Escolar Documentos
Profissional Documentos
Cultura Documentos
NAT
Proxy
Gerencia de Redes
Redes de Computadores II
Ipfilter
Firewall originalmente utilizado no
OpenBSD, FreeBSD e Solaris.
Utilizado por muitos administradores por
ser seguro e confivel.
Firewall no Linux
Filtro de pacotes.
Mascaramento.
QoS sob trfego.
Suporte a SNAT e DNAT para
redirecionamento de endereos e
portas.
Mascaramento
Tcnica para colocar toda uma rede interna
atrs de um Firewall, usando-se IPs invlidos
(classe A, 10.0.0.0), no sentido de proteger
servidores de invases.
Quando tm-se pouqussimos IPs e tem-se que
disponibilizar o acesso para muitos servidores.
Habilita uma mquina Firewall a traduzir de um
IP vlido para n IPs invlidos internos.
IPTables e Netfilter
Deteco de fragmentos.
Monitoramento de trfego.
Regular a prioridade com TOS (Type of
Service).
Bloqueio a ataques Spoofing, Syn-Flood,
DoS, scanners ocultos, pings da morte, ...
Opo de utilizar mdulos externos para
composio de regras.
Sntese IPTables
Flag
Tabela
Comando
Ao
Alvo
19
Sntese do IPTables
...>iptables [flag] [tabela] [comando]
[parmetro] [alvo]
[flag] : -t
24
Parmetros para a filtragem de
pacotes
-p especifica o protocolo aplicado regra. Se
enquadra aos protocolos da camada de transporte,
como tcp, udp e icmp
Ex: iptables - A INPUT p tcp j ACCEPT
Parmetros para a filtragem de
pacotes
-s especifica a origem (source) do pacote ao qual a
regra deve ser aplicada. A origem pode ser um host ou
uma rede. Nesta opo geralmente utilizamos o IP
seguido de sua sub-rede:
Ex:
iptables A INPUT s 172.16.53.1 j DROP
iptables A INPUT s 172.16.53.1 j ACCEPT
Este comando descarta todo pacote de entrada vindo
da origem 172.16.53.1
O segundo comando aceita todo pacote de entrada
vindo da origem 172.16.53.1
Parmetros para a filtragem de
pacotes
-d especifica o destino do pacote (destination) ao
qual a regra deve ser aplicada. Sua utilizao se d da
mesma maneira que a ao s.
Ex:
iptables A OUTPUT d 172.16.53.1 j DROP
iptables A OUTPUT d 172.16.53.1 j ACCEPT
Este comando descarta todo pacote de sada com
destino mquina 172.16.53.1
O segundo comando aceita todo pacote de sada com
destino mquina 172.16.53.1
Parmetros para a filtragem de
pacotes
-i especifica a interface de entrada a ser utilizada e
como um Firewall possui mais de uma interface esta
regra acaba sendo muito importante para distinguir a
qual interface de rede o filtro deve ser aplicado.
Ex:
iptables A INPUT i eth0 j DROP
O comando permite que todo pacote que entra pela
interface eth0 seja selecionado para ser descartado
pelas regras do firewall.
Parmetros para a filtragem de
pacotes
-o especifica a interface de sada a ser utilizada e se
aplica da mesma forma que a regra i, mas este
parmetro menos usado, pois normalmente nos
preocupamos em impedir que o firewall aceite
conexes em determinadas portas, ao invs de tentar
interceptar as respostas.
Ex:
iptables A FORWARD o eth0 j DROP
O comando permite que todo pacote que sai pela
interface eth0 seja selecionado para ser descartado
pelas regras do firewall.
Parmetros para a filtragem de
pacotes
--sport porta de origem (source port). Com esta
regra possvel aplicar filtros com base na porta de
origem do pacote.
Ex:
iptables A INPUT p tcp -sport 22 j DROP
O comando permite que todo pacote de entrada
usando o protocolo TCP e com origem na porta 22 seja
descartado.
Parmetros para a filtragem de
pacotes
--dport porta de destino (destination port) especifica
a porta de destino do pacote e funciona de forma
similar regra sport.
Ex:
iptables A OUTPUT p tcp -dport 22 j DROP
O comando permite que todo pacote de sada usando
o protocolo TCP e com destino na porta 22 seja
descartado.
Parmetros para a filtragem de
pacotes
-m mac --mac-source a regra que permite especificar
endereos MAC dentro de regras do iptables. Ele uma forma de
dificultar o uso de endereos IP falseados para ganhar acesso ao
servidor, pois permite relacionar o IP ao endereo MAC da placa
instalada. No 100% eficaz pois o endereo MAC pode ser
trocado via ifconfig e ele no vlido para a camada de rede, ou
seja, quando sai da rede local, ele descartado.
Ex:
iptables -A INPUT p tcp --dport 22 m mac --mac-source
00:1B:24:46:29:88 j REJECT
Ex:
Iptables A OUTPUT d www.site.com j DROP
O comando impede que pacotes de sada destinados ao domnio
sejam enviados, ou seja, impede que o domnio seja acessado a
partir da prpria mquina local.
Originalmente o iptables sabia trabalhar apenas com endereos
IP. A possibilidade de criar regras baseadas em domnios so um
recurso um pouco mais recente, onde o firewall faz um lookup
no domnio, para saber qual o IP atual.
Conceituando TOS
Tabela Mangle
SNAT
DNAT
Proxy Transparente
NAT
uma forma de mascaramento.
Muito utilizado em roteadores.
S que desempenha funo de
encaminhamento de pacotes
(forwarding).
Tcnica til quando se deseja colocar um
servidor Web ou servidor de email, atrs de
um Firewall, usando-se IPs falsos, com
intuito de escond-los contra invases.
IPTables - Tabela NAT
Funes de um Firewall NAT
SNAT (Source Nat)
(traduo de endereo IP de origem)
Transparent Proxy
Lgica NetFilter (iptables)
Input/Output chain
Forward chain
SNAT