2/4%!-%.4/$).

¸-)#/

#ONSIDERA˵ESINICIAIS

/ROTEAMENTODIN½MICO£ESTABELECIDOQUANDOCOLOCAMOSUMAMÖQUINAENTREDUASOUMAISSUB REDES
DIFERENTESEHÖALIVREPASSAGEMDEPACOTESENTREELASQUANDONECESSÖRIO»IMPORTANTERESSALTAR
QUEOROTEAMENTOS˜IRÖFUNCIONARQUANDOFORFEITOENTRE35" 2%$%3$)&%2%.4%3.âOSEPODE
COLOCARUMROTEADORENTREDUASSUB REDESIGUAIS

/ROTEAMENTOTAMB£M£¢TILPARADIMINUIROTRÖFEGONAREDECOMOUMTODOPOISS˜DEIXAOPACOTE
MUDARDESUB REDESEISSOFORREALMENTENECESSÖRIO

6EJAUMESQUEMADEROTEAMENTO

0ARAFAZEROROTEAMENTOOMICROROTEADORDEVEPOSSUIRUMAPLACADEREDEEMCADASUB REDE

4AMB£MDEVEREMOSINFORMAREMCADAMÖQUINAQUEMSERÖOMICRORESPONSÖVELPELOROTEAMENTO/
NOMET£CNICODESSEMICRO£GATEWAY

.OCASODOESQUEMAANTERIORTEMOSASSEGUINTESSITUA˵ES

'ATEWAYPARAE

'ATEWAYPARAE

»IMPORTANTEQUENOSDOISLADOSTODOSOSMICROSSAIBAMQUEM£OSEUGATEWAYPOISDOCONTRÖRIOOS

PACOTESPODERâOSEPERDERNAIDAOUNAVOLTA%XEMPLO

!MÖQUINASABEQUE£OSEUGATEWAY!MÖQUINANâOSABEQUEM£O
SEUGATEWAY5MPINGDEPARASAIRÖDEPASSARÖPORSEGUIRÖPOR
ECHEGARÖEM#OMOONâOSABEQUEM£OSEUGATEWAYPARAAREDE
NâOCONSEGUIRÖRESPONDER/PINGVAIMORRERPORTIMEOUT(OUVEOICMPECHOREQUESTMAS
SERÖIMPOSS¤VELGERAROICMPECHOREPLY
&AZENDOOROTEAMENTODIN½MICO

0ARAESTABELECERMOSOROTEAMENTODIN½MICOENTREDUASSUB REDESBASTA

INSERIRUMMICROCOMDUASPLACASDEREDEENTREASDUASSUB REDESCONlGURANDOCADAPLACADEACORDO

COMCADASUB REDE

DElNIREMCADAMÖQUINADECADASUB REDEQUEM£OSEUGATEWAY

ATIVAROROTEAMENTODIN½MICOVIAKERNEL

$ElNINDOOGATEWAY

0ARADElNIRMOSOGATEWAYEMCADACLIENTEDEVEMOS

.O,INUX

%DITAROARQUIVOETCSYSCONlGNETWORKEINSERIRALINHA

'!4%7!9IP?DO?GATEWAY

%MSEGUIDADEVEMOSREINICIARAREDE

ETCRCDINITDNETWORKRESTART

.O7INDOWS

.AS0ROPRIEDADESDOPROTOCOLO4#0)0HÖUMASEÀâOGATEWAY"ASTAINSERIRO)0DOGATEWAYNESSASEÀâO
%XEMPLO
!TIVANDOOROTEAMENTOVIAKERNEL

/ROTEAMENTOVIAKERNELSERÖATIVADOCOMOCOMANDO

ECHOPROCSYSNETIPVIP?FORWARD

%SSEROTEAMENTOSERÖPERDIDOSEAREDEEEMCONSEQÓäNCIAAMÖQUINA FORREINICIALIZADAETCRCDINITD

NETWORKRESTART 

0ODER¤AMOSINSERIRAREGRANOlMDOARQUIVOETCRCDRCLOCALPARAQUEAMESMASEJAATIVADAACADA
REINICIALIZAÀâODOSISTEMA.OENTANTOUMREIN¤CIODAREDEMATARIAOROTEAMENTONOVAMENTE

5MAFORMADEDEIXARAREGRADEROTEAMENTOPERMANENTEMENTEATIVADARESISTINDOAQUALQUERTIPODE
REINICIALIZAÀâOSERIAAALTERAÀâODOARQUIVOETCSYSCTLCONF

NETIPVIP?FORWARD

4ESTEDOROTEAMENTO

/TESTEDOROTEAMENTOPODESERFEITOPORINTERM£DIODOCOMANDOPING"ASTAhPINGARvUMAMÖQUINAQUE
ESTEJAAP˜SOROTEADOR

#ASONâOHAJARESPOSTAFAÀAUMTESTEPROGRESSIVOPARATENTARDEDUZIROPROBLEMA

PINGUEAPLACADOROTEADORQUEESTEJADENTRODASUASUB REDE

PINGUEAPLACADOROTEADORQUEESTEJANAOUTRASUB REDE

PINGUEUMAMÖQUINADAOUTRASUB REDE

2OTEAMENTOM¢LTIPLO

»POSS¤VELFAZERUMROTEAMENTOM¢LTIPLOENTREMAISDEDUASSUB REDES"ASTAACRESCERMAISPLACASDEREDENO

ROTEADOREEXECUTAROSMESMOSPROCEDIMENTOSAQUIDESCRITOS

#ABERESSALTARQUENEMTODOMICRODEPENDENDODOSEUHARDWAREACEITAMAISDEDUASPLACASDEREDE

'%.%2!,)$!$%3

#ONSIDERA˵ESINICIAIS

%XISTEMVÖRIOSTIPOSDElREWALL%NTENDE SEPORlREWALLCOMOSENDOQUALQUERMÖQUINACAPAZDETOMAR
DECISµESEMRELAÀâOAOTRÖFEGODEREDE0ODEMOSCITARCOMOTIPOSDElREWALLASMÖQUINASQUEEXECUTAM
OSSEGUINTESSERVIÀOS

ROTEAMENTOCONTROLADOPORREGRASDEANÖLISEDECABEÀALHO)0lLTRODEPACOTESOUlREWALLDEPASSAGEM 

ROTEAMENTOMASCARADOCONTROLADOPORREGRASDEANÖLISEDECABEÀALHO)0lLTRODEPACOTESMASCARADO
OUlREWALLDEMASCARAMENTO 

ROTEAMENTOCONTROLADOPORREGRASDEANÖLISEDECONTE¢DODEPACOTESlLTRODEANÖLISEDEPACOTESOU
lREWALLDECONTE¢DO 

ROTEAMENTOMASCARADOCONTROLADOPORREGRASDEANÖLISEDE52,PROXY 

&ALAREISOBREOlLTRODEPACOTESEXISTENTENO,INUX%LEVERIlCAAPENASOCABEÀALHODECADAPACOTEDElNINDO
OQUEOCORRERÖCOMTAISPACOTES"ASICAMENTES˜ENTENDEENDEREÀO)0MÖSCARADESUB REDEPORTASETIPOSDE
PROTOCOLOS.âOANALISAOCONTE¢DODOPACOTE

4ODASASEXPRESSµESlREWALLQUANDOUTILIZADASDAQUIPORDIANTEREFERIR SE âOAOlLTRODEPACOTESDO,INUX

!lLTRAGEMDEPACOTES£UMAATIVIDADEINTERNADOKERNEL

/SlLTROS,INUX

/lREWALLNAMAIORIADASVEZESATUACOMOUMROTEAMENTODIN½MICOCONTROLADO»UMAATIVIDADEINTERNA

UMAPROPRIEDADEDOKERNEL

3âOOSSEGUINTESOSlLTROSEXISTENTES

KERNELXIPFWADM

KERNELXIPCHAINS

KERNELXIPTABLES

/BSUMKERNEL£ESTÖVELQUANDOOALGARISMOEXISTENTEENTREOSDOISPONTOS£PAR%XEMPLOXX£ESTÖVEL
*ÖOXXNâO£ESTÖVEL

/+ERNELPORQUESTµESDECOMPATIBILIDADEMANT£MOSlLTROSIPFWADMEIPCHAINS.OENTANTOELES

NâOFUNCIONAMCOMPLETAMENTECOMESSEKERNEL!L£MDISSOSEOIPCHAINSESTIVERATIVOOIPTABLESNâOIRÖ
FUNCIONAR!SSIMNO2ED(ATTORNA SENECESSÖRIOENTRARNOSETUPE

HABILITAROIPTABLES

DESABILITAROIPCHAINS

3EADISTRIBUIÀâOUTILIZADANâOPOSSUIROCOMANDOSETUPUTILIZEOCOMANDORMMODIPCHAINS#ABERESSALTAR
QUEOIPTABLESTERÖOSSEUSM˜DULOSBÖSICOSCARREGADOSQUANDOFORUTILIZADOPELAPRIMEIRAVEZ
#OMOFUNCIONAUMlREWALL

/&),42/$%0!#/4%3DO,INUXFUNCIONAMEDIANTEREGRASESTABELECIDAS4ODOSOSPACOTESENTRAMNO
KERNELPARASEREMANALISADOS!S#(!).3CORRENTES SâOASSITUAÀµESPOSS¤VEISDENTRODOKERNEL1UANDO
UMPACOTEENTRANOKERNELESTEVERIlCAODESTINODOPACOTEEDECIDEQUALCHAINIRÖTRATARDOPACOTE)SSOSE
CHAMAROTEAMENTOINTERNO/STIPOSDECHAINSIRâODEPENDERDATABELAQUEESTAREMOSUTILIZANDONOMOMENTO
%XISTEMTABELASPOSS¤VEIS

lLTER£ATABELADEFAULT1UANDONâOESPECIlCARMOSATABELAAlLTERSERÖUTILIZADA2EFERE SEÜS

ATIVIDADESNORMAISDETRÖFEGODEDADOSSEMAOCORRäNCIADE.!4!DMITEASCHAINS).054/54054E
&/27!2$

NATUTILIZADAQUANDOHÖ.!4%XEMPLOPASSAGEMDEDADOSDEUMAREDEPRIVADAPARAA)NTERNET!DMITE
ASCHAINS02%2/54).'/54054E0/342/54).'

MANGLEHÖREFERäNCIASDEQUEAMESMA£UTILIZADAPARAALTERAÀµESESPECIAISEMPACOTES2ARAMENTE
UTILIZADA
4!"%,!3

4ABELA&ILTER

6EJAMOSOFUNCIONAMENTODATABELAlLTERDEFAULT EASSUASRESPECTIVASCHAINS
%SQUEMADA4ABELA&ILTER

3âOTRäSASPOSS¤VEISCHAINS

).054UTILIZADAQUANDOODESTINOlNAL£APR˜PRIAMÖQUINAlREWALL

/54054QUALQUERPACOTEGERADONAMÖQUINAlREWALLEQUEDEVASAIRPARAAREDESERÖTRATADOPELA
CHAIN/54054

&/27!2$QUALQUERPACOTEQUEATRAVESSAOlREWALLORIUNDODEUMAMÖQUINAEDIRECIONADOAOUTRA
SERÖTRATADOPELACHAIN&/27!2$
2EGRASDElREWALL

!SREGRASRULES DElREWALLGERALMENTESâOCOMPOSTASASSIM

IPTABLES; TTABELA=;OPÀâO=;CHAIN=;DADOS= J;AÀâO=

%XEMPLO

IPTABLES !&/27!2$ D J$2/0

!LINHAACIMADETERMINAQUETODOSOSPACOTESDESTINADOSÜMÖQUINADEVEMSERDESCARTADOS
.OCASO

TABELAlLTER£ADEFAULT

OPÀâO !

CHAIN&/27!2$

DADOS D

AÀâO$2/0

%XISTEMOUTRASPOSSIBILIDADESQUEFOGEMÜSINTAXEMOSTRADAANTERIORMENTE»OCASODOCOMANDOIPTABLES
,QUEMOSTRAASREGRASEMVIGOR
!NÖLISEDEREGRASCOMATABELAlLTER

/P˵ES

!SPRINCIPAISOPÀµESSâO

0 0OLICYPOL¤TICA !LTERAAPOL¤TICADACHAIN!POL¤TICAINICIALDECADACHAIN£!##%04)SSOFAZ
COMQUEOlREWALLINICIALMENTEACEITEQUALQUER).054/54054OU&/27!2$!POL¤TICAPODESER
ALTERADAPARA$2/0QUEIRÖNEGAROSERVIÀODACHAINAT£QUEUMAOPÀâO !ENTREEMVIGOR/ 0NâO
ACEITA2%*%#4OU,/'%XEMPLOS

IPTABLES 0&/27!2$$2/0

IPTABLES 0).054!##%04

! !PPENDANEXAR !CRESCEUMANOVAREGRAÜCHAIN4EMPRIORIDADESOBREO 0'ERALMENTECOMO

BUSCAMOSSEGURANÀAMÖXIMACOLOCAMOSTODASASCHAINSEMPOL¤TICA$2/0COMO 0EDEPOISABRIMOSO
QUE£NECESSÖRIOCOMO !%XEMPLOS

IPTABLES !/54054 D J!##%04

IPTABLES !&/27!2$ S J$2/0

IPTABLES !&/27!2$ DWWWCHATCOMBR J$2/0

$ $ELETEAPAGAR !PAGAUMAREGRA!REGRADEVESERESCRITANOVAMENTETROCANDO SEAOPÀâOPARA

$%XEMPLOS

0ARAAPAGARASREGRASANTERIORESUSA SE

IPTABLES $/54054 D J!##%04

IPTABLES $&/27!2$ S J$2/0

IPTABLES $&/27!2$ DWWWCHATCOMBR J$2/0

4AMB£M£POSS¤VELAPAGARAREGRAPELOSEUN¢MERODEORDEM0ODE SEUTILIZARO ,PARAVERIlCARON¢MERO

DEORDEM6ERIlCADOESSEN¢MEROBASTACITARACHAINEON¢MERODEORDEM%XEMPLO

IPTABLES $&/27!2$

)SSODELETAAREGRAN¢MERODEFORWARD

, ,ISTLISTAR ,ISTAASREGRASEXISTENTES%XEMPLOS

IPTABLES ,
IPTABLES ,&/27!2$

& &LUSHESVAZIAR 2EMOVETODASASREGRASEXISTENTES.OENTANTONâOALTERAAPOL¤TICA 0 %XEMPLOS

IPTABLES &
IPTABLES &&/27!2$
#HAINS

!SCHAINSJÖSâOCONHECIDAS

).054 2EFERE SEATODOSOSPACOTESDESTINADOSÜMÖQUINAlREWALL

/54054 2EFERE SEATODOSOSPACOTESGERADOSNAMÖQUINAlREWALL

&/27!2$ 2EFERE SEATODOSOSPACOTESORIUNDOSDEUMAMÖQUINAEDESTINADOSAOUTRA3âOPACOTESQUE

ATRAVESSAMAMÖQUINAlREWALLMASNâOSâODESTINADOSAELA
$ADOS

/SELEMENTOSMAISCOMUNSPARASEGERARDADOSSâOOSSEGUINTES

S 3OURCEORIGEM %STABELECEAORIGEMDOPACOTE'ERALMENTE£UMACOMBINAÀâODOENDEREÀO)0COMA
MÖSCARADESUB REDESEPARADOSPORUMABARRA%XEMPLO

S

.OCASOVIMOSASUB REDE0ARAHOSTSAMÖSCARASEMPRESERÖ%XEMPLO

S

!GORAVIMOSOHOST!INDANOCASODEHOSTSAMÖSCARAPODESEROMITIDA#ASOISSOOCORRAO

IPTABLESCONSIDERAAMÖSCARACOMO%XEMPLO

S

)SSOCORRESPONDEAOHOST(ÖUMRECURSOPARASIMPLIlCARAUTILIZAÀâODAMÖSCARADESUB REDE
"ASTAUTILIZARAQUANTIDADEDEBITSEXISTENTESNAMÖSCARA!SSIMAMÖSCARAVIRA!
UTILIZAÀâOlCAASSIM

S

/UTRAPOSSIBILIDADE£ADESIGNAÀâODEHOSTSPELONOME%XEMPLO

SWWWCHATCOMBR
0ARAESPECIlCARQUALQUERORIGEMUTILIZEAROTADEFAULTOUSEJATAMB£MADMITINDO

D $ESTINATIONDESTINO %STABELECEODESTINODOPACOTE&UNCIONAEXATAMENTECOMOO SINCLUINDO

ASINTAXE

P 0ROTOCOLPROTOCOLO %SPECIlCAOPROTOCOLOASERlLTRADO/PROTOCOLO)0PODESERESPECIlCADO
PELOSEUN¢MEROVIDEETCPROTOCOLS OUPELONOME/SPROTOCOLOSMAISUTILIZADOSSâOUDPTCPEICMP
%XEMPLO

PICMP

I )N )NTERFACEINTERFACEDEENTRADA %SPECIlCAAINTERFACEDEENTRADA!SINTERFACESEXISTENTESPODEMSER

VISTASCOMOCOMANDOIFCONlG/ INâOPODESERUTILIZADOCOMACHAIN/54054%XEMPLO

IPPP
/SINALPODESERUTILIZADOPARASIMBOLIZARVÖRIASINTERFACES%XEMPLO

IETH

ETHREFERE SEÜETHETHETHETC

O /UT )NTERFACEINTERFACEDESA¤DA %SPECIlCAAINTERFACEDESA¤DA3IMILARA IINCLUSIVENASmEXIBILI

DADES/ ONâOPODESERUTILIZADOCOMACHAIN).054

%XCLUSâO5TILIZADOCOM S D P I OEOUTROSPARAEXCLUIROARGUMENTO%XEMPLO

S


)SSOREFERE SEAQUALQUERENDEREÀODEENTRADAEXCETOO

P
TCP

4ODOSOSPROTOCOLOSEXCETOO4#0

SPORT 3OURCE0ORT0ORTADEORIGEM3˜FUNCIONACOMASOPÀµES PUDPE PTCP%XEMPLO

PTCP SPORT

2EFERE SEÜPORTASOBREPROTOCOLO4#0

DPORT $ESTINATION0ORT0ORTADEDESTINO3˜FUNCIONACOMASOPÀµES PUDPE PTCP3IMILARA SPORT

!˵ES

!SPRINCIPAISAÀµESSâO

!##%04 !CEITAR0ERMITEAPASSAGEMDOPACOTE

$2/0 !BANDONAR.âOPERMITEAPASSAGEMDOPACOTEDESCARTANDO O.âOAVISAAORIGEMSOBREO

OCORRIDO

2%*%#4 )GUALAO$2/0MASAVISAAORIGEMSOBREOOCORRIDOENVIAPACOTEICMPUNREACHABLE 

,/' #RIAUMLOGREFERENTEÜREGRAEMVARLOGMESSAGES5SARANTESDEOUTRASAÀµES

%XEMPLOSCOMENTADOSDEREGRASDElREWALLTABELAlLTER

IPTABLES ,
,ISTATODASASREGRASEXISTENTES

IPTABLES &
!PAGATODASASREGRASSEMALTERARAPOL¤TICA

IPTABLES 0&/27!2$$2/0
%STABELECEUMAPOL¤TICADEPROIBIÀâOINICIALDEPASSAGEMDEPACOTESENTRESUB REDES

IPTABLES !&/27!2$ J$2/0
4ODOSOSPACOTESORIUNDOSDEQUALQUERSUB REDEEDESTINADOSAQUALQUERSUB REDEDEVERâOSERDESCARTADOS

IPTABLES !&/27!2$ J!##%04
4ODOSOSPACOTESORIUNDOSDEQUALQUERSUB REDEEDESTINADOSAQUALQUERSUB REDEDEVERâOSERACEITOS

IPTABLES !&/27!2$ S DWWWCHATCOMBR J$2/0
/SPACOTESORIUNDOSDASUB REDEMÖSCARA EDESTINADOSAOHOSTWWWCHATCOMBRDEVERâO
SERDESCARTADOS

IPTABLES !&/27!2$ S DWWWCHATCOMBR J2%*%#4
/SPACOTESORIUNDOSDASUB REDEMÖSCARA EDESTINADOSAOHOSTWWWCHATCOMBRDEVERâO
SERDESCARTADOS$EVERÖSERENVIADOUM)#-0AVISANDOÜORIGEM

IPTABLES !&/27!2$ DWWWCHATCOMBR J$2/0
/SPACOTESORIUNDOSDEQUALQUERLUGAREDESTINADOSAOHOSTWWWCHATCOMBRDEVERâOSERDESCARTADOS

IPTABLES !&/27!2$ D SWWWCHATCOMBR J$2/0
/SPACOTESDESTINADOSÜSUB REDEMÖSCARA EORIUNDOSDOHOSTWWWCHATCOMBRDEVERâO
SERDESCARTADOS

IPTABLES !&/27!2$ SWWWCHATCOMBR J$2/0
/SPACOTESORIUNDOSDOHOSTWWWCHATCOMBREDESTINADOSAQUALQUERLUGARDEVERâOSERDESCARTADOS

IPTABLES !&/27!2$ S J$2/0
/SPACOTESORIUNDOSDASUB REDEMÖSCARA EDESTINADOSAQUALQUERLUGAR
DEVERâOSERDESCARTADOS

IPTABLES !&/27!2$ S PICMP J$2/0
/SPACOTESICMPORIUNDOSDOHOSTEDESTINADOSAQUALQUERLUGARDEVERâOSERDESCARTADOS

IPTABLES !&/27!2$ IETH J!##%04
/SPACOTESQUEENTRAREMPELAINTERFACEETHSERâOACEITOS

IPTABLES !&/27!2$ I
ETH J!##%04
/SPACOTESQUEENTRAREMPORQUALQUERINTERFACEEXCETOAETHSERâOACEITOS

IPTABLES !&/27!2$ S PTCP SPORT J,/'
/TRÖFEGODEPACOTES4#0ORIUNDOSDAPORTADOHOSTEDESTINADOSAQUALQUERLUGARDEVERÖSER
GRAVADOEMLOG.OCASOVARLOGMESSAGES

IPTABLES !&/27!2$ PTCP DPORT J!##%04
/SPACOTES4#0DESTINADOSÜPORTADEQUALQUERHOSTDEVERâOSERACEITOS

/BSERVA˵ESIMPORTANTES

)MPASSESEORDEMDEPROCESSAMENTO

3EHOUVERIMPASSEENTREREGRASSEMPREVALERÖAPRIMEIRA!SSIMENTREASREGRAS

IPTABLES !&/27!2$ PICMP J$2/0

IPTABLES !&/27!2$ PICMP J!##%04

6ALERÖ

IPTABLES !&/27!2$ PICMP J$2/0

*ÖENTREASREGRAS

IPTABLES !&/27!2$ PICMP J!##%04

IPTABLES !&/27!2$ PICMP J$2/0

6ALERÖ

IPTABLES !&/27!2$ PICMP J!##%04

)SSOOCORREPORQUEASREGRASSâOPROCESSADASNAORDEMEMQUEAPARECEM$EPOISDOPROCESSAMENTODAREGRA
PODEHAVERCONTINUIDADEDEPROCESSAMENTOOUNâO)SSOIRÖDEPENDERDAAÀâO

!##%04 0ÖRADEPROCESSARREGRASPARAOPACOTEATUAL

$2/0 0ÖRADEPROCESSARREGRASPARAOPACOTEATUAL

2%*%#4 0ÖRADEPROCESSARREGRASPARAOPACOTEATUAL

,/' #ONTINUAAPROCESSARREGRASPARAOPACOTEATUAL
/RETORNO

!OSEFAZERDETERMINADASREGRASDEVEMOSPREVERORETORNO!SSIMDIGAMOSQUEEXISTAASEGUINTESITUAÀâO

IPTABLES 0&/27!2$$2/0

IPTABLES !&/27!2$ S D J!##%04

#OMASREGRASANTERIORESFECHAMOSTODOO&/27!2$EDEPOISABRIMOSDASUB REDEPARAA

SUB REDE.OENTANTONâOTORNAMOSPOSS¤VELARESPOSTADASUB REDEPARAASUB REDE
/CORRETOENTâOSERIA

IPTABLES 0&/27!2$$2/0

IPTABLES !&/27!2$ S D J!##%04

IPTABLES !&/27!2$ D S J!##%04

2OTEAMENTODIN½MICO

#ASOHAJAOENVOLVIMENTODEMAISDEUMASUB REDESERÖNECESSÖRIOQUEOROTEAMENTODIN½MICOSEJA

ATIVADOPARAQUEOIPTABLESFUNCIONECORRETAMENTE/ROTEAMENTODIN½MICOVIAKERNELPODESERATIVADO
PELOCOMANDO

ECHOPROCSYSNETIPVIP?FORWARD

#ABELEMBRARQUEAREINICIALIZAÀâODODAEMONDEREDEFARÖCOMQUEOROTEAMENTODIN½MICOSEJAPERDIDO
5MAFORMADEDEIXARAREGRADEROTEAMENTOPERMANENTEMENTEATIVADARESISTINDOAQUALQUERTIPODE
REINICIALIZAÀâOSERIAAALTERAÀâODOARQUIVOETCSYSCTLCONF

NETIPVIP?FORWARD

/CARREGAMENTO

.APRIMEIRAVEZEMQUEOIPTABLESFORUTILIZADOPODERÖSURGIRAMENSAGEM

IP?TABLESC .ETlLTERCORETEAM

.âOSEPREOCUPE)SSO£NORMAL»OCARREGAMENTODOSM˜DULOSNECESSÖRIOS#ASOSURJAMMENSAGENSDEERRO
CERTIlQUE SEDEQUEOIPCHAINSNâOESTEJACARREGADO#ASOESTEJADESCARREGUE O

RMMODIPCHAINS
3ALVANDOERECUPERANDOTUDO

!SREGRASIPTABLESPODERâOSERSALVASCOMOCOMANDO

IPTABLES SAVEARQUIVO

!RECUPERAÀâOPODERÖSERFEITAPELOCOMANDO

IPTABLES RESTOREARQUIVO

5MT¤PICOEXEMPLODECARREGAMENTODEREGRASDEIPTABLESAP˜SAINICIALIZAÀâODOSISTEMASERIA

ECHOPROCSYSNETIPVIP?FORWARD

IPTABLES RESTOREETClREWALL

)SSOPODESERINSERIDONOlMDOARQUIVOETCRCDRCLOCAL

%XTENSµES

!SEXTENSµESPERMITEMlLTRAGENSESPECIAISPRINCIPALMENTECONTRAATAQUESDEHACKERS1UANDONECESSÖRIAS
DEVEMSERASPRIMEIRASLINHASDOlREWALL!SMAISIMPORTANTESSâO

#ONTRA0ING
IPTABLES !&/27!2$ PICMP ICMP TYPEECHO REQUEST J$2/0

#ONTRA0INGOF$EATH
IPTABLES !&/27!2$ PICMP ICMP TYPEECHO REQUEST MLIMIT LIMITS J!##%04

#ONTRAATAQUES3YN mOOD
IPTABLES !&/27!2$ PTCP MLIMIT LIMITS J!##%04

#ONTRA0ORTSCANNERSAVANÀADOSNMAP
IPTABLES !&/27!2$ PTCP TCP mAGS39.!#+&).234 MLIMIT LIMITS J!##%04

-AISPROTEÀâO

%XISTEAINDAUMAREGRAMUITOIMPORTANTEQUENâO£EXTENSâOMASTAMB£MPODESERUTILIZADACOMO

SEGURANÀA»APROTEÀâOCONTRAPACOTESDANIlCADOSOUSUSPEITOS

IPTABLES !&/27!2$ MUNCLEAN J$2/0

.ETWORK!DDRESS4RANSLATORTABELANAT

%XISTEMVÖRIOSRECURSOSQUEUTILIZAM.!4/SMAISCONHECIDOSSâO

-ASCARAMENTOMASQUERADING
2EDIRECIONAMENTODEPORTASPORTFORWARDING 2EDIRECIONAMENTODESERVIDORESFORWARDING
0ROXYTRANSPARENTETRANSPARENTPROXY
"ALANCEAMENTODECARGALOADBALANCE
-ASCARAMENTO

/MASCARAMENTO£UMAFORMADEFAZER.!4.ETWORK!DDRESS4RANSLATION #OMISSO£POSS¤VELFAZER

UMAREDEINTEIRANAVEGARNA)NTERNETCOMSEGURANÀA!REDESOLICITAOSDADOSPARAAMÖQUINAQUEFAZO
MASCARAMENTO%SSABUSCATAISDADOSNA)NTERNET

EOSENTREGAAOSSOLICITANTES

.OENTANTOUMHOSTDA)NTERNETPORVONTADEPR˜PRIANâOCONSEGUEULTRAPASSAROlREWALLQUEFAZMASCARA

MENTOEMDIREÀâOÜREDE

/¢NICOENDEREÀO)0QUEIRÖCIRCULARNA)NTERNETSERÖODOlREWALL
/MASCARAMENTOTAMB£MPOSSUIUMESQUEMADEFUNCIONAMENTO#OMOHAVERÖTROCASDEENDEREÀOSDEVER
EMOSUTILIZARATABELA.!4PARAFAZERISSO

2EDIRECIONAMENTODEPORTAS
/REDIRECIONAMENTODEPORTASOCORREQUANDODESEJAMOSALTERARAPORTADEDESTINODEUMAREQUISIÀâO
%XEMPLOTUDOQUEFORDESTINADOÜPORTADEQUALQUERMÖQUINAQUANDOPASSARPELAMÖQUINAlREWALLSERÖ
REDIRECIONADOPARAAPORTADEOUTROSERVER

2EDIRECIONAMENTODESERVIDORES
4ODOSOSPACOTESDESTINADOSAUMSERVIDOROUPORTADOMESMOSERâOREDIRECIONADOSPARAOUTROSERVIDOR
OUPORTADEOUTROSERVIDOR

0ROXYTRANSPARENTE
»AT£CNICAQUEFORÀAOUSODEUMSERVIDORPROXYNAREDE

"ALANCEAMENTODECARGA
/BALANCEAMENTODECARGALOADBALANCE £UMAT£CNICAUTILIZADAPARADISTRIBUIRCARGAEMCLUSTERSSERVIDORES
%NTENDE SEPORCLUSTERUMAS£RIEDESERVIDORESGRUPADOSESINCRONIZADOSAlMDECONTEREMOSMESMOS
DADOS/LOADBALANCE£OATODEDISTRIBUIROSCLIENTESAOSSERVIDORESMAISDESOCUPADOS%SSETRABALHO
TAMB£MPODESERFEITOPORSERVIDORES$.3
!TABELA.!4

!TABELA.!4FUNCIONADASEGUINTEFORMA

/.!4£DIVIDIDOEM

3.!4APLICA SEQUANDODESEJAMOSALTERAROENDEREÀODEORIGEMDOPACOTE3OMENTEACHAIN0/3
42/54).'FAZ3.!4/MASCARAMENTO£UMEXEMPLODE3.!4
$.!4APLICA SEQUANDODESEJAMOSALTERAROENDEREÀODEDESTINODOPACOTE!SCHAINS02%2/54).'
E/54054FAZEM$.!4/REDIRECIONAMENTODEPORTAOREDIRECIONAMENTODESERVIDOROLOADBALANCEEO
PROXYTRANSPARENTESâOEXEMPLOSDE$.!4

2EGRASDE.!4

0ARAFAZEROMASCARAMENTODEVEREMOSANTESCARREGAROM˜DULODE.!4

MODPROBEIPTABLE?NAT

!SREGRASMAISUTILIZADASAL£MDAMAIORIADOSRECURSOSDESCRITOSPARAUSOCOMATABELAlLTERCONTäMO

SEGUINTE

#HAINS

%XISTEMASSEGUINTESCHAINS

02%2/54).'UTILIZADAPARAANALISARPACOTESQUEESTâOENTRANDONOKERNELPARASOFREREM.!4/
02%2/54).'PODEFAZERAÀµESDE.!4COMOENDEREÀODEDESTINODOPACOTE)SSO£CONHECIDOCOMO
$.!4$ESTINATION.!4 
0/342/54).'UTILIZADAPARAANALISARPACOTESQUEESTâOSAINDODOKERNELAP˜SSOFREREM.!4/
0/342/54).'PODEFAZERAÀµESDE.!4COMOENDEREÀODEORIGEMDOPACOTE)SSO£CONHECIDOCOMO
3.!43OURCE.!4 
/54054UTILIZADAPARAANALISARPACOTESQUESâOGERADOSNAPR˜PRIAMÖQUINAEQUEIRâOSOFRER.!4/
/54054PODEFAZERAÀµESDE.!4COMOENDEREÀODEDESTINODOPACOTE4AMB£M£$.!4

/P˵ES

! !PPENDANEXAR 

$ $ELETAR
$ADOS

T 4ABLETABELA %STABELECEATABELAASERUTILIZADA!TABELADEFAULTPOROMISSâO£lLTER0ARAO

MASCARAMENTOOU.!4SERÖNAT%XEMPLO

IPTABLES TNAT !

TO UTILIZADOPARADElNIR)0EPORTADEDESTINOAP˜SUM$.!4OUDEORIGEMAP˜SUM3.!4$EVESER

UTILIZADOAP˜SUMAAÀâO JAÀâO !SSIM

J$.!4 TO

J$.!4 TO

J3.!4 TO

DPORT ASSIMCOMO DDElNEUMHOSTDEDESTINO DPORTDElNEUMAPORTADEDESTINO$EVESERUTILIZADO

ANTESDEUMAAÀâO JAÀâO !NTESDE DPORTDEVESERESPECIlCADOUMPROTOCOLO P %XEMPLO

D PTCP DPORT J$.!4 TO

SPORT ASSIMCOMO SDElNEUMHOSTDEORIGEM SPORTDElNEUMAPORTADEORIGEM$EVESERUTILIZADO

ANTESDEUMAAÀâO JAÀâO 

TO PORT DElNEUMAPORTADEDESTINOAP˜SUM2%$)2%#4

/BS!MAIORIADOSDADOSBÖSICOSAPRESENTADOSPARAATABELAlLTERCONTINUAMVALENDO%XEMPLO PSERVIRÖ
PARADElNIRUMPROTOCOLODEREDE DDElNEUMHOSTDEDESTINO

!˵ES

3.!4 5TILIZADOCOM0/342/54).'PARAFAZERA˵ESDEMASCARAMENTODAORIGEM

$.!4 5TILIZADOCOM02%2/54).'E/54054PARAFAZERA˵ESDEREDIRECIONAMENTODEPORTASE
SERVIDORESBALANCEAMENTODECARGAEPROXYTRANSPARENTE#ASOAPORTADEDESTINONâOSEJAESPECIlCADA
VALERÖAPORTADEORIGEM.OlREWALLAPORTAQUESERÖREDIRECIONADANâOPODEEXISTIROUESTAROCUPADA
PORUMDAEMON

-!315%2!$% &AZMASCARAMENTONASA¤DADEDADOS

2%$)2%#4 2EDIRECIONAUMAREQUISIÀâOPARAUMAPORTALOCALDOlREWALL
%XEMPLOSCOMENTADOSDEREGRASDElREWALLTABELANAT

IPTABLES TNAT ,
-OSTRAASREGRASDE.!4ATIVAS

IPTABLES TNAT &
!PAGATODASASREGRASDE.!4EXISTENTES

IPTABLES TNAT !0/342/54).' OPPP J-!315%2!$%
4ODOSOSPACOTESQUESA¤REMPELAINTERFACEPPPMODEM SERâOMASCARADOS)SSODÖUMN¤VELDESEGURANÀA
ELEVADOÜREDEQUEESTÖATRÖSDAPPP»UMABOAREGRAPARANAVEGAÀâONA)NTERNET.OTEQUEESSETIPODE
MASCARAMENTONâOUSA3.!4

IPTABLES TNAT !0/342/54).' D J-!315%2!$%
4EMOMESMOEFEITODAREGRAANTERIOR.OENTANTOPARECESERMENOSSEGURAPOISESTABELECEQUEQUALQUER
PACOTEDESTINADOAQUALQUEROUTRAREDEDIFERENTEDAINTERNASERÖMASCARADO!REGRAANTERIORREFERE SEAOS
PACOTESQUESAEMPORDETERMINADAINTERFACE!OPÀâO DPODERIASER DTAMB£M»UMAOUTRA
REGRAPARANAVEGAÀâONA)NTERNET

IPTABLES TNAT !02%2/54).' TNAT PTCP D DPORT J$.!4 TO
2EDIRECIONATODOSOSPACOTESDESTINADOSÜPORTADAMÖQUINAPARAAMÖQUINA%SSE
TIPODEREGRAEXIGEAESPECIlCAÀâODOPROTOCOLO#OMONâOFOIESPECIlCADAUMAPORTADEDESTINOAPORTA
DEORIGEM SERÖMANTIDACOMODESTINO

IPTABLES TNAT !/54054 PTCP D J$.!4 TO
1UALQUERPACOTE4#0ORIGINADONAMÖQUINAlREWALLDESTINADOAQUALQUERPORTADAMÖQUINASERÖ
DESVIADOPARAAMÖQUINA

IPTABLES TNAT !0/342/54).' OETH J3.!4 TO
%SSAREGRAFAZCOMQUETODOSOSPACOTESQUEIRâOSAIRPELAINTERFACEETHTENHAMOSEUENDEREÀODEORIGEM
ALTERADOPARA

IPTABLES TNAT !02%2/54).' IETH J$.!4 TO
4ODOSOSPACOTESQUEENTRAREMPELAETHSERâOENVIADOSPARAAMÖQUINA

IPTABLES TNAT !02%2/54).' IETH J$.!4 TO 
!QUIHAVERÖOLOADBALANCE4ODOSOSPACOTESQUEENTRAREMPELAETHSERâODISTRIBU¤DOSENTREASMÖQUINAS
E

IPTABLES TNAT !02%2/54).' S PTCP DPORT J2%$)2%#4 TO PORT
4ODOSOSPACOTES4#0QUEVIEREMDAREDECOMMÖSCARADESTINADOSÜPORTADE
QUALQUERHOSTNâOSAIRâOSERâOREDIRECIONADOSPARAAPORTADOlREWALL)SSO£OPASSONECESSÖRIOPARA
FAZERUMPROXYTRANSPARENTE/PROXYUTILIZADODEVERÖACEITARESSETIPODERECURSO.OCASOO3QUIDQUE
ACEITATRANSPARäNCIADEVERÖESTARINSTALADONAMÖQUINAlREWALLSERVINDONAPORTA

IPTABLES TNAT !0/342/54).' S OETH J3.!4
5MASITUAÀâOINTERESSANTETODOSOSPACOTESQUESA¤REMDAREDESERâOTRANSFORMADOSEM


%XECUÀâODOMASCARAMENTODESTINADOÜ)NTERNET

0ORSERUMAATIVIDADEPERIGOSAOACESSOÜ)NTERNETDEVESERFEITOCOMUMMÖXIMOGRAUDESEGURANÀA!SSIM
VEJAMOSASREGRASBÖSICASPARAPERMITIRUMANAVEGAÀâOADEQUADA

0RIMEIROEXEMPLOUMAREDENA)NTERNET

6AMOSPERMITIRQUEAREDENAVEGUENA)NTERNET!MÖQUINAlREWALLSERÖA2EGRAS

ECHOPROCSYSNETIPVIP?FORWARD
MODPROBEIPTABLE?NAT
IPTABLES TNAT !0/342/54).' S OPPP J-!315%2!$%

/PROCEDIMENTO£TOTALMENTESEGUROPOISDISCRIMINAUMAORIGEMQUES˜PODERÖSAIRPELAPPPDEFORMA

MASCARADA

3EGUNDOEXEMPLOALGUNSHOSTSNA)NTERNET

6AMOSPERMITIRQUEALGUNSHOSTSNOCASOOOEONAVEGUEMNA)NTERNET!

MÖQUINAlREWALLSERÖA2EGRAS

ECHOPROCSYSNETIPVIP?FORWARD
MODPROBEIPTABLE?NAT
IPTABLES TNAT !0/342/54).' S OPPP J-!315%2!$%
IPTABLES TNAT !0/342/54).' S OPPP J-!315%2!$%
IPTABLES TNAT !0/342/54).' S OPPP J-!315%2!$%

%XECUÀâODE&40

0ARAEXECUTARSESSµESDE&40SERÖNECESSÖRIOOCARREGAMENTODEDOISM˜DULOS

INSMODIP?CONNTRACK?FTP
INSMODIP?NAT?FTP

3ALVANDOERECUPERANDOREGRAS

!SREGRASDEIPTABLESDEVEMSERSALVASCOMOCOMANDOIPTABLES SAVEECARREGADASCOMIPTABLES RESTORE/

ROTEAMENTOESTÖTICOEOCARREGAMENTODOSM˜DULOS&40DEVEMSERFEITOSSEPARADAMENTE!PENASPARAILUSTRAR
VAMOSEXECUTAROSALVAMENTOEARECUPERAÀâODASREGRAS

#RIANDOASREGRAS
IPTABLES TNAT !0/342/54).' S OPPP J-!315%2!$%
IPTABLES TNAT !0/342/54).' S OPPP J-!315%2!$%
IPTABLES TNAT !0/342/54).' S OPPP J-!315%2!$%

3ALVANDO
IPTABLES SAVEETClREWALL
 2ECUPERAÀâO

5MSCRIPTDERECUPERAÀâOINICIALIZADOPELOETCRCDRCLOCALPODERIATERASEGUINTEESTRUTURA


BINBASH
ECHOPROCSYSNETIPVIP?FORWARD
MODPROBEIPTABLE?NAT
IPTABLES RESTOREETClREWALL
INSMODIP?CONNTRACK?FTP
INSMODIP?NAT?FTP

!UMENTANDOON¤VELDESEGURANÀA

#ASODESEJEAUMENTARON¤VELDESEGURANÀAEVITANDOATAQUESDIVERSOSDIGITE#/-/02)-%)2!3REGRAS

IPTABLES !&/27!2$ MUNCLEAN J$2/0

IPTABLES !&/27!2$ PICMP ICMP TYPEECHO REQUEST J$2/0

IPTABLES !&/27!2$ PICMP ICMP TYPEECHO REQUEST MLIMIT LIMITS J!##%04

IPTABLES !&/27!2$ PTCP MLIMIT LIMITS J!##%04

IPTABLES !&/27!2$ PTCP TCP mAGS39.!#+&).234 MLIMIT LIMITS J!##%04

4OPOLOGIASDElREWALL

/POSICIONAMENTODEUMlREWALLDENTRODAREDE£DEEXTREMAIMPORT½NCIAPARAELA(ÖDUASPOSSIBILIDADES
BÖSICASPARAAUTILIZAÀâODEUMlREWALLlREWALLISOLADOElREWALLINCORPORADOSENDOESTE¢LTIMOOMAIS
INSEGUROEMENOSDESEJÖVEL

/lREWALLSERÖISOLADOQUANDOESTIVERENTREMÖQUINASCOMFUNÀâOEXCLUSIVADElREWALL

/lREWALLSERÖINCORPORADOQUANDONâOHOUVERUMAMÖQUINAISOLADACOMOlREWALL.ESSECASOASMÖQUINAS
DAREDEDEVERâOESTABELECERINDIVIDUALMENTEASSUASPR˜PRIASREGRASDElREWALL»OSISTEMAMAISINSEGURO

.ADAIMPEDEQUEOSDOISSISTEMASSEJAMUTILIZADOSEMPARCERIA#ABERESSALTARQUENOlREWALLINCORPORADO
HÖMAIORN¤VELDEINSEGURANÀAUMAVEZQUEOUTROSPROCESSOSRODAMJUNTOCOMOlREWALL
3EGURANÀADOSISTEMADElREWALL

/SISTEMADElREWALLDEVESERPROTEGIDOPARAQUEORESTANTEDAREDETAMB£MTENHASEGURANÀA!SSIM
ALGUMASREGRASBÖSICASDEVEMSEROBSERVADAS

&ECHEAMÖQUINAlREWALLDEMODOQUETODASOSPACOTESDESTINADOSDIRETAMENTEAELASEJAMDESCARTADOS

IPTABLES 0).054$2/0

%MSEGUIDAAOSPOUCOSABRAOQUEFORNECESSÖRIO

0RElRATOPOLOGIADElREWALLISOLADOCOMBINADOCOMlREWALLINCORPORADO

!TUALIZESEMPREOlREWALLEOKERNEL

.5.#!RODEQUALQUERSERVIÀOPRINCIPALMENTEOSREMOTOSCOMOTELNETEFTPNAMÖQUINAlREWALL

QUANDOSETRATARDElREWALLISOLADO

3ETIVERQUEADMINISTRARREMOTAMENTEUMlREWALLUTILIZESSH

.UNCACADASTREQUALQUERUSUÖRIONAMÖQUINAlREWALLCASOSETRATEDElREWALLISOLADO

5TILIZE4#07RAPPERSTOTALMENTEFECHADO!,,!,,EMETCHOSTSDENY NAMÖQUINADElREWALL
ISOLADOABRAOSSHEMETCHOSTSALLOW APENASPARAOSCLIENTESQUEFOREMFAZERADMINISTRAÀâOREMOTA

!NULEASRESPOSTASA)#-0ECHOREPLY NOlREWALLISOLADOPARAEVITARIDENTIlCAÀâODATOPOLOGIA

NAREDEEATAQUESDE0INGOF$EATH!MELHORFORMADESEFAZERISSO£ATUANDOSOBREREGRASDOKERNEL
COMOCOMANDO

ECHOPROCSYSNETIPVICMP?ECHO?IGNORE?ALL

.âOINSIRAREFERäNCIASAOlREWALLNO$.3

.âODEIXEOlREWALLISOLADOCOMCARADElREWALL$äUMNOMEDESCARACTERIZADOPARAELE

&AÀALOGDEAÀµESSUSPEITASQUEESTIVEREMOCORRENDONAREDE

4ESTETESTETESTENOVAMENTE

,).+3 2%,!4)6/3

HTTPNETlLTERSAMBAORG

HTTPNETlLTERlLEWATCHERORG
!RQUIVOELABORADOPOR,INUX#LUBECOM
HTTPWWWLINUXCLUBECOM