Escolar Documentos
Profissional Documentos
Cultura Documentos
FireWall Iptables PDF
FireWall Iptables PDF
1 de 9
http://www.zago.eti.br/firewall/iptables-modelos.html
Testar firewall
Teste o seu firewall nestes sites:
http://scan.sygatetech.com/
Direto na pgina de testes das portas
http://scan.sygatetech.com/stealthscan.html
http://www.auditmypc.com/
https://grc.com/x/ne.dll?bh0bkyd2
Navegue nos sites acima, tem diversas opes de testes, verifique no resultado, quais portas esto abertas, quando aparece portas que
no devem ser acessadas via internet neste servidor, estas portas tem que ser fechadas, edite o teu scrip de firewall e acrescente mais
uma regra especifica para fechar a porta, ou parar o servio, volte ao site e faa novo teste.
Configure de forma que sejam listadas somente as portas dos servios que voce disponibilizou para acesso via internet, porta 80 para
10/10/2011 21:05
2 de 9
http://www.zago.eti.br/firewall/iptables-modelos.html
eth1 = placa de rede INTERNA (rede local) - ligada ao HUB e conectada com as maquinas da rede interna
eth0 = placa de rede EXTERNA (internet) - ligada ao modem ADSL ou router ou outro equipamento que sai ou entra da
internet, conectada com o mundo (internet)
Ajuste o device nestas variaveis conforme sua rede, lembre que conexes com pppoe utiliza o device ppp0 em lugar de
eth?
Utilizar variveis opcional, facilta muito na administrao, troca ou copia para outra instalao.
Comente as linhas que no utiliza, veja neste documento mais detalhes nos tpicos especificos sobre cada servio.
Neste script as linhas de comando iniciam com "$iptables", este sinal ($) no inicio da linha indique est usando uma
varivel de nome "iptables", nesta varivel indica o caminho completo do iptables.
iptables=/usr/sbin/iptables
Pode tentar sem indicao do caminho, basta remover o sinal ($) de todas as linhas que iniciam com ($iptables) ou colocar
o caminho para o seu iptables, o comando which retorna o caminho completo
which iptables
Pegue o resultado e compare se o local o mesmo do script, sendo diferente precisa alterar na criao da varivel
iptables, pode tentar criar a varivel com.
iptables=$(which iptables)
Resumindo, teste todos os exemplos abaixo que um deles deve funcionar.
iptables
/usr/sbin/iptables
ou criar e usar a varivel iptables apontando para iptables em sua instalao.
iptables=/usr/sbin/iptables
$iptables
carregando modulos
A maioria das distros utiliza modulos, se preferir pode compilar o kernel com este recurso, considere que trabalhar com modulos
mais prtico, pode iniciar ou parar somente o servio (modulo), pode at compilar o modulo ou atualizar sem alterar nada no kernel e
portanto sem reiniciar a maquina.
em breve farei algumas anotaes sobre a finalidade de cada modulo.
##### carregar modulos
# fazer NAT, de forma geral compartilha a interenet com
forward
10/10/2011 21:05
3 de 9
http://www.zago.eti.br/firewall/iptables-modelos.html
/sbin/modprobe iptable_nat
# resolve os problemas de FTP, sempre que tiver problemas com acesso a sites de FTP,
#lentido, problemas de login ou acesso, tente carregar estes modulos relacionados a FTP.
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
# utlizado nas opes que geram log.
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE
Cuidado com esta opo zera regras, tem outra regra logo abaixo que mantem as conexes existentes, quando fizer qualquer
alterao nas regras, precisa executar o script para carregar as novas regras, as regras abaixo removem as anteriores mas mantem as
conexes existentes.
##### Zera regras
$iptables -F
$iptables -X
$iptables -F -t nat
$iptables -X -t nat
$iptables -F -t mangle
$iptables -X -t mangle
$iptables -P INPUT DROP
$iptables -P OUTPUT DROP
$iptables -P FORWARD DROP
Coloque aps as regras abaixo, suas regras de bloqueio, log e outros controles, em seguida as regras de redirecionamento....
Por questo de segurana no se deve rodar Samba junto com firewall, no tem incompatibilidades nem conflito entre estes servios,
podem rodar na mesma maquina, considere que Samba no deve dar as caras na internet, um eventual incidente nesta maquina pode
comprometer seus dados e informaes, quando rodar Samba na mesma maquina, feche as portas 137, 138 e 139, tem que fechar
somente para acessos da internet, em maquinas que no roda Samba pode remover as linhas acima.
Use este exemplo de regra para fechar a porta de outros servios rodando na maquina, principalmente quando no devem ouvir nem
atender requisies vindo da internet
10/10/2011 21:05
4 de 9
http://www.zago.eti.br/firewall/iptables-modelos.html
Outra opo, quem j fechou tudo precisa abrir as portas para acesso das maquinas da rede interna, alguns exemplos.
$iptables -I INPUT -p tcp -s 192.168.1.0/24 -d 192.168.1.254 --dport 138,139 -j ACCEPT
Com esta regra, qualquer pacote proveniente deste MAC sero descartados, no permine NAT e no navega, no conecta por ssh
nem outro meio.
Inverter a regra para liberar, troque DROP por ACCEPT
Outros exemplos.
Negar somente para portas 80 e 3128
$iptables -A INPUT -p tcp -m multiport --dport 80,3128 -m mac --mac-source 00:E0:7D:E3:5F:1E -j DROP
Permitir conexo via ssh
$iptables -A INPUT -m mac --mac-source 00:E0:7D:E3:5F:1E -p tcp --dport 22 -j ACCEPT
# teste com mac da m7mia para liberar somente ssh (porta 22)
$iptables
$iptables
$iptables
$iptables
-A
-A
-t
-t
com estas linhas acima comentadas no possvel navegar nem enviar ou receber e-mail, para liberar a navegao tem exemplos
neste tutorial , pode liberar pelo firewall ou pelo proxy (squid) quando redirecionado.
Quanto ao envio e recebimento de e-mail segue alguns exemplos, liberao para todos, somente para determinado dominio, somente
por maquina da rede, combinando IP interno com dominio e etc. Veja os comentarios para cada regra.
# Estas regras abaixo permite que todos os smtp e pop funcionan, precisa comentar estas linhas para refinar o contro
iptables -t nat -A POSTROUTING -s 192.168.1.1/24 -d 0/0 -p tcp --dport 110 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.1/24 -d 0/0 -p tcp --dport 25 -j MASQUERADE
10/10/2011 21:05
5 de 9
http://www.zago.eti.br/firewall/iptables-modelos.html
Tem duas regras, ambas se aplicam quando roda o Squid na mesma maquina firewall, a segunda est habilitada;
$iptables -t nat -A PREROUTING -p tcp -m multiport -s 192.168.1.0/24 --dport 80,443 -j REDIRECT --to-ports 3128
esta regra redireciona todo o trafego da porta 80 e 443 para a porta 3128, com isto as estaes s navegam pelas regras do squid, na
estao configure o navegador para usar proxy na porta 3128 e IP do servidor proxy.
A primeira regra que est comentada;
#$iptables -t nat -A PREROUTING -i $INTERNA -s \! 192.168.1.6 -p tcp -m multiport
esta regra tambm faz o redirecionamento como na anterior, com excluso de uma maquina do proxy, neste exemplo a estao com
IP 192.168.1.6 vai navegar sem passar pelo proxy, este recurso ajuda muito na soluo de problemas, quando tem problemas com
acesso a sites especificos, tem sites que no pode acessar via proxy, nestes casos para acessar sem passar pelo proxy, troque o IP
citado na regra pelo IP da estao que vai usar no teste, use o navegador sem proxy e tente acesso, observe que a linha eat
comentada, deve usar somente uma das regras, quando habilitar a primeira comente a segunda e vice versa.
Considere utilizar instalaes de testes, pode montar outro servidor proxy na rede, servidor de e-mail interno ou outro servio, para
excluir esta maquina de testes do proxy, utilize a excluso acima, quando for mais de uma maquina utilize o exemplo abaixo.
Utilize uma regra para cada IP, neste exemplo acima as estaes com IP 192.168.1.37 e 53 no precisa configurar proxy no
navegador e acessam internet por fora do proxy, estas regras obrigatoriamente tem que ser adicionadas no firewall, antes da regra do
redireionamento do Squid, observe no Firewall a posio delas em relao a regra do redirecionamento para a porta 3128.
Outro exemplo de formato da regra. liberar a porta 80 para determinado IP de origem
$iptables -t nat -A PREROUTING -s 192.168.1.53 -p tcp -i $INTERNA --dport 80 -j ACCEPT
-j ACCEPT
Lembrando que Squid no firewall, servidor proxy e controla somente o que passa pela porta 80, no pode redirecionar outras
portas, portanto servios como cliente de e-mail nas estaes no passaro pelo controle do Squid nem sero afetados pelas regras
acima, sobre este e outros servios veja o tpico sobre NAT.
Outro exemplo para liberar um IP da rede , liberar todas as portas, algo como tirar um IP do firewall e passar direto
# em tetes
# Regra para fazer NAT de tudo. e para todos
#$iptables -A POSTROUTING -t nat -o $IF_EXTERNA -j MASQUERADE
# Regra para fazer SNAT
para destino especifico
10/10/2011 21:05
6 de 9
http://www.zago.eti.br/firewall/iptables-modelos.html
Controle via iptables e por estao (IP da estao), tem mais exemplos em outros tpicos deste tutorial, neste tem algumas dicas
sobre controle por IP de origem para acesso externo passando pela porta 25, 110, 80 e 443, tente modificar ou adaptar ao seu
ambiente, altere IP indicado nas regras abaixo para o da estao que deseja testar regra.
Modificando o exemplo com NAT para liberar estao do proxy, temos esta regra no firewall liberando estao para navegar sem
passar pelo proxy.
##### excluir estacoes do proxy, passa direto pelo NAT
$iptables -t nat -A PREROUTING -i $INTERNA -s 192.168.1.37/32 -p tcp -m multiport
Proibir porta 80 e 443 na estao especifica. Faa copia da regra acima e modifique a regra para rejeitar, proibir determinado IP de
navegar, basta alterar na copia da regra, IP e de ACCEPT por DROP.
$iptables -t nat -A PREROUTING -i $INTERNA -s 192.168.1.37/32 -p tcp -m multiport
Impedir ou liberar acesso a e-mail via clientes de e-mail local (na estao), fechar as portas 25 e 110, como neste exemplo.
Esta regra impede cliente de e-mail acessar servidores externos (provedores), fechar portas 25 e 110.
$iptables -t nat -A PREROUTING -i $INTERNA -s 192.168.1.37/32 -p tcp -m multiport --dport 25,110 -j DROP
Libera cliente de e-mail para acessar servidores externos (provedores), liberar porta 25 e 110.
$iptables -t nat -A PREROUTING -i $INTERNA -s 192.168.1.37/32 -p tcp -m multiport
Com estes exemplos fica fcil adpatar a regra para outras portas e servios, basta copiar a regra, alterar o IP e porta. Lembre de
acrescentar no firewall antes da regra que lebera ou bloqueia geral, em firewall que redireciona a porta 80 as regras de iptables sobre
a porta 80 tem que ser acrescentada antes da regra do redirecionamento.
Obrigatoriamente tem que ficar depois da regra do proxy, servem para compartilhar internet para os demais protocolos, como
exemplo, liberar a porta 25 e 110 utilizadas pelos clientes e-mail que no acessam a net pela porta 80, portanto no passam pelo
proxy, estas regras liberam tudo, compartilhamento total, como antes delas tem o redirecionamento do proxy, tudo que usar a porta
80 cai no proxy e fica por l, as demais portas no so redirecionadas, portanto cai nesta regra que faz NAT. Qualquer bloqueio deve
ser acrescentando antes desta regra, ou se preferir, crie regras especificas de nat por protocolo e estao.
10/10/2011 21:05
7 de 9
http://www.zago.eti.br/firewall/iptables-modelos.html
possvel liberar (repassar) conexes vindo da internet para se conectar direto com estas maquinas.
Considere um firewall rodando na maquina com IP fixo 200.200.200.200, atraz dele uma estao usando IP 192.168.1.144, regras de
iptables podem redirecionar conexo vindo da internet direto para esta maquina.
Mesmo sem rodar o servio no firewall, as conexes vindo do mundo (internet) tem que apontar para o IP do firewall, quando
atendida as regras de redirecionamento, a conexo rapassada para outra maquina da rede com IP reservado informado na regra,
(estao atraz do firewall), na origem da conexo precisa somente do IP do firewall, tambm a porta quando for o caso, as regras de
firewall faz o resto.
Resumindo;
Identifique quais portas esse servio utiliza, IP que do seu (servidor) que o mesmo IP de internet, se possivel o IP remoto (cliente)
quando quiser liberar acesso somente a um IP externo, a regra tem este formato:
Liberar somente para conexes vindo de determinado IP, neste exemplo o IP remoto (-s 200.204.198.164) mais a porta i
iptables -t nat -A PREROUTING -p (protocolo tcp ou udp) -s (IP remoto) --dport (porta solicitada) -i (interface ext
##### Redirecionar ssh na porta 2222
$iptables -t nat -A PREROUTING -p tcp -s 200.204.198.164 --dport 2222 -i $EXTERNA -j DNAT --to 192.168.1.144:22
Lembrando que a ordem importante, se conflitar regras, a primeira que antender ser atendida e as demais ignoradas.
Nos tpicos a seguir tem mais exemplos sobre SSH e VNC, o principio se aplica a outros protocolos e portas, pode modificar estas
regras para webmin, banco de dados e etc....
Lembre que ssh tem muitas possibilidades de configurao, este somente um exemplo de lidar com as portas, caso permita
conexes vindo da internet, pesquise sobre segurana e configurao dele, neste FAQ tem um diretrio especifico sobre ssh.
10/10/2011 21:05
8 de 9
http://www.zago.eti.br/firewall/iptables-modelos.html
Tentando descrever este ambiente, imagine duas empresas, cada uma tem seu micro rodando firewall e conectado ao modem ADSL,
sem restries de uso pela operadora quanto as portas descritas aqui, em uma ponta tem IP 200.204.198.164 e na outra ponta IP
200.200.200.200, atraz destas maquinas tem estaes com IP da classe 192.168.1.0, esta regra permite que estao de uma rede se
conecte via ssh com estao atraz da outra rede.
Exemplo de linha de comando tratada por esta regra (redirecionada). No console de maquina atraz do IP 200.204.198.164 fazendo
NAT
ssh -p 2222 zago@200.200.200.200
Observe que indica a porta (-p 2222) e dispara o comando para o IP do firewall remoto 200.200.200.200, o redirecionamento para a
estao interna no firewall onde roda a regra acima, (ip 192.168.1.144) ocorre quando atender as seguintes condies; origem da
conexo no IP = 200.204.198.164 e porta destino = 2222.
As demais requisies de ssh sero atendidas pela prpria maquina ou outra regra do firewall.
Onde -s (source, origem) IP 200.204.198.164, requisies que chegam deste IP na placa de rede da internet -i $EXTERNA (-i imput,
entrada), --dport 2222, na porta 2222, observe que tem varias condies, IP de origem, porta destino, entrada pela placa de rede
externa. Quando atendida todas estas condies o pedido repassado para outra maquina da rede (DNAT --to 192.168.1.144:22), a
estao da rede interna com ip 192.168.1.144 vai atender o pedido na porta 22, claro que o firewall dela precisa permitir e tambm
ter o servio rodando (ouvindo) nesta porta, neste exemplo o servio sshd, servidor do ssh.
Esta regra vale tambm para FreeNX, ele trabalha sobre conexo ssh, requer configurao especifica para obter o desktop remoto,
algo como VNC mas com melhor qualidade, velocidade e segurana.
Sobre ssh e FreeNX, tem mais dicas, exemplos e FAQ em;
http://www.zago.eti.br/ssh/
Uso do primeiro exemplo simples, basta instalar o VNCSERVER e rodar, neste exemplo, redireciona qualquer pedido que chega da
internet na porta 5800, na URL do navegador use o IP:porta, neste formato;
http://200.200.200.200:5800
A regra de firewall se encarrega de redirecionar para a estao e esta se encarrega atender o pedido e completar a conexo com login
e senha.
A segunda opo complica um pouquinho porque permite ter varias maquinas aceitando conexo via VNC, usa a porta como meio de
seleo da maquina remota, permite multiplas conexes VNC, redireciona para estao interna coforme a porta indicada na conexo,
precisa configurar o VNCserver para ouvir em outra porta, use 5801 para maquina 1, 5802 para maquina 2 e assim por diante, a
seleo da maquina remota feita conforme a porta indicada na URL, entendeu como simples, quase como uma tabela, 5801
conecta na maquina X, 5802 conecta na Y e assim por diante..., precisa de uma regra para cada maquina, repita o exemplo acima
para cada maquina, altera a porta e IP, exemplo de uso na URL para conexo com maquina que est ouvindo na porta 5801.
http://200.200.200.200:5801
10/10/2011 21:05
9 de 9
http://www.zago.eti.br/firewall/iptables-modelos.html
Acho mais fcil e prtico usar meu script, tem que escolher pelo firewall do SUSE ou seu script, para usar outro script preciso
deabilitar o firewall do SUSE.
Desabilitar o firewall nativo do SUSE, entre no yast, pode ser em modo texto, entre em "segurana e Usurios" -> Firewall, desabilite
o firewall
Aproveite e configure as placas de rede Yast -> "Dispositivos de Rede" -> Placa de Rede" -> avanar e selecione a placa de rede,
(editar), configure conforme sua rede, com IP dinamico (DHCP) ou com IP Esttico e mascara de rede, IP da mesma classe de rede
interna. No altere mais nada, no precisa mexer na rota, avanar e OK at fechar o yast.
Compartilhar conexo - micro com duas placas de rede.
Use um script de IPtables para compartilhar, caso no tenha, como est navegando, para teste use este script de iptables, as linhas de
comando abaixo inclue o script no boot.local para executar no boot.
cd /etc/rc.d
wget http://www.zago.eti.br/firewall/fireaula.sh
chmod 755 fireaula.sh
./fireaula.sh
rcnetwork restart
echo "/etc/rc.d/fireaula.sh" >> /etc/rc.d/boot.local
echo "rcnetwork restart" >> /etc/rc.d/boot.local
Use seu editor de texto puro para fazer alteraes no script, depois de salvar execute novamente para carregar as alteraes, como
root no console execute uma destas opes.
sh /etc/rc.d/fireaula.sh
ou
cd /etc/rc.d/
./fireaula.sh
Indicaes
Pgina principal sobre iptables e firewall
http://www.zago.eti.br/A-menu-firewall.html
Pgina principal deste site (FAQ)
http://www.zago.eti.br/menu.html
10/10/2011 21:05