Escolar Documentos
Profissional Documentos
Cultura Documentos
Iptables Resumo
Iptables Resumo
Resumo e Exerccios
Sumrio
Manipulando chains
1.1
1.2
1.3
1.4
1.5
1.6
1.7
1.8
1.9
1.10
Exerccios:
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
3
4
5
5
5
6
6
6
6
7
7
7
8
8
9
10
Captulo 1
Manipulando chains
Apagar regras:
Inserir regras:
Substituir regras:
Criao de chains:
CAPTULO 1.
MANIPULANDO CHAINS
Renomear chains:
iptables -t lter -E chain-antigo novo-chain
No se pode mudar os chains defaults do iptables.
Apagar chains:
Determina o destino de um pacote quando ele chegar ao nal das regras contidas em um chain.
O padro ACCEPT.
iptables [-t tabela] [-P chain] [ACCEPT/DROP]
CAPTULO 1.
MANIPULANDO CHAINS
Para bloquear a passagem de trfego da interface ppp0 para a interface eth1 (da rede
interna):
-p (ou protocol).
PortaOrigem default = 0
PortaDestino default = 65535
CAPTULO 1.
MANIPULANDO CHAINS
CAPTULO 1.
MANIPULANDO CHAINS
Aps isso o seu Linux j est congurado. Agora os clientes da rede precisaro ser congurados
para usar o endereo IP do servidor Linux como GATEWAY. Congure tambm um servidor
DNS e instale um servidor Proxy (opcionais) para acelerar o desmepenho das requisies/resoluo
de nomes das mquinas em rede.
1.10.2
Source NAT
Modica o endereo de origem das mquinas cliente antes dos pacotes serem enviados. Toda
operao de SNAT feita no chain POSTROUTING
# Modica o endereo IP dos pacotes vindos da mquina 192.168.1.2 da rede interna
# que tem como destino a interface eth1 para 200.200.217.40 (que o nosso endereo
# IP da interface ligada a Internet).
$> iptables -t nat -A POSTROUTING -s 192.168.1.2 -o eth1 -j SNAT to 200.200.217.40
Tambm possvel especicar faixas de endereos e portas que sero substitudas:
$> iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT to 200.200.217.40200.200.217.50
Modica o endereo IP de origem de todas as mquinas da rede 192.168.1.0/24 que tem o
destino a interface eth0 para 200.241.200.40 a 200.241.200.50.
O endereo IP selecionado escolhido de acordo com o ltimo IP alocado.
$> iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT to 200.200.217.40200.200.217.50:1-1023
Idntico ao anterior, mas faz somente substituies na faixa de portas de origem de 1 a 1023.
$> iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT to 200.200.217.40200.200.217.50 to 200.200.217.70-200.200.217.73
Faz o mapeamento para a faixa de portas 200.200.217.40 a 200.200.217.50 e de 200.200.217.70
a 200.200.217.73.
OBS1:
OBS2:
Se por algum motivo no for possvel mapear uma conexo NAT, ela ser derrubada.
Tenha certeza que as respostas podem chegar at a mquina que fez o NAT. Se estiver
fazendo SNAT em um endereo livre em sua rede (como 200.200.217.73).
CAPTULO 1.
MANIPULANDO CHAINS
OBS3: Como notou acima, o SNAT usado quando temos uma conexo externa com um
ou mais IP's xos. O Masquerading uma forma especial de SNAT usada para funcionar em
conexes que recebem endereos IP aleatrios (PPP).
OBS4: No se esquea de habilitar o redirecionamento de pacotes aps fazer suas regra de
NAT com o comando:
echo "1" >/proc/sys/net/ipv4/ip_forward, caso contrrio o redirecionamento de pacotes no funcionar.
1.10.3
Destination NAT
Modica o endereo de destino das mquinas clientes. Muito utilizado para fazer o redirecionamento de pacotes, proxyes transparentes e balanceamento de carga. Toda operao de DNAT
feita no chain PREROUTING.
# Modica o endereo IP destino dos pacotes de 200.200.217.40 vindo da interface eth0 para
192.168.1.2.
$> iptables -t nat -A PREROUTING -s 200.200.217.40 -i eth0 -j DNAT to 192.168.1.2
Tambm possvel especicar faixas de endereos e portas que sero substitudas no DNAT:
$> iptables -t nat -A PREROUTING -i eth0 -s 192.168.1.0/24 -j DNAT to 200.200.217.40200.200.217.50
Modica o endereo IP de destino do trfego vindos da interface 192.168.1.0/24 para um IP
de 200.241.200.40 a 200.241.200.50. Este um excelente mtodo para fazer o balanceamento de
carga entre servidores. O endereo IP selecionado escolhido de acordo com o ltimo IP alocado.
$> iptables -t nat -A PREROUTING -i eth0 -s 192.168.1.0/24 -j DNAT to 200.200.217.40200.200.217.50:1024:5000
Idntico ao anterior, mas faz somente substituies na faixa de portas de destino de 1024 a
5000. A operao acima a mesma realizada pelo ipmasqadm dos kernels da srie 2.2.
OBS1: Se por algum motivo no for possvel mapear uma conexo NAT, ela ser derrubada.
OBS2: No se esquea de conferir se o ip_forward est ajustado para 1:
echo "1" >/proc/sys/net/ipv4/ip_forward
1.10.4
Redirecionamento de portas
Permite passar conexes com destino a uma porta para outra porta na mesma mquina. O alvo
REDIRECT usado para fazer esta operao, junto com o argumento to-port especicando a
porta que ser redirecionada. Este o mtodo especco para se fazer um proxy transparente.
Todas as operaes de redirecionamento de portas realizado no chain PREROUTING e
OUTPUT da tabela nat.
cat /proc/net/ip_conntrack
CAPTULO 1.
1.10.5
MANIPULANDO CHAINS
iptables -A FORWARD
-j ACCEPT -p tcp dport 21
iptables -t nat -A PREROUTING -i eth1 -p tcp dport 21 -j DNAT to 192.168.0.100
Redirecionando conexes FTP entrantes para o host 192.168.0.100
iptables
-A FORWARD -j ACCEPT -p tcp dport 22
iptables -t nat -A PREROUTING -i eth1 -p tcp dport 22 -j DNAT to 192.168.0.100:22
iptables -A FORWARD -j ACCEPT -p tcp dport 80
iptables -t nat -A PREROUTING -i eth1 -p tcp dport 80 -j DNAT to 192.168.0.100:80
Redirecionando conexoes SSH e WWW entrantes para o host 192.168.0.100
Captulo 2
Exerccios:
1 - Instalar o iptables no seu Linux e criar um arquivo onde devero ser colocadas as regras e
chains.
2 - Congurar de modo a bloquear conexes ICMP, TELNET e FTP de entrada.
3 - Limitar as conexes ao servio SSH de seu servidor e bloquear as demais conexes de fora
para sua mquina.
4 - Habilitar o servidor WEB em porta de conexo no padro e estabelecer as regras de acesso.
5 - Registrar em LOG o trfefo do seu Firewall.
6 - Utilizar o script para examinar os LOGs do Firewall Iptables instalado
http://granito2.cirp.usp.br/Firewall/lista.portas.iptables
7 - Examinar os campos referentes a horrios, interfaces de Entrada/Sada, endereos de Origem/Destino, MAC ADDRESS, etc
8 - Salvar e Recuperar as regras usando os comandos iptables-save e iptables-restore.
9 - Montar um sistema NAT com o Fedora, usando duas placas de Rede.
Referncia:
http://www.vivaolinux.com.br/artigos/impressora.php?codigo=4248
10 - Proteger seu Firewall contra os seguintes tipos de ataque:
Ping da morte
SYN FLOOD
IP SPOOFING
11 - Elaborar um Firewall dedicado a uma Intranet atendendo os seguintes itens: