Escolar Documentos
Profissional Documentos
Cultura Documentos
2003-2004 1s SI 05 - Netfilter
2003-2004 1s SI 05 - Netfilter
DE Segurança da
ENGENHARIA Informação
INFORMÁTICA
www.dei.estg.iplei.pt www.dei.estg.iplei.pt/si/
1 Introdução
Uma firewall é um dispositivo para proteger uma rede das possíveis ameaças externas.
Uma firewall pode ser um dispositivo de hardware dedicado, ou um computador, por
exemplo a correr Linux desde que devidamente configurado.
2 Iptables/Netfilter
A instalação do RedHat Linux 8 inclui o Iptables, que passou a ser designado Netfilter,
que não é mais do que uma firewall de filtragem de pacotes. O IPtables cria
automaticamente três listas: INPUT, OUTPUT e FORWARD (que podem ser visualizadas
com o comando /sbin/iptables -L). Conforme o nome das listas indicam, as regras que estas
possuírem serão aplicadas aos pacotes que entrarem, saírem ou que sejam redireccionados.
Por exemplo:
1) /sbin/iptables –A INPUT –s 192.168.1.254 –j ACCEPT
2) /sbin/iptables –A INPUT –s 192.168.1.0/24 –j DROP
#!/bin/sh
#
# script de configuração de uma firewall simples
#
# variável com a localização do iptables
IPTABLES=/sbin/iptables
3 Exercício
1. A instalação do RedHat 8 já inclui o IPtables, mas o software está sempre a
evoluir e no que diz respeito à segurança devemos utilizar sempre as últimas
versões. Por isso o primeiro exercício é recompilar o Kernel.
a. Copiar a última versão do kernel disponível no servidor \\192.168.226.2 na
directoria “/pub/kernel”.
b. Colocar o referido ficheiro na directoia “/usr/src/” e descompactá-lo com o
comando “tar –xvjf <nome do ficheiro>”
c. Criar um link com o comando “ln -s /usr/src/ linux-2.4.22 /usr/src/linux”
d. Entrar na nova directoria (/usr/src/linux) e criar o ficheiro “make.sh” com o
seguinte conteúdo:
#!/bin/sh
make dep
make bzImage
make modules
make modules_install
make install
# mudar para:
PREFIX:=/usr
LIBDIR:=/lib
BINDIR:=/sbin
MANDIR:=$(PREFIX)/man
INCDIR:=$(PREFIX)/include
3. Configurar o iptables
a. Definir, numa folha ou num ficheiro de texto, quais são os protocolos
necessários para que um computador possa aceder a um servidor http
exterior à rede local (incluir também os portos usados e qual o sentido dos
pacotes, entrada ou saída)
b. Depois, de acordo com uma política de omissão “negar tudo”, configurar
as regras necessárias, para o iptables, para que o vosso computador possa
aceder à página http://www.netfilter.org. (Consulte o ficheiro iptables-
tutorial.pdf disponível no servidor 192.168.226.2)
4 Links de interesse
1. http://www.justlinux.com/nhf/Security/IPtables_Basics.html
2. http://iptables-tutorial.frozentux.net/iptables-tutorial.html