Escolar Documentos
Profissional Documentos
Cultura Documentos
Toda comunicação numa rede TCP-IP é feita através de pacotes. O Netfilter trata
apenas de regras. Estas regras são aplicadas aos pacotes. Cada regra é criada
para fazer alguma coisa, e esta coisa é chamada de alvo. As regras pertencem a
vertentes (chains), que são usadas para agrupar regras. Se uma regra for
aplicável a um pacote, então o alvo é executado. Os alvos pré-existentes são
ACCEPT (aceitar), DROP (descartar), REJECT (retornar ou devolver).
As tabelas do iptables são:
Tabela Mangle - Esta tabela server para guardar regras que alteram as propriedades
dos pacotes. O motivo mais comum é alterar o campo Tipo de Serviço (Type Of
Service - TOS).
Comando para visualizar a Tabela Mangle:
iptables -L -t mangle
# Parâmetros básicos do iptables
#-A - Este comando acrescenta uma regra às existentes no sistema, ou seja, permite
#colocar/atualizar regras já existentes na estrutura do firewall.
#-I - Este comando insere uma nova regra no início da tabela.
#-D - Este comando exclui uma regra específica no firewall.
#-P - Este comando define a regra padrão do firewall.
#-L - Este comando lista todas as regras existentes no firewall.
#-F - Este comando zera todas as regras do firewall (o chamado flush). Se este
#comando for executado todas as regras do firewall são excluídas.
#-h - Invoca o help, ajuda do comando.
#-R - Este comando substitui uma regra no firewall.
#-C - Checa as regras básicas do firewall.
#-Z - Zera uma regra específica.
#-N - Cria uma nova regra com um nome específico.
#-X - Exclui uma regra específica por seu nome.
IP Firewall: 192.168.15.180
Resolução:
iptables -A OUTPUT -s 192.168.15.180 -d 192.168.15.180 -p icmp -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -p icmp -j ACCEPT
iptables -A OUTPUT -s 192.168.15.180 -d 192.168.15.180 -p icmp -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -p icmp -j ACCEPT
2) Já com a máquina liberada o ping em loopback, libere o ping da sua máquina para outra e vice-
versa.
IP Firewall: 192.168.15.180
IP Máquina 2: 192.168.15.179
Resolução:
iptables -A OUTPUT -s 192.168.15.180 -d 192.168.15.179 -p icmp -j ACCEPT
iptables -A INPUT -s 192.168.15.180 -d 192.168.15.179 -p icmp -j ACCEPT
4) Existem dois servidores de monitoramento, conectadas ao firewall pela rede interna, que precisam
monitorar via SNMP dois dispositivos que estão conectadas em uma outra rede externa. As regras
INPUT e OUTPUT foram colocadas em DROP e as únicas permissões que poderão existir serão
estas:
• O firewall só poderá receber ping dos dispositivos externos (switch e roteador);
• O acesso ssh ao servidor de monitoramento zabbix deve ser liberado, a máquina física deve
accessar o servidor zabbix.
• Terá que ser feito um redirecionamento para que a interface web do seu servidor possa ser
acessada em uma porta diferente da padrão e pelo endereço do firewall;
Um exemplo de um arquivo de configuração que poderia ser feito para que esse cenário pudesse ser
aplicado, seria este:
# Generated by iptables-save v1.4.21 on Thu Aug 6 08:52:18 2015
*nat
:PREROUTING ACCEPT [2244:317545]
:INPUT ACCEPT [1673:100404]
:OUTPUT ACCEPT [187:12028]
:POSTROUTING ACCEPT [539:32340]
# Redirecionamento: Tudo o que vier no endereço ip do firewall na porta especificada será
redirecionado para o endereço do servidor de monitoramento especificado
-A PREROUTING -d 172.16.26.249/32 -p tcp -m tcp --dport 8888 -j DNAT --to-destination
192.168.5.10:80
# Redirecionamento: Tudo o que vier no endereço ip do firewall na porta especificada será
redirecionado para o endereço do servidor de monitoramento especificado
-A PREROUTING -d 172.16.26.249/32 -p tcp -m tcp --dport 7777 -j DNAT --to-destination
192.168.5.20:80
# Mascarar os endereços ip da rede interna para que eles possam sair na rede externa com um
endereço ip da rede externa
-A POSTROUTING -s 192.168.5.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Aug 6 08:52:18 2015
# Generated by iptables-save v1.4.21 on Thu Aug 6 08:52:18 2015
*filter
:INPUT DROP [2:168]
:FORWARD ACCEPT [16798:5470701]
:OUTPUT DROP [238:17664]
# Faz registro de LOG
-A INPUT -j LOG
# Libera monitoramento via SNMP para um dispositivo
-A INPUT -s 172.16.26.250/32 -d 192.168.5.20/32 -p udp -m udp --sport 161 -j ACCEPT
# Libera monitoramento via SNMP para um dispositivo
-A INPUT -s 172.16.26.251/32 -d 192.168.5.20/32 -p udp -m udp --sport 161 -j ACCEPT
# Libera monitoramento via SNMP para um dispositivo
-A INPUT -s 172.16.26.251/32 -d 192.168.5.10/32 -p udp -m udp --sport 161 -j ACCEPT
# Libera monitoramento via SNMP para um dispositivo
-A INPUT -s 172.16.26.250/32 -d 192.168.5.10/32 -p udp -m udp --sport 161 -j ACCEPT
# Liberando acesso SSH da maquina fisica para o servidor
-A INPUT -s 172.16.26.X/32 -d 192.168.5.20/32 -p tcp -m tcp --dport 22 -j ACCEPT
# Liberar ping de um dos dispositivos para o firewall
-A INPUT -s 172.16.26.250/32 -d 172.16.26.249/32 -p icmp -j ACCEPT
# Liberar ping do outro dispositivo para o firewall
-A INPUT -s 172.16.26.251/32 -d 172.16.26.249/32 -p icmp -j ACCEPT
# Faz registro de LOG
-A OUTPUT -j LOG
# Libera monitoramento via SNMP para um dispositivo
-A OUTPUT -s 192.168.5.20/32 -d 172.16.26.250/32 -p udp -m udp --dport 161 -j ACCEPT
# Libera monitoramento via SNMP para um dispositivo
-A OUTPUT -s 192.168.5.20/32 -d 172.16.26.251/32 -p udp -m udp --dport 161 -j ACCEPT
# Libera monitoramento via SNMP para um dispositivo
-A OUTPUT -s 192.168.5.10/32 -d 172.16.26.250/32 -p udp -m udp --dport 161 -j ACCEPT
# Libera monitoramento via SNMP para um dispositivo
-A OUTPUT -s 192.168.5.10/32 -d 172.16.26.251/32 -p udp -m udp --dport 161 -j ACCEPT
# Liberando acesso SSH da maquina fisica para o servidor
-A OUTPUT -s 192.168.5.20/32 -d 172.16.26.X/32 -p tcp -m tcp --sport 22 -j ACCEPT
# Liberar ping de um dos dispositivos para o firewall
-A OUTPUT -s 172.16.26.249/32 -d 172.16.26.250/32 -p icmp -j ACCEPT
# Liberar ping do outro dispositivo para o firewall
-A OUTPUT -s 172.16.26.249/32 -d 172.16.26.251/32 -p icmp -j ACCEPT