Gerenciando o Firewall

Menezes Márcio Antônio / marantmenezes@yahoo.com.
br
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
Documento produzido pela 4Linux

1
Menezes Márcio Antônio / marantmenezes@yahoo.com.br
Competências da Aula
Esta aula possui conteúdo que atende os objetivos das seguintes certificações:
LPIC 2
●
security tasks
●
iptables
●
LFCE
●
Understanding Linux Firewall Solutions
●
Understanding iptables Working
RHCE
●
Understanding Firewalld Operation
●
Configuring Firewalld Services and Zones

2
HandsON
Para realizar esta aula, ligue as máquinas em destaque:

3
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

4
O que é um Firewall?
Um firewall faz o filtro de pacotes que passam na rede. Para configurar um firewall, é necessário o
conhecimento sobre a estrutura da rede em questão, e dos diferentes protocolos envolvidos na
comunicação, isto é, dos serviços que a rede usa para que eles não percam a comunicação.
O objetivo em ter uma máquina fazendo o papel de Firewall Gateway em nossa rede, é minimizar
as tentativas de ataques que elas recebem, tentando impedir possíveis invasões e levantamento
de informações.

5
Iptables
Os sistemas GNU/Linux com Kernel 2.6, trabalham com o "Iptables" para fazer o gerenciamento
de regras de Firewall. Lembrando que o "Iptables" é apenas um "frontend" que gerencia o suporte
"Netfilter" no "Kernel".
O que são as CHAINS?
Basicamente no iptables as regras são organizadas em tabelas, essas tabelas possuem o que
chamamos de CHAINS. É nas CHAINS que são definidas as regras para o nosso "firewall", sendo
que uma CHAIN deverá possuir também uma política padrão (drop ou accept).
A tradução literal para CHAIN seria "correntes", assim cada tabela teria uma corrente, onde cada
elo corresponderia a uma regra.

6
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

7
Revisando os conceitos de Rede:
Os dados são transmitidos na Internet, agrupados em pacotes TCP (de maneira geral). Esses
pacotes TCP podem conter até 1460 bytes de dados. Além dos dados, 40 bytes adicionais vão
junto no pacote. Nesses 40 bytes a mais, seguem:
→ IP de origem
→ IP de destino
→ Porta de origem
→ Porta de destino
→ Códigos de verificação
→ Número do pacote

8
Os códigos de verificação, servem para garantir a integridade dos dados que estão sendo
trafegados na rede.
A função básica do IP é cuidar do endereçamento e entrega de pacotes.
A função básica do TCP é fazer verificações de erros e numeração de portas. Logo, os dados
serão transmitidos de forma quebrada, em pacotes menores.

9
Existem 65.536 portas TCP e UDP. Elas são numeradas de 0 e 65.535. As portas baixas estão na
faixa entre 0 à 1023. Elas estão reservadas para serviços mais conhecidos como: servidor web,
ftp, ssh, telnet, servidores de e-mail, compartilhamento de arquivos, como por exemplo, Samba,
NFS etc. Portas altas estão uma faixa acima de 1023.

10
Características do iptables
●
Filtro de pacotes statefull — Isso significa que o iptables é capaz de atuar sobre as camadas do
protocolo TCP.
●
Modularidade — A configuração do kernel é modular e com o netfilter não é diferente, pois novas
funcionalidades podem ser adicionadas sem muito esforço. Um módulo só será usado se for da
necessidade do administrador.
O comando iptables tem a função de gerenciar um firewall no Linux. Com ele criamos regras,
visualizamos regras, deletamos regras, definimos políticas.
●
-L (list) — Listar regras ativas;
●
-t (table) — Define uma das 4 tabela do Iptables (Filter, Nat, Mangle e Raw).

11
Compreendendo as políticas e as exceções:
A metodologia utilizada para implementação do “firewall“ será a seguinte:

12
Compreendendo as políticas e as exceções
Iremos negar todo o tráfego para as "chains" de "INPUT", "OUTPUT" e "FORWARD" da tabela
"filter", posteriormente definiremos as relações dos serviços que devem ser liberados no "firewall",
as chamadas exceções. Todo o tráfego de pacotes não coberto pelas exceções, será bloqueado
por padrão. Em suma, o que não for oficialmente permitido já está expressa e previamente negado.
Negar com DROP ou REJECT?
Ao criar regras de negação utilizando a ação DROP, o sistema rejeita o pacote e simplesmente não
responde a conexão, já em regras cuja ação definida é REJECT, o sistema rejeitará o pacote e
notificará o solicitante sobre a rejeição.
●
Política DROP – Tudo está negado, exceto o que for liberado em regras de ACCEPT;
●
Política ACCEPT – Tudo está liberado, exceto o que for negado em regras de DROP;
●
-P (policy) – Define a Política da Chain;
●
-S (list-rules) – Lista a Regras de todas as chains ou uma em específico.

13
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

14
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

15
Firewalld
O firewalld usa os conceitos de zonas e serviços, que simplificam o gerenciamento de tráfego.
Zonas são conjuntos predefinidos de regras. Interfaces de rede e fontes podem ser atribuídas a
uma zona. O tráfego permitido depende da rede, à qual seu computador está conectado e do
nível de segurança atribuído a essa rede.
Os serviços de firewall são regras predefinidas, que cobrem todas as configurações necessárias
para permitir tráfego de entrada a um serviço específico, e se aplicam em uma zona.

16
Componentes
Os serviços usam uma ou mais portas, ou endereços para comunicação de rede. Os firewalls
filtram a comunicação com base nas portas. Para permitir tráfego de rede para um serviço, suas
portas devem estar abertas. O firewalld bloqueia todo o tráfego em portas que não estão
explicitamente definidas como abertas. Algumas zonas, como confiáveis, permitem todo o tráfego
por padrão.

17
Tipos de Zonas
●
block — Todas as conexões de rede de entrada são rejeitadas com uma mensagem icmp-host-
prohibited para IPv4, e icmp6-adm-prohibited para IPv6. Apenas conexões de rede iniciadas de
dentro do sistema são possíveis.
●
dmz — Para computadores em sua zona desmilitarizada, que são acessíveis publicamente com
acesso limitado à sua rede interna. Somente conexões de entrada selecionadas são aceitas.
●
drop — Todos os pacotes de rede recebidos são descartados sem qualquer notificação. Apenas
conexões de rede de saída são possíveis.
●
external — Para uso em redes externas com o mascaramento ativado, especialmente para
roteadores. Você não confia nos outros computadores da rede para não danificar seu computador.
Somente conexões de entrada selecionadas são aceitas.
●
home — Para uso em casa, quando você confia principalmente nos outros computadores da
rede. Somente conexões de entrada selecionadas são aceitas.
●
internal — Para uso em redes internas, quando você confia principalmente nos outros
computadores da rede. Somente conexões de entrada selecionadas são aceitas.
●
public — Para uso em áreas públicas, onde você não confia em outros computadores na rede.
Somente conexões de entrada selecionadas são aceitas.
●
trust — Todas as conexões de rede são aceitas.
●
work — Para uso no trabalho em que você confia, principalmente nos outros computadores da
rede. Somente conexões de entrada selecionadas são aceitas.

18
Descrição dos comandos
●
firewall-cmd — É o cliente da linha de comando do daemon do firewalld. Fornece interface para
gerenciar o tempo de execução e a configuração permanente.
Opções do comando firewalld-cmd:
●
--state — Exibir o estado do firewalld;
●
--list-all — Listar tudo adicionado ou ativado em uma zona.

19
Descrição das opções do comando firewalld-cmd
●
--list-all — Listar tudo adicionado ou ativado em uma zona.
●
--get-services — Listar serviços adicionados para uma zona.
●
--zone=public — Selecionar uma zona para definir ou consultar opções, senão a zona padrão é
utilizada.
●
--list-services — Listar serviços adicionados para uma zona.

20
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

21
LFCE
●
Setting up a Basic iptables Configuration
●

22
HandsON

23
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

24
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

25
●
-A (append) – Adiciona uma regra do Final da lista de Regras, já criadas;
●
-I (insert) – Adiciona uma regra no começo da lista de Regras, já criadas;
●
-d (destination) – Especifica o destino do Pacote;
●
-s (source) – Especifica a origem do Pacote.

26
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

27
●
-D (delete) – Deleta uma regra de uma Chain;
●
-F (flush) – Deleta todas as regras das Chains de uma tabela.

28
Todas as regras de firewall são criadas na memória, portanto uma vez que a máquina reinicie, tudo
é perdido. O iptables não tem um arquivo de configuração, ele oferece dois comandos para que
você possa salvar as regras e ativar na inicialização:
●
Iptables-save – Salva as regras num arquivo.

29
●
Iptables-restore – Ativa as regras armazenadas pelo iptables-save.
Tabela de Alvos do Iptables:
Alvo Descrição do alvo
ACCEPT O pacote é aceito;
REJECT O pacote é rejeitado imediatamente;
DROP O pacote é nagado silenciosamente (Mais interessante, pois

diminui a eficiência de um ataque DOS/DDOS, ou seja, o host
de origem fica sem resposta até que a conexão caia);
LOG Permite que qualquer pacote que se encaixe na regra, seja

enviado para o syslog ou dmesg.

30
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

31
SSH Ativo:
# tcpdump -n -i eth0 host 200.100.50.100 and port 22
IP 200.100.50.100.62939 > 200.100.50.1.22: Flags [S], seq 1470916950, win 65535
IP 200.100.50.1.22 > 200.100.50.100.62939: Flags [S.], seq 1431520632, ack 1470916951, win
14480
IP 200.100.50.100.62939 > 200.100.50.1.22: Flags [.], ack 1, win 65535
IP 200.100.50.100.62939 > 200.100.50.1.22: Flags [F.], seq 1809, ack 1512, win 65535
SSH Desligado:
# tcpdump -n -i eth0 host 200.100.50.100 and port 22
IP 200.100.50.100.62946 > 200.100.50.1.22: Flags [S], seq 2848827145, win 65535, options
IP 200.100.50.1.22 > 200.100.50.100.62946: Flags [R.], seq 0, ack 2848827146, win 0, length 0

32
DNS Ativo
# tcpdump -n -i eth0 port 53
IP 200.100.50.100.57067 > 201.6.2.140.53: 61682+ A? google.com. (28)
IP 201.6.2.140.53 > 200.100.50.100.57067: 61682 11/4/4 A 74.125.234.68, A 74.125.234.72, A
74.125.234.78, A 74.125.234.73, A 74.125.234.66, A 74.125.234.67, A 74.125.234.64, A
74.125.234.71, A 74.125.234.65, A 74.125.234.70, A 74.125.234.69 (340)
DNS Desligado
# tcpdump -n -i eth0 port 53
IP 200.100.50.1.47619 > 66.118.142.41.53: 65307+ A? google.com. (28)
IP 66.118.142.41.53 > 200.100.50.1.47619: 65307 Refused- 0/0/0 (28)

33
Ping 4.2.2.2
# tcpdump -n -i eth0 icmp
16:01:44.190864 IP 200.100.50.100 > 4.2.2.2: ICMP echo request, id 2721, seq 1, length 64
16:01:44.334131 IP 4.2.2.2 > 200.100.50.100: ICMP echo reply, id 2721, seq 1, length 64

34
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

35
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

36
LFCE
●
Setting up a Basic iptables Configuration
●
Configuring iptables NAT
●
Using Logging for iptables Troubleshooting
●
Configuring Port Forwarding in iptables
RHCE
●
Creating Services Files
●
Understanding Rich Firewall Rules
●
Configuring Rich Firewall Rules
●
Understanding NAT and Port Forwarding
●
Configuring NAT
●
Configuring Port Forwarding
●
Opening the Firewall for NTP Traffic

37
HandsON

38
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

39
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

40
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

41
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

42
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

43
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

44
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

45
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

46
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

47
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

48
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

49
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

50
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

51
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

52
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

53
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

54
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

55
LFCE
●
Making the iptables Configuration Persistent
●
Using Logging for iptables Troubleshooting

56
HandsON

57
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

58
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

59
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

60
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

61
Firewall Customizado no padrão System V
Um bom Firewall é aquele que bloqueia tudo e libera somente o necessário, por isso as primeiras
providencias a tomar é bloquear tudo.
A POLICE (determinada com o parâmetro -P ), é a regra default para qualquer tipo de

comunicação, portanto se não existir uma regra especifica para a passagem de pacotes, a
POLICE bloqueará a passagem.

62
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

63
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

64
Anotações
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________
__________________________________

65
Descrição dos comandos netfilter-persistent
●
start – Chama todos os plugins com o argumento start, fazendo com que carreguem suas regras
no netfilter.
●
stop – Se a configuração FLUSH_ON_STOP estiver habilitada, chama todos os plug-ins com o
argumento flush, fazendo com que eles removam suas regras do netfilter. Caso contrário, apenas
emite um aviso.
●
flush – Chama todos os plug-ins com o argumento flush, fazendo com que eles removam suas
regras do netfilter.
●
save – Chama todos os plug-ins com o argumento save, fazendo com que eles salvem as regras
atualmente carregadas no armazenamento persistente.

66
Carregar regras na inicialização do sistema — Red Hat / CentOS
Através do usuário root, salve as regras do iptables através do comando iptables-save:

$ sudo su -
# iptables-save > /etc/sysconfig/iptables
Em seguida, verifique as regras gravadas no arquivo /etc/sysconfig/iptables:

# cat /etc/sysconfig/iptables
Instale o pacote iptables-services e reinicie o serviço iptables:

# yum install iptables-services
# systemctl restart iptables
Teste a limpeza das regras, pare o serviço iptables e liste as regras presentes:
# systemctl stop iptables
# iptables -L -v
Teste o carregamento das regras, inicie o serviço iptables e liste as regras presentes:
# systemctl start iptables
# iptables -L -v
Para terminar, ative o serviço iptables para carregar as regras na inicialização do sistema:
# systemctl enable iptables

67

Gerenciando o Firewall

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Gerenciando o Firewall

Enviado por

Direitos autorais:

Formatos disponíveis

Menezes Márcio Antônio / marantmenezes@yahoo.com.

Documento produzido pela 4Linux

Documento produzido pela 4Linux

Para realizar esta aula, ligue as máquinas em destaque:

Documento produzido pela 4Linux

Documento produzido pela 4Linux

Documento produzido pela 4Linux

O que são as CHAINS?

Documento produzido pela 4Linux

Documento produzido pela 4Linux

Revisando os conceitos de Rede:

Documento produzido pela 4Linux

Revisando os conceitos de Rede:

A função básica do IP é cuidar do endereçamento e entrega de pacotes.

Documento produzido pela 4Linux

Revisando os conceitos de Rede:

Documento produzido pela 4Linux

Documento produzido pela 4Linux

Compreendendo as políticas e as exceções:

A metodologia utilizada para implementação do “firewall“ será a seguinte:

Documento produzido pela 4Linux

Compreendendo as políticas e as exceções

Negar com DROP ou REJECT?

Documento produzido pela 4Linux

Documento produzido pela 4Linux

Documento produzido pela 4Linux

O firewalld usa os conceitos de zonas e serviços, que simplificam o gerenciamento de tráfego.

Documento produzido pela 4Linux

Documento produzido pela 4Linux

Documento produzido pela 4Linux

Descrição dos comandos

Opções do comando firewalld-cmd:

Documento produzido pela 4Linux

Descrição das opções do comando firewalld-cmd

Documento produzido pela 4Linux

Documento produzido pela 4Linux

Documento produzido pela 4Linux

Para realizar esta aula, ligue as máquinas em destaque:

Documento produzido pela 4Linux

Documento produzido pela 4Linux

Documento produzido pela 4Linux

Descrição dos comandos

Documento produzido pela 4Linux

Documento produzido pela 4Linux

Descrição dos comandos

Documento produzido pela 4Linux

Descrição dos comandos

Documento produzido pela 4Linux

Descrição dos comandos

Tabela de Alvos do Iptables:

Alvo Descrição do alvo

ACCEPT O pacote é aceito;

REJECT O pacote é rejeitado imediatamente;

DROP O pacote é nagado silenciosamente (Mais interessante, pois

LOG Permite que qualquer pacote que se encaixe na regra, seja

Documento produzido pela 4Linux

Documento produzido pela 4Linux

Documento produzido pela 4Linux

Documento produzido pela 4Linux

Documento produzido pela 4Linux

Documento produzido pela 4Linux

Documento produzido pela 4Linux

Documento produzido pela 4Linux

Para realizar esta aula, ligue as máquinas em destaque: