Mdulo: Firewall. Prof: Harumi Tacao AULA 14 e 15: Finalizao Prtica de Laboratrio. Iptables Tabelas, Cadeias e Regras. OBJETIVO:
Objetivo: Explanar os conceitos de
firewall utilizados no ambiente linux, seu funcionamento e tabelas utilizadas no iptables. FIREWALL:
FUNO: FILTRAR OS PACOTES DE REDE.
QUE ENTRAM E SAEM DA REDE INTERNA. Aplicaes: Construir firewalls de Internet baseados na filtragem de pacotes Compartilhamento de Internet Implementao de Proxy Transparente Manipulao de Pacotes Monitorar o volume de trfego de rede Encaminhamento de Portas Balanceamento de carga de rede. Iptables: Responsvel pelo gerenciamento das chains no netfilter atravs do comando iptables. ESTRUTURA DO IPTABLES: TABELAS CHAIN (CADEIAS) Conj. Regras de Processamento REGRAS MATCHES (CORRESPONDENCIAS) Usadas para determinar quais pacotes cada regra ser aplicada. TARGETS (OBJETIVOS) Determinam o que ser feito com os pacotes que correspondem as regras. Tabelas: Filter Manipulao dos pacotes de rede no geral NAT Utilizada para alterar pacotes que criam uma nova conexo e para redirecionar conexes Mangle Utilizada para tipos especficos de modificao de pacotes. Ex- modificao de opes do cabealho IP de um pacote. Raw Marca pacotes que no devem ser manipulados pelo sistema de rastreamento de conexes. TABELA FILTER: Analisa os pacotes que se originam, destinam ou passam pelo firewall. Ela trata as seguintes situaes:
FILTER: Todo pacote com destino final ao servidor de firewall.
Exemplo: Preciso conectar na porta 80 no meu servidor de firewall
FORWARD: Todo pacote que chega ao servidor mas deve ser
encaminhado para outro servidor. Exemplo: Estao de trabalho precisa acessar um outro servidor.
OUTPUT: Todo pacote que enviado pelo servidor.
Exemplo: Meu servidor solicitou uma consulta de DNS para um host de internet. TABELA NAT: Realiza roteamento de pacotes. responsvel por alterar os endereos de origem ou de destino de pacotes, para que eles possam se comunicar com outras redes e hosts na internet. Situaes:
PREROUTING : Quando os pacotes esto entrando pelo kernel
antes de sofrer roteamento. Exemplo: Acessar o servidor de e-mail da minha empresa, posso criar um rede de PREROUTING redirecionando as conexes que vierem da internet com destino ao meu servidor de Firewall para o meu servidor de E-mail.
OUTPUT: Todo o pacote que enviado pelo servidor.
POSTROUTING: Quando os pacotes esto saindo pelo kernel
aps o tratamento do roteamento. Exemplo: Contratei um link de internet para a empresa com ip valido e quero que todos a minha rede interna seja roteado com esse ip quando for acessar a internet. TABELA MANGLE: Aes: ACCEPT--> Aceitar. Permite a passagem do pacote. DROP--> Abandonar. No permite a passagem do pacote, descartando-o. No avisa a origem sobre o ocorrido. REJECT--> Igual ao DROP, mas avisa a origem sobre o ocorrido (envia pacote icmpunreachable). LOG --> Cria um log referente regra, em /var/log/messages. Usar antes de outras aes. ESTRUTURA DAS REGRAS: iptables [-t tabela] [opo] [chain] [parmetros] -j [ao] Exemplo: #iptables -A FORWARD -d 192.168.1.1 -j DROP No caso: tabela: filter ( a default) opo: -A chain: FORWARD Alguns Exemplos: Opes: -P = define uma regra padro; -A = acrescenta uma nova regra s existentes; -D = apaga uma regra; -L = lista as regras existentes; -F = apaga todas as regras; -I = insere uma nova regra; -h = mostra a ajuda; -R = substitui uma regra; -Z = zera uma regra especifica; -X = exclui uma regra especfica pelo seu nome. SE LIGA NA REVISO! QUAIS OS TIPOS DE FIREWALL EXISTENTES? (A)Filtragem de Pacotes (B)Filtragem de Servio (C)Filtragem de Programas (D)Firewall de Aplicao QUAIS OS TIPOS DE FIREWALL EXISTENTES? (A)Filtragem de Pacotes (B)Filtragem de Servio (C)Filtragem de Programas (D)Firewall de Aplicao QUAL O MDULO DO KERNEL QUE RESPONSVEL POR TRATAR OS PACOTES: (A) netfiltragem (B) netfilter (C) filternet (D) filtragemnet QUAL O MDULO DO KERNEL QUE RESPONSVEL POR TRATAR OS PACOTES: (A)netfiltragem (B)netfilter (C)filternet (D)filtragemnet O QUE PASSA PELA CHAIN OUTPUT DA TABELA FILTER? (A) Pacotes da Internet com destino ao Firewall (B) Pacotes da rede interna que iro passar pelo firewall (C) Pacotes com destino final ao firewall (D) Pacotes gerados pelo firewall O QUE PASSA PELA CHAIN OUTPUT DA TABELA FILTER? (A) Pacotes da Internet com destino ao Firewall (B) Pacotes da rede interna que iro passar pelo firewall (C) Pacotes com destino final ao firewall (D) Pacotes gerados pelo firewall PRECISO LIBERAR UM ACESSO DE FTP DA MINHA REDE INTERNA PARA A INTERNET, QUAL CHAIN DA TABELA FILTER DEVE SER UTILIZADA? (A) OUTPUT (B) INPUT (C) FORWARD (D) POSTROUTING PRECISO LIBERAR UM ACESSO DE FTP DA MINHA REDE INTERNA PARA A INTERNET, QUAL CHAIN DA TABELA FILTER DEVE SER UTILIZADA? (A) OUTPUT (B) INPUT (C) FORWARD (D) POSTROUTING EXERCCIO:
Pgina 64- Livro Firewall
SE LIGA NA REVISO! PRECISO LISTAR TODAS AS REGRAS EXISTENTES NA TABELA NAT. COMO FAO ISSO? (A) iptables L (B) iptables list (C) iptables show (D) iptables t nat -L PRECISO LISTAR TODAS AS REGRAS EXISTENTES NA TABELA NAT. COMO FAO ISSO? (A) iptables L (B) iptables list (C) iptables show (D) iptables t nat -L PRECISO LIBERAR QUALQUER CONEXO QUE VIER DO IP 192.168.1.10 PARA A INTERNET, QUAL REGRA CORRETA? (A) iptables A INPUT s 192.168.1.10 j ACCEPT (B) iptables A OUTPUT s 192.168.1.10 j ACCEPT (C) iptables A FORWARD s 192.168.1.10 j ACCEPT (D) iptables A INPUT d 192.168.1.10 j DROP PRECISO LIBERAR QUALQUER CONEXO QUE VIER DO IP 192.168.1.10 PARA A INTERNET, QUAL REGRA CORRETA? (A) iptables A INPUT s 192.168.1.10 j ACCEPT (B) iptables A OUTPUT s 192.168.1.10 j ACCEPT (C) iptables A FORWARD s 192.168.1.10 j ACCEPT (D) iptables A INPUT d 192.168.1.10 j DROP PRTICA: CRIAO DE REGRAS Tpicos: SCRIPT DE FIREWALL PADRO COMPARTILHAMENTO DE INTERNET PROVA PRTICA: MONTAGEM DE UM FIREWALL CRIAO DO SCRIPT DE FIREWALL PADRO: Tpicos: TRABALHO DE FIREWALL CORREO COMPARTILHAMENTO DE INTERNET