Escolar Documentos
Profissional Documentos
Cultura Documentos
A ferramenta iptables insere e retira regras da tabela de filtragem de pacotes do kernel. Para
que as regras não se percam no "reboot" da máquina, faz-se uso de scripts que são lidos a
cada reinicialização e atualizados durante a utilização da ferramenta, não havendo a
necessidade de reconfiguração da tabela de regras manualmente a cada vez que a máquina é
ligada.
Obs: um filtro de pacotes de uma rede não deve ser reinicializado constantemente,
principalmente em se tratando de Linux.
Para minimizar as restrições ao processo de migração por quem já utilizava os antigos pacotes
de filtragem, existem módulos de suporte a essas ferramentas no novo kernel.
Como a configuração do firewall está armazenada no kernel e pode ser perdida em um reboot,
é necessária a criação de arquivos (scripts) como iptables-save e iptables-restore e
incorporados à inicialização da máquina (scripts de inicialização) para automatizar o processo
de inicialização do filtro de pacotes.
Em uma conexão simples (PPP) para acesso à Internet, é possível impedir que algo "entre" em
sua rede ou máquina pessoal, durante a conexão utilizando um script baseado em
Netfilter/Iptables do tipo:
# insmod ip_conntrack
# insmod ip_conntrack_ftp
iptables -N block
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT
iptables -A block -j DROP
Funcionamento Interno
O kernel inicia com três listas de regras chamadas firewall, sendo elas: INPUT, OUTPUT e
FORWARD, que funcionam de forma diferente das ferramentas que utilizavam versões 2.0 e
2.2 do kernel.
Incoming / \ Outgoing
-->[Routing ]--->|FORWARD|------->
[Decision] \_____/ ^
| |
| |
v ____
___ / \
/ \ |OUTPUT|
|INPUT| \____/
\___/ ^
| |
----> Local Process ----
No esquema acima, são representadas as três 'chains'. Quando um pacote atinge uma das
chains, esta examina o seu cabeçalho e, baseada em sua tabela de regras, decide o que fazer
com o pacote. Se a chain determina que seja bloqueado, o pacote é descartado neste
momento, caso contrário (ACCEPT) o pacote segue conforme o diagrama.
Usando iptables
O iptables é similar ao ipchais, só que com várias características incorporadas. As três 'chains'
padrão permanecem (INPUT, OUTPUT e FORWARD). Estas chains não podem ser apagadas,
embora, como no iptables, novas chains podem ser criadas e apagadas.
O iptables pode ser um módulo, chamado ('iptable_filter.o'), que poderia ser carregado
automaticamente na primeira vez em que é rodado o iptables, ou também pode estar dentro
do kernel permanentemente (compilado junto com o kernel).
Antes de qualquer comando do iptables ser acionado (supondo que não esteja sendo
inicializado através dos scripts de inicialização da distribuição), não há regras em qualquer
chain. Todas as chains têm a política de aceitação (ACCEPT). Você pode alterar a política
default da chain FORWARD para prover a opção 'forward=0' para o módulo iptable_filter.
Cada regra especifica que condições o pacote precisa satisfazer, e para onde ele deve seguir.
Por exemplo, pode-se barrar todos os pacotes ICMP vindos do endereço IP 127.0.0.1:
Condições :
protocolo = ICMP;
endereço IP de origem = 127.0.0.1
protocolo = ICMP;
endereço IP de origem = 127.0.0.1
Alvo (target) = 'DROP'
Aplicando a regra :
Antes de aplicarmos a regra do iptables, o ping (com o parâmetro -c 1, que se refere ao envio
de somente um pacote) foi bem sucedido, obtendo o echo reply. Quando foi adicionado o -A à
chain INPUT, a regra especificou que para pacotes vindos de 127.0.0.1 (-s 127.0.0.1) com
protoloco ICMP (-p icmp) deveriam saltar para o DROP (-j DROP).
Ao testar essa regra usando novamente o ping, há uma pausa (a solicitação espera por uma
resposta que nunca vem) e em seguida a mensagem de que o pacote foi perdido (100%
packet loss).
Essa regra pode ser apagada de duas maneiras. Ou deletando diretamente pelo número da
regra na chain INPUT:
# iptables -D INPUT 1
A sintaxe do -D tem exatamente as mesmas opções dos comandos -A, -I ou -R. Se existirem
muitas regras idênticas na mesma chain, somente a primeira será apagada.
Especificando a Filtragem
Há ainda outras opções que podem ser usadas para especificar características de uma regra
de filtragem de pacotes:
* Origem (source)
-s
--source
--src
* Destino (destination)
-d
--destination
--dst
Os dígitos após a barra '/' são a máscara de rede utilizada para definir os IP's que estão
englobados no grupo. '/32' ou '/255.255.255.255' representam o padrão. Para especificar
algum endereço IP entre todos, podemos usar '/0'.
Muitas flags, inclusive a -s e -d podem ter seus argumentos precedidos por (!) (pronucia-se
'not') para se referir a endereços diferentes (NOT equal) dos apresentados. Por exemplo:
Especificando o Protocolo
O protocolo pode ser especificado com a flag `-p' (ou `--protocol'). O protocolo pode ser um
número (se você sabe o valor numérico do protocolo por IP), ou um nome para os casos
especiais de `TCP', `UDP' ou `ICMP'. O nome do protocolo também pode (como as flags
descritas acima) serem prefixados por um (!) , para invertê-lo. Por exemplo `-p ! TCP' para
especificar pacotes não TCP.
Especificando uma Interface
Obs.: Pacotes atravessando a chain INPUT não passam por uma interface de saída (output),
assim, qualquer regra usando -o nesta chain é inútil.
Obs2.: Igualmente, pacotes que atravessam a chain OUTPUT não passam por uma inteface de
entrada (input), assim, qualquer regra usando -i nesta chain é inútil.
Obs3.: Somente pacotes que atravessam a chain FORWARD passam por ambas as interfaces
(input e output).
Especificando Fragmentos
Algumas vezes um pacote é muito grande para ser enviado todo de uma vez. Quando isso
acontece, o pacote é dividido em fragmentos e enviados como múltiplos pacotes. No destino,
estes fragmentos são montados, reconstruindo o pacote original. O problema com fragmentos
é que o primeiro deles tem a informação completa do campo de cabeçalho (IP + TCP, UDP e
ICMP) para serem examinados, mas os pacotes seguintes somente tem uma parte do
cabeçalho (IP sem o campo de protocolo adicional).
Quando isso não acontece, as regras de filtragem procuram por informações sobre o pacote e
não encontram. Isso acontece porque o primeiro fragmento (com as informações completas) é
tratado como um pacote qualquer, já os demais fragmentos não. Nesses casos a regra -p TCP
--sport www especifica a porta de origem do 'www', o oposto desta regra seria -p TCP
--sport ! www.
De outra torma, você pode especificar uma regra especificamente para fragmentos
posteriores, usando a flag `-f' (ou `--fragment'). Isto também é usado para inserir uma regra
que não se aplica aos fragmentos posteriores, usando a inversão '!' precedendo a flag '-f'
Como exemplo, veja uma regra para barrar (drop) fragmentos vindos de 192.168.1.1:
As extensões podem ser de dois tipos: novos alvos (targets) ou novas combinações
(matches). Alguns protocolos oferecem automaticamente novos testes que podem ser
implementados na linha de comando após a opção '-p', para ler a extensão equivalente ao
novo teste explicitado, com a opção '-m' responsável pela leitura da extensão.
Para visualizar o help de uma extensão, use a opção para lê-la (`-p', `-j' ou `-m') seguida de
`-h' ou `--help', por exemplo:
Extensões TCP
--tcp-flags Utilizada para filtrar flags específicas, (ou não, em caso de precedida de). A
primeira string de flags é a máscara lista de flags para examinar)e a segunda string sinaliza
qual(is) flags serão selecionadas, por exemplo :
Isto indica que todas as flags serão examinadas ('ALL' é equivalente a informar
'SYN,ACK,FIN,RST, URG,PSH'), mas somente SYN e ACK serão selecionadas. Existe também o
argumento 'NONE' para indicar nenhuma flag.
--syn Opcionalmente precedida por um '!', esta opção é a abreviação para `--tcp-flags
SYN,RST,ACK SYN'.
Opcionalmente precedida por um '!', utilizada para indicar uma porta TCP, ou uma lista de
portas. As portas podem ser indicadas por nomes, (indicadas em /etc/services , ou por
seus números equivalentes). A lista de portas deve ter seus nomes (ou números) separados
por um ':'
--tcp-option Precedido opcionalmente por um '!', e um número, compara um pacote com uma
opção TCP igual a um número. Um pacote que não tenha um cabeçalho TCP completo é
barrado (drop) automaticamente se esta opção estiver formulada para examinar esta
situação.
"Ping da morte"
O Estado "Match"
A utilização mais conveniente para a opção 'match' é fornecida pela extensão 'state', que
interpreta a e analisa a conexão do módulo `ip_conntrack'. Ela é altamente recomendada.
Especificamente, a opção `-m state' aceita uma opção adicional `--state', que é uma lista de
estados de ativação separados por vírgula. (a flag '!' não indica a ativação deses estados).
Esses estados são:
Após examinar um pacote, é necessário indicar um destino para o mesmo, caso seja ativada
alguma das regras. Isto é chamado de regra de alvo (rule's target). Os dois alvos mais
comumente utilizados em um filtro de pacotes são o DROP (para barrar o pacote) e o ACCEPT
(para aceitá-lo). Se uma regra é ativada e o alvo é um destes dois, nenhuma regra mais é
consultada.
Uma das funções que o iptables herdou do ipchains é a possibilidade do usuário criar novas
chains, complementando as três chains padrão (INPUT, FORWARD and OUTPUT). Por
convenção, as chains definidas pelo usuários são compostas por letras minúsculas para
distingui-las. Mais adiante, as chains definidas pelo usuários serão mais detalhadas.
Quando um pacote ativa uma regra cujo alvo é uma chain definida pelo usuário, o pacote
segue atravessando a regra da chain definida pelo usuário. Se a chain não decide o destino do
pacote, então o pacote passará para a próxima regra da chain corrente.
Veja o exemplo gráfico a seguir. Consedere duas chains bem simples: INPUT (a chain padrão)
e test (uma chain definida pelo usuário)
`INPUT' `test'
-----------------------------
----------------------------
| Regra1: -p ICMP -j DROP | | Regra1: -s
192.168.1.1
|---------------------------|
|---------------------------|
| Regra2: -p TCP -j test | | Regra2: -d
192.168.1.|
|---------------------------|
----------------------------
| Regra3: -p UDP -j DROP |
-----------------------------
Um outro tipo de alvo é uma extensão. Um alvo extensão consiste em um módulo do kernel,
uma extensão opcional para o iptables para prover novas opções de linhas de comando. Há
muitas extensões na distribuição padrão do netfilter:
LOG Este módulo provê o log (logging) a nível de kernel de pacotes que ativem regras de
filtragem. Existem algumas opções adicionais:
--log-level Seguido por um número de nível (level number) ou nome. Os nomes válidos são
(em minúsculas): `debug', `info', `notice', `warning', `err', `crit', `alert' e `emerg',
correspondendo aos números de 7 a 0. Veja a página de manual (man page) do syslog.conf
para um melhor detalhamento desses níveis.
--log-prefix Seguido por uma string de até 30 caracteres, esta mensagem é "impressa" no
início da mensagem de log, (para facilitar a identificação de mensagens emitidas pelo iptables
por parte de programas de tratamento de log, sem confundí-las com as de outros serviços
logados pelo syslog). Este módulo é muito usado após um alvo limite, porém, cuidado para
não inundar ("floodar") seus logs.
REJECT
Este módulo tem o mesmo efeito que o 'DROP', exceto pelo fato de que ele envia uma
mensagem de erro à origem do pacote (ICMP 'port unreachable').
OBS: A mensagem de ICMP error não será enviada se (mais detalhes na RFC 1122) :
- O pacote que está sendo filtrado contiver uma mensagem de erro ICMP no início, ou algum
tipo de ICMP desconhecido (unknown ICMP type);
- O pacote que está sendo filtrado for um fragmento que não pertence ao cabeçalho;
- Foram enviados muitos pacotes com mensagens de erro ICMP para este destino
recentemente.
REJECT também possui o argumento opcional `--reject-with' que altera a resposta ao pacote
(veja a página de manual para mais detalhes)
RETURN tem o mesmo efeito de não-ativação ao final de uma chain: para uma regra de com
uma chain padrão, a política da chain é executada. Para uma regra definida pelo usuário,
retorna à chain anterior, obedecendo às regras após o alvo que implicou no salto para a regra
em questão.
QUEUE é um alvo especial, que enfileira (QUEUE) o pacote para um "userspace processing".
Para implementar isto, 2 componentes adicionais são requeridos:
- Uma "queue handler", que trabalhe conjuntamente com o atual mecanismo de passagem de
pacotes entre o kernel e o o "userspace" ; e
O modelo de "queue handler" para IPv4 iptables é o módulo ip_queue, que é distribuído com o
kernel e marcado como experimental (até a presente versão em desenvolvimento).
/proc/net/ip_queue
O valor padrão para o comprimento máximo do queue é 1024. Sempre que este limite for
ultrapassado, novos pacotes serão barrados após o comprimento da queue atingir o seu limite.
Alguns protocolos como o TCP interpreta a barragem de pacotes como congestionamento, e
aguardará a queue retornar. Outras vezes, ele pode experimentar determinar um
comprimento máximo ideal da queue para uma próxima situação se o valor padrão form muito
pequeno.
Chamaremos nossa primeira chain de test. Para criá-la podemos utilizar a opção `-N' ou `--
new-chain':
# iptables -N test
# iptables -N test
Pronto. Basta agora definir os detalhes da nova chain e as regras que irão utilizá-la.
# iptables -X test
Há um par de restrições para deletar chains: Não pode haver regras ativas que contenham
estas chains; e As chains não podem ser alvos de nenhuma regra.
OBS2: Se não for especificada a chain a deletar, todas as chains definidas pelo usuário serão
deletadas (se possível)
** Existe um simples caminho para descarregar todas as regras para fora de uma chain,
usando o comando `-F' (ou `--flush').
# iptables -F forward
** É possível listar todas as regras de uma chain usando o comando `-L' (ou `--list').
A `refcnt' listada por cada chain definida pelo usuário é o número de regras que têm esta
chain como alvo. Ela deve ter valor zero (e a chain estar vazia) antes desta chain ser
deletada. Se o nome da chain for omitido, todas as chains serão listadas, inclusive as vazias.
Existem 3 opções que podem acompanhar `-L':
** A opção (numérica) `-n' é muito usado para tentar fazer o iptables examinar o reverso do
endereço IP, que (se você estiver usando o DNS como muitas pessoas) causará longas
esperas (delays) se seu DNS não estiver configurado adequadamente, ou se houverem regras
de filtragem de saídas de requisições DNS. Isto também faz com que as portas TCP e UDP
sejam impressas como números antes dos nomes.
# iptables -N test
** A opção '-v' exibe todos detalhes das regras, assim como os pacotes e os 'byte counters',
as comparações TOS, e as interfaces. Em alguns casos estes valores são omitidos. Os pacotes
e 'byte counters' são exibidos usando os sufixos `K', `M' ou `G' para abreviar 1.000,
1.000.000 e 1.000.000.000 respectivamente.
Por exemplo, se você fez DNAT para enviar conexões direcionadas para o IP 1.2.3.4 porta 80
através do IP 10.1.1.1 porta 8080, o filtro de pacotes poderia enxergar os pacotes indo para
10.1.1.1 porta 8080 (o destino real) e não para 1.2.3.4 porta 80.
Você pode utilizar a extensão 'state' sem trabalhar com o filtro de pacotes, desde que o NAT
solicite conexão de qualquer modo. A seguir, um exemplo simples de mascaramento utilizando
NAT para desabilitar qualquer nova conexão vindo da interface ppp0:
Primeiramente, a escrita dos nomes das chains padrão foram modificados de maiúsculas para
minúsculas, isso porque no novo pacote, as chains INPUT e OUTPUT somente são utilizadas
para destinos locais e pacotes gerados localmente, para visualizar todos os pacotes que
chegam e que saem respectivamente.
A flag '-i' agora indica a interface de entrada, e somente deve ser utilizada nas chains INPUT e
FORWARD. Regras das chains FORWARD (para saída) e OUTPUT que utilizavam '-i' devem
agora utilizar '-o'.
As portas TCP e UDP agora precisam ser descritas com as opções --source-port ou --sport (ou
--destination-port/--dport), e podem ser posicionadas após as opções `-p tcp' ou `-p udp' que
carregam as extensões TCP ou UDP respectivamente.
* A flag TCP -y é agora --syn, e deve vir após a opção `-p tcp'.
* A flag TCP -y é agora --syn, e deve vir após a opção `-p tcp'.
Filewatcher http://netfilter.filewatcher.org