Netfilter ou iptables

Fbio Rosindo Daher de Barros

Welynton Fellipe de Oliveira

What is Iptables?
Iptables is the userspace command line program used to
configure the Linux 2.4.x and later packet filtering ruleset. It
is targeted towards system administrators.
Since Network Address Translation is also configured from
the packet filter ruleset, iptables is used for this, too.
The iptables package also includes ip6tables. ip6tables is
used for configuring the IPv6 packet filter.

 O netfilter um mdulo que fornece ao sistema

operacional Linux as funes de firewall, NAT e log dos
dados que trafegam por rede de computadores.
Iptables o nome da ferramenta do espao do usurio que
permite a criao de regras de firewall e NATs. Apesar de,
tecnicamente, o iptables ser apenas uma ferramenta que
controla o mdulo netfilter, o nome "iptables"
frequentemente utilizado como referncia ao conjunto
completo de funcionalidades do netfilter. O iptables parte
de todas as distribuies modernas do Linux.

Caractersticas
Especificao de portas/endereo de origem/destino
Suporte a protocolos TCP/UDP/ICMP (incluindo tipos de
mensagens icmp)
Suporte a interfaces de origem/destino de pacotes
Manipula servios de proxy na rede
Tratamento de trfego dividido em chains (para melhor
controle do trfego que entra/sai da mquina e trfego
redirecionado.

Caractersticas
Permite um nmero ilimitado de regras por chain.
Muito rpido, estvel e seguro.

Possui mecanismos internos para rejeitar automaticamente

pacotes duvidosos ou mal formados.
Suporte a mdulos externos para expanso das
funcionalidades padres oferecidas pelo cdigo de firewall.

Caractersticas
Suporte completo a roteamento de pacotes, tratadas em uma
rea diferente de trfegos padres.
Suporte a especificao de tipo de servio para priorizar o trfego
de determinados tipos de pacotes.
Permite especificar excees para as regras ou parte das regras.
Suporte a deteco de fragmentos.
Permite enviar alertas personalizados ao syslog sobre o trfego
aceito/bloqueado.

Caractersticas
Redirecionamento de portas.
Masquerading.
Suporte a SNAT (modificao do endereo de origem das
mquinas para um nico IP ou faixa de IP's).
Suporte a DNAT (modificao do endereo de destino das
mquinas para um nico IP ou faixa de IP's)
Contagem de pacotes que atravessaram uma interface/regra.
Limitao de passagem de pacotes/conferncia de regra (muito
til para criar protees contra, syn flood, ping flood, DoS, etc).

Exemplo de arquitetura de rede

Aplicaes
Construir firewalls de Internet baseados em filtragem de pacotes
"stateless" e "stateful
Usar NAT e masquerading para compartilhamento de Internet
com uma rede local
Usar NAT para implementar proxies transparentes.
Realizar manipulao de pacotes adicional (mangling), como
alterar bits no cabealho IP

Aplicaes
Monitorar o volume de trfego de rede.
Realizar Encaminhamento de Portas (que um tipo de DNAT).
Balanceamento de carga de rede.
Entre outras aplicaes.

Funcionamento
O firewall iptables trabalha comparando o trfego de rede que a
mquina recebe com um conjunto de regras pr-especificadas,
as quais definem as caractersticas que os pacotes devem
possuir para corresponderem s regras, e as aes que sero
tomadas para esses pacotes.

Agrupa o processamento dos pacotes de rede em tabelas por

funo cada qual possui cadeias (chains) de regras de
processamento. As regras consistem em correspondncias
(matches) usadas para determinar a quais pacotes cada regra
ser aplicada, e objetivos (targets), que determinam o que ser
feito com os pacotes que correspondam s regras.

Tabelas
As tabelas so um agrupamento de cadeias em um nvel mais
alto, e determinam grosso modo o escopo das regras que
sero criadas. O iptables possui trs tabelas ou listas de
regras:
filter - Tabela padro para manipular pacotes de rede, usada
para configurar polticas para o trfego uqe entra, atravessa
ou sai do computador.
nat - Usada para alterar pacotes que criam uma nova conexo,
e para redirecionar conexes para NAT.

Tabelas
mangle - Usada para tipos especficos de alterao de
pacotes, como a modificao de opes do cabealho IP de
um pacote.
raw - Marca pacotes que no devem ser manipulados pelo
sistema de rastreamento de conexes.

Tabelas

Tabela FIlter: Cadeias INPUT,

OUTPUT e FORWARD.

Tabela NAT: Cadeias

PREROUTING, OUTPUT,
POSTROUTING.

Tabela Mangle: Cadeias

PREROUTING, OUTPUT,
POSTROUTING, INPUT e
FORWARD.

Tabela raw: Cadeias

PREROUTING e OUTPUT.

Tabela security - Usada para

regras de rede MAC
(Mandatory Access Control).

Cadeias
As regras so organizadas em grupos denominados cadeias
(chains), que por sua vez ficam contidas nas tabelas. Uma
cadeia ento um conjunto de regras usadas para verificar a
correspondncia com um pacote de forma sequencial.
Podemos criar nossas prprias cadeias se for necessrio, mas
no geral utilizamos as cadeias j existentes e definidas por
padro. So elas: