1

Construindo firewall com

iptables
Instrutor: Rgis Feitosa Brilhante
2
Cronograma

O que um firewall

O que o iptables

Sintaxe

Criao e exluso !e regras

Sal"an!o suas regras

3
Segurana da Informao

O que proteger#

$ual o "alor que os !a!os !a sua

empresa tem#

%mpresas oneta!as &'h por !ia

(a internet no existe ontrole

O protoolo )C*+I* no oferee

segurana
4
Objetivos de um firewall

%"itar monitoramento por tro,an

-imitar onex.es

Bloqueio+-iberao !e aesso

Bloqueio+-iberao !e portas

*roteger a re!e interna !e aesso no

autori/a!o

0ifiultar a explorao !e falhas !e

segurana
5
O que um firewall no pode
fazer

1m firewall no protege ontra "2rus na

sua re!e

(o e"ita que a sua re!e interna se,a

in"a!i!a por um usu3rio mal interniona!o

(o analisa o onte4!o !os paotes

6
Firewall Pago vs ratuito

*agos: soluo pronta5 s6 onfigurar e botar pra funionar7

0e"e ser atuali/a!o onforme o fabriante7

8marra o liente ao fabriante

*ossui suporte pelo fabriante

1ma falha em um po!e ser explora!a em to!os os

equipamentos !a mesma linha7

Inlui I0S5 Firewall5 ontrole !e ban!a e outros reursos

mais7

9ratuitos

)em que ser instala!o e onfigura!o na mo7

*ossui suporte !a omuni!a!e

(o h3 usto para a ompra7

: totalmente ustomi/3"el para a sua neessi!a!e

*ossui apenas o ser"io !e firewall

7
!ist"ria do iptables

Foi !esen"ol"i!o pela Bell -abs na

!a!a !e ;< sob enomen!a para a
8)=) omo o software que iria ontrolar o
tr3fego que entra"a e que sa2a na+!a re!e
orporati"a7 0e l3 para 3 hou"e muita
e"oluo e o iptables ho,e um !os
firewalls mais ma!uros que existe7
8
O que # o Iptables$

O iptables ho,e um m6!ulo que funiona a n2"el

!e >ernel7 (ormalmente to!o -inux ,3 "em om o
iptables habilita!o por pa!ro7

0iferente !o ?in!ows que um software externo5 o

iptables onsegue funionar !e forma muito r3pi!a7

%le possui a apai!a!e !e analisar o abealho

!os paotes e om isso tomar !eis.es om base
em regras pr estabelei!as7
9
%abelas
FI&%'(

*a!ro !o iptables: trata situa.es

implementa!as por um firewall !e
paotes7

Situa.es+hains:

I(*1): )u!o o que %()R8 no host

FOR?8R0: tu!o o que

R%0IR%CIO(80O para outra re!e7

O1)*1): tu!o o que S8I !o host

10
%abelas
)*% +)etwor, *ddress %ranslate-

*R%RO1)I(9: )rata paotes antes que

esses se,am rotea!os7

O1)*1): )rata paotes que saem !o

firewall

*OS)RO1)I(9: 1tili/a!o quan!o h3

neessi!a!e !e alterar paotes ap6s o
tratamento !e roteamento7
11
%abelas
.angle

*R%RO1)I(9: )rata os paotes !e forma

espeial antes que os mesmos se,am
rotea!os7

O1)*1): trata os paotes loalmente

antes que os mesmos se,am rotea!os7
12
Flu/o de dados no iptables
13
Sinta/e das regras

Itables @8 A 8!iiona uma no"a regra no fim !a lista !e

regras

Iptables @* A 0efine a pol2tia pa!ro !e uma

situao+a!eia

Iptables @0 A apaga uma regra

Iptables @- A lista as regras

Iptables @F A remo"e to!as as regras !o iptables

Iptables @( A ria uma no"a hain para a tabela

Iptables @% A renomeia uma hain

Iptables @B A exlui uma hain

14
*lvos
0efini o que fa/er om um paote que CaseD em
!etermina!a regra7 *ara isso usa@se o @,

@, 8CC%*) A aeita o paote

@, R%E%C) A re,eita o paote e !a um retorno para o

soliitante

@, 0RO* A apenas !esarta o paote

@, -O9 A fa/ o log !o paote Fe passa para a regra

seguinteG

@, R%)1R( A retorna para as regras que esta"am

sen!o proessa!as anteriormente sem passar pelas que
esto por "ir Fser"e para no"as hainsG
15
Parametros

@p A !i/ a qual protoolo a regra "ai se enaixar

Ftp+u!p5impG

@m utili/a mo!ulos externos FpluginsG pra aresentar

funionali!a!es ao iptables

@@sport A porta !e origem !o paote

@@!port A porta !e !estino !o paote

@! A host !e !estino

@s A host !e origem

@i A !efine a interfae !e entra!a

@o A !efine a interfae !e sa2!a

16
Observao

8s regras a!iiona!as no firewall so li!as

em sequenia7 %nto se "oH nega um
paote e !epois libera o mesmo paote5
"ale a primeira7 O ontr3rio tambm
"er!a!eiro7
17
'/emplo
Bloqueia o aesso !o I* IJ&7IK;7L7& a m3quina
!o firewall

Iptables @8 I(*1) @s IJ&7IK;7L7& @, 0RO*

Bloqueia a porta ;< para que o I* IJ&7IK;7L7&
no aesse paginas web

Iptables @8 FOR?8R0 @p tp M!port ;< @s

IJ&7IK;7L7& @, 0RO*
18
'/emplo
%"itar que a minha m3quina se onete a
um !etermina!o en!ereo

iptables @8 O1)*1) @! Nen!ereoO @,

0RO*
19
'/emplo

%"itar que a minha m3quina faa

onsultas 0(S a menos que se,a pro
;7;7;7;

Iptables @8 O1)*1) @p u!p @@!port LP Q @!

;7;7;7; @, 0RO*
O sinal !e exlamao CQD ser"e para negar a
regra7 (este aso !ropa to!os os paotes
!estina!os a porta LP !e qualquer I* menos os
que se,am !ireiona!os para o ;7;7;7;
20
*rquitetural real utilizada
Internet
Firewall
21
*rquitetura proposta para o
nosso mini curso
Internet Firewall
22
.udando a pol0tica padro

Iptables @t filter @* I(*1) 0RO*

Com esta pol2tia5 to!os os paotes que
hegarem iro ser !esarta!os7

Ser"e para a O1)*1) e FOR?8R0

23
&iberando uma porta

Iptables @t filter @8 I(*1) @p tp M!port ;<

@, 8CC%*)
-ibera o aesso a porta ;< !o nosso
ser"i!or7
24
&iberando a porta 11 para
acesso interno

Caso eu tenha !uas interfaes !e re!e e queira

liberar a porta && apenas para a re!e interna7

Suponha que minha re!e interna est3 liga!a na

interfae ethI7 8 regra seria:

Iptables @8 I(*1) @p tp M!port && @i ethI @,

8CC%*)
25
'/emplos pr2ticos 3
bloqueando port scanning

iptables @8 I(*1) @p tp @@tp@flags 8-- FI(51R95*SR @i SI()%RF8C%T(%) @,

SC8((%R

iptables @8 I(*1) @p tp @@tp@flags 8-- (O(% @i SI()%RF8C%T(%) @, SC8((%R

iptables @8 I(*1) @p tp @@tp@flags 8-- 8-- @i SI()%RF8C%T(%) @, SC8((%R

iptables @8 I(*1) @p tp @@tp@flags 8-- FI(5SU( @i SI()%RF8C%T(%) @, SC8((%R

iptables @8 I(*1) @p tp @@tp@flags 8-- SU(5RS)58CV5FI(51R9 @i

SI()%RF8C%T(%) @, SC8((%R

iptables @8 I(*1) @p tp @@tp@flags SU(5RS) SU(5RS) @i SI()%RF8C%T(%) @,

SC8((%R

iptables @8 I(*1) @p tp @@tp@flags SU(5FI( SU(5FI( @i SI()%RF8C%T(%) @,

SC8((%R

26
Cen2rio
Firewall
IJ&7IK;7L<7<+&'
IJ&7IK;7I<<7<+&'
27
4loquear trafego entre as duas
redes internas

Iptables @8 FOR?8R0 @s IJ&7IK;7L7<+&'

@! IW&7IK7P7<+&' @, 0RO*

Iptables @8 FOR?8R0 @s IW&7IK7P7<+&'

@! IJ&7IK;7L7<+&' @, 0RO*
28
&iberar o acsso de uma das
m2quinas de uma rede para
acessar a outra

Iptables @8 FOR?8R0 @s IJ&7IK;7L7I< @!

IW&7IK7P7I<< @, 8CC%*)

Iptables @8 FOR?8R0 @! IJ&7IK;7L7I< @s

IW&7IK7P7I<< @, 8CC%*)
29
(edirecionamento de portas
e/ternas para ips internos

Iptables @t nat @8 *R%RO1)I(9 @p tp M

!port && @, 0(8) Mto@port
IJ&7IK;7&<<7&:&&

Iptables @t nat @8 *R%RO1)I(9 @p tp M

!port ;< @, R%0IR%C) Mto@port PI&;
30
(efer5ncia

Figura !o fluxo iptables: ?agner )a!eu

F0e"Xe!iaG