Upload
x901
View
17
Download
0
Embed Size (px)
Citation preview
Iptables
Firewalls,um pouco sobre...
Firewalls Realizam a filtragem de pacotes
Baseando-se em: endereo/porta de origem; endereo/porta de destino; protocolo;
Efetuam aes: Aceitar Rejeitar Descartar Registrar
Firewalls Realizam o mascaramento (Proxy)
Geralmente incorporado ao Firewall Mascarar vrios IPs privados em um pblico
Firewalls Na maioria dos casos possui trs tipos de
fluxos bsicos de pacotes de rede, sendo: Direcionados mquina onde o firewall est
instalado INPUT Direcionados da mquina onde o firewall est
instalado um destino qualquer OUTPUT Encaminhados, repassados, pela mquina onde o
firewall est instalado outras mquinas na rede interna FORWARD
Cada fluxo possui suas regras prprias
Vantagens do Firewall Iptables
Desvantagens de outros Firewalls
Trabalham na camada de aplicao do TCP/IP, gerando Retardo Travamento Alm de poderem ser alvos de antivrus e IDS
Firewall Iptables Implementado diretamente no kernel
linux-source/include/linux/netfilter_ipv4/ip_tables.h Trabalha na camada de Rede do TCP/IP Mais rpido Mais eficiente no tratamento de pacotes
IPTables
Tabelas IPTables Possui trs tabelas
FILTER a tabela padro (utilizada mesmo se a opo -t no for fornecida). Contm trs cadeias de regras:
INPUT para pacotes destinado a servios locais da mquina FORWARD para pacotes sendo roteados OUTPUT para os pacotes gerados localmente
NAT Esta tabela consultada quando encontra-se um pacote cria uma nova conexo, que deve ser enviado
para outro destino. Contm trs cadeias de regras: PREROUTING para alterar pacotes assim que eles chegarem OUTPUT para alterar pacotes gerados localmente antes de serem roteados POSTROUTING para alterar pacotes momentos antes deles partirem para outros hosts
MANGLE Esta tabela utilizada para alterao especializada dos pacotes. Possui cinco cadeias de regras:
PREROUTING para alterar pacotes que acabaram de chegar, antes de serem roteados OUTPUT para alterar pacotes gerados localmente antes de serem roteados INPUT para pacotes que passam no roteamento FORWARD para alterar os pacotes sendo roteados POSTROUTING para alterar pacotes momentos antes deles partirem para outros hosts
Viso geral da tabela Filter
Entrada SadaDeciso deRoteamento
INPUT OUTPUT
FORWARD
Servios Locais
Destinos dos Pacotes Na tabela Filter, pode-se definir regras que determinam
se os pacotes sero: ACCEPT
Aceitos Permite que os pacotes passem. DROP
Descartados No permite a passagem dos pacotes e no avisa origem sobre o descarte.
REJECT Rejeitados Rejeita os pacotes e avisam origem sobre a rejeio
LOG Logados (Registrados) Armazena informaes do pacote em
/var/log/syslog (Obs.: em sistemas tipo Debian)
Exemplo em Filter INPUTiptables -I INPUT -s -j ACCEPTiptables -I INPUT -s -j DROPiptables -I INPUT -s -j REJECT
Exemplo em Filter OUTPUTiptables -I OUTPUT -p tcp --dport 80 -j DROPiptables -I OUTPUT -p tcp --dport 25 -j REJECTiptables -I OUTPUT -p tcp --dport 22 -j ACCEPT
Manipulando IPTables
Manipulao de regras Manipulando regras dentro de uma cadeia de
regras (chain) -A acrescenta nova regra ao fim da lista -I acrescenta nova regra ao incio da lista -D pos remove uma regra da posio pos -D regra remove a primeira regra que coincidir -L lista as regras na tela
Manipulao de cadeia de regras Operaes para aplicar em uma cadeia de
regras (chain) -N Cria uma nova cadeia de regras (chain) -X Deleta uma cadeia de regras (chain) vazia -P Muda a poltica padro de uma cadeia de
regras (chain) -F Apaga todas as regras de uma cadeia de
regras (chain) -Z Zera os pacotes e os bytes de todas as
regras da cadeia de regras (chain)
Mais opes -s IP ou Rede de Origem do pacote
Ex: iptables -I INPUT -s 10.10.0.0/16 -j ACCEPT -d IP ou Rede de Destino do pacote
Ex: iptables -I OUTPUT -d 10.10.0.0/16 -j ACCEPT -p Protocolo do pacote
--dport porta destinoEx: iptables -I INPUT -p tcp --dport 80 -j ACCEPT
--sport porta de origemEx: iptables -D OUTPUT -p tcp --dport
-i interface de origem do pacoteEx: iptables -I INPUT -i eth0 -j ACCEPT
-o interface de destino do pacoteEx: iptables -O OUTPUT -o eth1 -j ACCEPT
! exclusoEx: iptables -O OUTPUT ! -s 10.10.0.1 -j ACCEPT
Viso geral da tabela NAT
Entrada SadaDeciso deRoteamento
INPUTfilter
OUTPUTfilter
FORWARDfilter
Servios Locais
PREROUTINGnat
POSTROUTINGnat
Exemplo de Mascaramento Liberando acesso ao protocolo http na Internet
Internet interface eth0 Rede Interna 10.10.0.0/24
# Habilitando o encaminhamento de pacotesecho 1 > /proc/sys/net/ipv4/ip_forward# Fornecendo a regra para encaminhamentoiptables -t nat -I POSTROUTING \ -s 10.10.0.0/24 -o eth0 \ -p tcp --dport 80 -j MASQUERADE
Mais informaes
http://www.netfilter.org http://focalinux.cipsga.org.br/guia/avancado/ch-fw-iptables.htm http://www.zago.eti.br/firewall/dicas-iptables.html http://www.eriberto.pro.br/iptables https://help.ubuntu.com/community/IptablesHowTo
Slide 1Slide 2Slide 3Slide 4Slide 5Slide 6Slide 7Slide 8Slide 9Slide 10Slide 11Slide 12Slide 13Slide 14Slide 15Slide 16Slide 17Slide 18Slide 19Slide 20Slide 21