UNATEC

Rede de Computadores
Prof.: Thiago H. Bom Conselho

Iptables como filtro de pacotes (firewall)

Sistema: Linux

O iptables é um firewall em nível de pacotes e funciona baseado no endereço/porta de origem/destino do

pacote, prioridade, etc. Ele funciona através da comparação de regras para saber se um pacote tem ou não
permissão para passar. Em firewalls mais restritivos, o pacote é bloqueado e registrado para que o
administrador do sistema tenha conhecimento sobre o que está acontecendo em seu sistema.

Esta atividade tem como objetivo fixar opções e configurações pertinentes ao filtro de pacotes do iptables.

Atividade Laboratorial.
1. Teste, implemente e descreva os comando e regras abaixo:
1.1. iptables –F
1.2. iptables –L –v
1.3. iptables -L --line-numbers
1.4. iptables -t filter -A INPUT -d 127.0.0.1 -j DROP
1.5. iptables -t filter -A INPUT -d 10.53.0.2 -j REJECT
1.6. iptables -t filter -A INPUT -d 192.168.0.0/16 -j DROP
1.7. iptables -t filter -D INPUT 1
1.8. iptables -t filter -D INPUT -d 127.0.0.1 -j DROP
1.9. iptables -t filter -I INPUT 1 -s 192.168.1.15 -d 127.0.0.1 -j ACCEPT
1.10. iptables -t filter -R INPUT 2 -d 10.53.0.2 -j DROP
1.11. iptables -A INPUT -s 200.200.200.0/24 -j DROP
1.12. iptables -A OUTPUT -d 10.1.2.3 -j DROP
1.13. iptables -A OUTPUT -d www.una.br -j DROP
1.14. iptables -A INPUT -d www.meebo.com -j DROP
1.15. iptables -A INPUT -s 10.53.10.2 -p udp -j DROP
1.16. iptables -A INPUT -s 10.53.10.2 -p icmp -j REJECT
1.17. iptables -A INPUT -s 10.53.10.10 -p icmp --icmp-type time-exceeded -i eth+ -j DROP
1.18. iptables -A INPUT -d 127.0.0.1 –-dport 23 -j DROP

2. Crie as seguintes regras:

2.1. Bloquear todas as entradas da maq 10.53.10.30 providas da porta 80.
2.2. Permitir acesso a entrada da maq 10.53.10.1 providas da porta 25.
2.3. Rejeitar os pacotes udp que se destinam a o servidor 192.168.0.1.
2.4. Bloquear a entrada de pacotes fragmentados providos da maq 10.53.10.1.
2.5. Bloquear todos os pacotes providos de 10.53.0.100, EXCETO os do protocolo tcp.
2.6. Bloquear o acesso ao site www.astalavista.com
2.7. Altere a política padrão da Chain INPUT para DROP.

3. Analise as regras abaixo:

3.1. iptables -A INPUT -p ICMP -j DROP
3.2. iptables -A INPUT -p UDP -s ip_dns_server --sport 53 -j ACCEPT
3.3. iptables -A OUTPUT -p UDP -d ip_dns_server --dport 53 -j ACCEPT

4. Estudo de caso:
4.1. A empresa Y possui uma rede com 5 computadores do range de ip 192.168.0.0 (10-14), uma
maquina com serviço de gateway e DNS (192.168.0.5) para internet e a porta 82 para uma
aplicação em intranet. Alem disso a empresa disponibiliza uma maquina de ip 192.168.0.100
para uso ilimitado de internet. Crie as regras para a maquina de gateway para que as maquinas
não possam acessar os serviço de internet, bloqueando as portas de internet, sem atrapalhar o
serviço normal da rede. Deve-se lembrar da porta 82 da aplicação intranet. Não esqueça que há
uma maquina de acesso livre.

Bons Estudos

Antes de imprimir, pense em sua responsabilidade e compromisso com o MEIO AMBIENTE.

Before of it print, think of his commitment with the ENVIRONMENT.
UNATEC
Rede de Computadores
Prof.: Thiago H. Bom Conselho

Opções básicas do Iptables:

-t tables: define a tabela de referencia da regra a ser manipulada, há de se saber que existem 3 tabelas
disponíveis: filtro, nat, mangle. Há de saber-se que na tabela filtro encontramos três regras nativas:
INPUT, OUTPUT e FORWARD.

-L chain subopções: Listas as regras de uma ou mais Chain

-v - Exibe mais detalhes sobre as regras criadas nos chains.
-n - Exibe endereços de máquinas/portas como números ao invés de tentar a resolução DNS e
consulta ao /etc/services. A resolução de nomes pode tomar muito tempo dependendo da
quantidade de regras que suas tabelas possuem e velocidade de sua conexão.
-x - Exibe números exatos ao invés de números redondos. Também mostra a faixa de portas de
uma regra de firewall.
--line-numbers - Exibe o número da posição da regra na primeira coluna da listagem.

-F chain: Apaga as regras contidas em uma ou mais chains.

-A Chain: Adiciona uma regra em uma chain.

-D chain: Remove uma regra de uma chain.

-I chain posição: Insere uma regra na posição indicada na chain.

-R chain posição: Remove / Altera uma regra disposta na posição indicada na chain.

-d endereço / -s endereço : Especifica o endereço de destino ou de origem da ação.

-j alvo da regra: Define o alvo da regra

ACCEPT
O pacote é ACEITO e o processamento das regras daquele chains é concluído.
DROP
Rejeita o pacote e o processamento das regras daquele chain é concluído.
REJECT
Este é um módulo opcional que faz a mesma função do alvo DROP com a diferença de que uma
mensagem ICMP do tipo "icmp-port-unreachable" (TCP/UDP) ou "host-unreachable" (ICMP) é
retornada para a máquina de origem.
LOG
Este módulo envia uma mensagem ao syslog caso a regra confira, o processamento continua
normalmente para a próxima regra (o pacote não é nem considerado ACEITO ou REJEITADO).
RETURN
Retorna o processamento do chain anterior sem processar o resto do chain atual.
QUEUE
Passa o processamento para um programa a nível de usuário.

-P política: Define a política padrão da chain.

-p protocolo: Define o protocolo a ser utilizado.

--sport - Especifica uma porta ou faixa de portas de origem.
--dport - Especifica uma porta ou faixa de portas de destino.
-Z chain: Zera os contadores de Pacotes da chain.

-i (ou --in-interface) e -o (ou --out-interface) especificam as interfaces de origem/destino de pacotes.

-f (ou --fragment) permite especificar regras que confiram com fragmentos.

! (NOT) Negação ou exceção

Antes de imprimir, pense em sua responsabilidade e compromisso com o MEIO AMBIENTE.

Before of it print, think of his commitment with the ENVIRONMENT.