TODOS OS PACOTES QUE ATRAVESSARTEM O FIREWALL CUJA ESTADOS DO PACOTES ESTAO RELATED OU ESTABLISHED SERAO ACEITOS. FAS COM QUE O FIREWALL ACEITA OS 2 TIPOS DE STATES

Mangle - marcaçÃO DE Pacotes ou rotular pacotes
1 - marcação de pacotes - 1 - mark - 2 - tos
2 - controle de pacotes marcados

1 - mark - coloca marcacao de pacote de acordo com a nossa vontade "marcar um pacote"
2 - tos - mudança do tipo do serviço dentro do pacote ip "mudança do estado original do pacote"

Tos altera um parametro do pacote pra um valor que ja é pré estabelecido, nao precisa criar nenhuma regra adicional para fazer o controle.

Mark primeiro tem que setar e depois mudar a regra.
Posso pegar todos os pacotes tal e setar como 1 e depois pegar todos ip`s e mudar para o minimo possivel "pega todos que tem 1 e muda o TOS para o minimo possível"

Ex Mangle
Iptables -A OUTPUT -P tcp -o eth0 --dport 80 -j TOS --set-tos 16
-A OUTPUT
TOS - Type os Service


Todos os pacotes de saida que forem do protocolo tcp que forem originados da interface de rede eth0 que seja destinados a porta 80 www esta alterando o campo TOS para 16, entao todos os pacotes que sairem do firewall pela eth0 para a internet na porta 80 vao ser marcados com o 010

















Mangle podemos usar para marcar pacotes e mudar prioridade, marcados serve pra me integrar o iptables com outras aplicações como Qos e o TOS muda a prioridade do pacote dentro do próprio iptables, e esse pacote com a prioridade mudada ja sai para a internet com a prioridade.

Marcar pelo ip destino (Iptables -a output -d 10.1.1.1 -j mark set-mark 0x2)
Postado por às
Marcadores:

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)