Curso de Tecnologia

da informao:

Mdulo: Firewall.
Prof: Harumi Tacao
 AULA 14 e 15:
Finalizao Prtica de Laboratrio.
Iptables Tabelas, Cadeias e Regras.
OBJETIVO:

Objetivo: Explanar os conceitos de

firewall utilizados no ambiente linux,
seu funcionamento e tabelas
utilizadas no iptables.
FIREWALL:

FUNO: FILTRAR OS PACOTES DE REDE.

QUE ENTRAM E SAEM DA REDE INTERNA.
 Aplicaes:
Construir firewalls de Internet baseados na
filtragem de pacotes
Compartilhamento de Internet
Implementao de Proxy Transparente
Manipulao de Pacotes
Monitorar o volume de trfego de rede
Encaminhamento de Portas
Balanceamento de carga de rede.
Iptables:
Responsvel pelo gerenciamento
das chains no netfilter atravs do
comando iptables.
 ESTRUTURA DO IPTABLES:
TABELAS
CHAIN (CADEIAS) Conj. Regras de
Processamento
REGRAS
MATCHES (CORRESPONDENCIAS) Usadas para
determinar quais pacotes cada regra ser aplicada.
TARGETS (OBJETIVOS) Determinam o que ser
feito com os pacotes que correspondem as regras.
 Tabelas:
Filter Manipulao dos pacotes de
rede no geral
NAT Utilizada para alterar pacotes
que criam uma nova conexo e para
redirecionar conexes
Mangle Utilizada para tipos
especficos de modificao de pacotes.
Ex- modificao de opes do cabealho
IP de um pacote.
Raw Marca pacotes que no devem
ser manipulados pelo sistema de
rastreamento de conexes.
TABELA FILTER:
Analisa os pacotes que se originam, destinam ou passam pelo
firewall. Ela trata as seguintes situaes:

FILTER: Todo pacote com destino final ao servidor de firewall.

Exemplo: Preciso conectar na porta 80 no meu servidor de firewall

FORWARD: Todo pacote que chega ao servidor mas deve ser

encaminhado para outro servidor.
Exemplo: Estao de trabalho precisa acessar um outro servidor.

OUTPUT: Todo pacote que enviado pelo servidor.

Exemplo: Meu servidor solicitou uma consulta de DNS para um host
de internet.
 TABELA NAT:
Realiza roteamento de pacotes. responsvel por alterar os
endereos de origem ou de destino de pacotes, para que eles possam
se comunicar com outras redes e hosts na internet.
Situaes:

PREROUTING : Quando os pacotes esto entrando pelo kernel

antes de sofrer roteamento.
Exemplo: Acessar o servidor de e-mail da minha empresa, posso
criar um rede de PREROUTING redirecionando as conexes que vierem
da internet com destino ao meu servidor de Firewall para o meu
servidor de E-mail.

OUTPUT: Todo o pacote que enviado pelo servidor.

POSTROUTING: Quando os pacotes esto saindo pelo kernel

aps o tratamento do roteamento.
Exemplo: Contratei um link de internet para a empresa com ip
valido e quero que todos a minha rede interna seja roteado com esse
ip quando for acessar a internet.
TABELA MANGLE:
Aes:
ACCEPT--> Aceitar. Permite a passagem do
pacote.
DROP--> Abandonar. No permite a passagem
do pacote, descartando-o. No avisa a origem
sobre o ocorrido.
REJECT--> Igual ao DROP, mas avisa a origem
sobre o ocorrido (envia pacote
icmpunreachable).
LOG --> Cria um log referente regra, em
/var/log/messages. Usar antes de outras
aes.
ESTRUTURA DAS REGRAS:
iptables [-t tabela]
[opo] [chain]
[parmetros] -j [ao]
Exemplo:
#iptables -A FORWARD -d 192.168.1.1 -j
DROP
No caso:
tabela: filter ( a default)
opo: -A
chain: FORWARD
Alguns Exemplos:
Opes:
-P = define uma regra padro;
-A = acrescenta uma nova regra s existentes;
-D = apaga uma regra;
-L = lista as regras existentes;
-F = apaga todas as regras;
-I = insere uma nova regra;
-h = mostra a ajuda;
-R = substitui uma regra;
-Z = zera uma regra especifica;
-X = exclui uma regra especfica pelo seu nome.
SE LIGA
NA
REVISO!
QUAIS OS TIPOS DE
FIREWALL EXISTENTES?
(A)Filtragem de Pacotes
(B)Filtragem de Servio
(C)Filtragem de Programas
(D)Firewall de Aplicao
QUAIS OS TIPOS DE
FIREWALL EXISTENTES?
(A)Filtragem de Pacotes
(B)Filtragem de Servio
(C)Filtragem de Programas
(D)Firewall de Aplicao
QUAL O MDULO DO KERNEL QUE
RESPONSVEL POR TRATAR OS
PACOTES:
(A) netfiltragem
(B) netfilter
(C) filternet
(D) filtragemnet
QUAL O MDULO DO KERNEL QUE
RESPONSVEL POR TRATAR OS
PACOTES:
(A)netfiltragem
(B)netfilter
(C)filternet
(D)filtragemnet
O QUE PASSA PELA CHAIN
OUTPUT DA TABELA FILTER?
(A) Pacotes da Internet com destino
ao Firewall
(B) Pacotes da rede interna que iro
passar pelo firewall
(C) Pacotes com destino final ao
firewall
(D) Pacotes gerados pelo firewall
O QUE PASSA PELA CHAIN
OUTPUT DA TABELA FILTER?
(A) Pacotes da Internet com destino
ao Firewall
(B) Pacotes da rede interna que iro
passar pelo firewall
(C) Pacotes com destino final ao
firewall
(D) Pacotes gerados pelo firewall
PRECISO LIBERAR UM ACESSO DE
FTP DA MINHA REDE INTERNA
PARA A INTERNET, QUAL CHAIN
DA TABELA FILTER DEVE SER
UTILIZADA?
(A) OUTPUT
(B) INPUT
(C) FORWARD
(D) POSTROUTING
PRECISO LIBERAR UM ACESSO DE
FTP DA MINHA REDE INTERNA
PARA A INTERNET, QUAL CHAIN
DA TABELA FILTER DEVE SER
UTILIZADA?
(A) OUTPUT
(B) INPUT
(C) FORWARD
(D) POSTROUTING
EXERCCIO:

Pgina 64- Livro Firewall

SE LIGA
NA
REVISO!
PRECISO LISTAR TODAS AS
REGRAS EXISTENTES NA
TABELA NAT. COMO FAO
ISSO?
(A) iptables L
(B) iptables list
(C) iptables show
(D) iptables t nat -L
PRECISO LISTAR TODAS AS
REGRAS EXISTENTES NA
TABELA NAT. COMO FAO
ISSO?
(A) iptables L
(B) iptables list
(C) iptables show
(D) iptables t nat -L
PRECISO LIBERAR QUALQUER
CONEXO QUE VIER DO IP
192.168.1.10 PARA A INTERNET,
QUAL REGRA CORRETA?
(A) iptables A INPUT s 192.168.1.10 j
ACCEPT
(B) iptables A OUTPUT s 192.168.1.10 j
ACCEPT
(C) iptables A FORWARD s 192.168.1.10
j ACCEPT
(D) iptables A INPUT d 192.168.1.10 j
DROP
PRECISO LIBERAR QUALQUER
CONEXO QUE VIER DO IP
192.168.1.10 PARA A INTERNET,
QUAL REGRA CORRETA?
(A) iptables A INPUT s 192.168.1.10 j
ACCEPT
(B) iptables A OUTPUT s 192.168.1.10 j
ACCEPT
(C) iptables A FORWARD s 192.168.1.10
j ACCEPT
(D) iptables A INPUT d 192.168.1.10 j
DROP
PRTICA: CRIAO DE
REGRAS
Tpicos:
SCRIPT DE FIREWALL PADRO
COMPARTILHAMENTO DE INTERNET
PROVA PRTICA: MONTAGEM DE UM
FIREWALL
CRIAO DO SCRIPT DE
FIREWALL PADRO:
Tpicos:
TRABALHO DE FIREWALL
CORREO
COMPARTILHAMENTO DE INTERNET