Introdução ao Iptables

O netfilter é um módulo que fornece ao sistema operacional Linux as funções de firewall, NAT e log dos dados que trafegam por rede de computadores.iptables é o nome da ferramenta do espaço do usuário que permite a criação de regras de firewall e NATs.

Apesar de, tecnicamente, o iptables ser apenas uma ferramenta que controla o módulo netfilter, o nome “iptables” é frequentemente utilizado como referência ao conjunto completo de funcionalidades do netfilter. O iptables é parte de todas as distribuições modernas do Linux.

A sintaxe do iptables é:

iptables ( -t tabela ) comando chains (opção-parâmetro) destino

Tabelas:

filter -> É a tabela padrão, é utilizada quando nenhuma outra for especificada.

net -> Se usa quando se passa dados da rede interna para externa. Usa as CHAINS PREROUTING, POSTROUTING e OUTPUT.

mangle -> É usada para se fazer edições especiais empacotes. Usa as CHAINS PREROUTING e OUTPUT.

Comandos:

-P   ->   Observação de pacotes.

-A   ->   Adiciona uma regra.

-D   ->  Deleta uma regra.

-F    ->  Apaga todas as regras.

-L   ->  Exibe o estado do iptables.

-h   ->   Exibe a ajuda.

Chains:

INPUT -> Verifica pacotes entrando na rede interna.

OUTPUT -> Verifica pacotes saindo da rede interna.

FORWARD -> Verifica pacotes que atravessam a rede. Tanto de dentro pra fora quanto vice-versa.

PREROUTING -> Analisa todos os pacotes que estão entrando no firewall para sofrerem NAT. Pode realizar ações de NAT (DNAT).

POSTROUTING -> Analisa todos os pacotes que estão saindo do firewall para sofrerem NAT. Pode realizar ações de NAT (SNAT).

Opções:

-n   ->   Não resolve nomes.

-p   ->  Protocolo a ser verificado. Pode ser TCP, UDP, ICMP ou ALL.

-s   ->  Dados da origem.

-d   ->  Dados do destino.

-i   ->  Especifica a interface de entrada. Não pode ser usado com a CHAIN OUTPUT.

-o   -> Especifica a interface de saída. Não pode ser usado com a CHAIN INPUT.

–sport   ->  Porta de origem. Só funciona com as opções -p UDP e -p TCP.

–dport   ->  Porta de destino. Só funciona com as opções -p UDP-p TCP.

–syn   ->  Só se aplica em pacotes TCP com o bit SYN ligado.

-j   ->  Determina o destino de uma regra.

Destinos:

ACCEPT   ->  Permite a passagem de um pacote pelo firewall.

REJECT   ->  Não permite a passagem do pacote e se o pacote for ICMP retorna uma mensagem.

DROP   ->  Não permite a passagem do pacote e se o pacote for ICMP não retorna uma mensagem.

UtLOG   ->  Cira um LOG referente à regra.

SNAT   ->  Utiliza-se com a chain POSTROUTING para se fazer ações de mascaramento da origem.

DNAT   ->  Utiliza-se com as chains PREROUTING e OUTPUT para fazer ações de redirecionamento de portas e servidores, balanceamento de carga e proxy transparente.

–to    ->  Utiliza-se para definir o endereço IP e a porta de destino após um DNAT ou SNAT.

MASQUERADE   ->  Faz mascaramento na saída de dados. Usado somente com a interface ppp0.

REDIRECT   ->  Redireciona uma requisição para uma porta local do firewall.

–to-port   ->  Define uma porta de destino após um REDIRECT.

RETURN   ->  Executa regras até que haja uma falha em alguma delas.

Alguns exemplos de regras do iptables:

# Liberando porta 22 SSH
iptables -A INPUT -p tcp -s IPdeORIGEM –dport 22 -j ACCEPT
#Redirecionando a porta 80 para a 3128
iptables -t nat -A PREROUTING -i FACE -p tcp –dport 80 -j REDIRECT –to-port 3128
#Bloqueando uma máquina pelo endereço MAC
iptables -A INPUT -m mac –mac-source 00:00:00:00:00:00 -j DROP
#Proteção contra Scanners como o Nmap
iptables -A FORWARD -p tcp –tcp-flags SYN,ACK,FIN,RST RST -m limit –limit 1/s -j ACCEPT
#Proteção contra Ping da Morte
iptables -A FORWARD -p icmp –icmp-type echo-request -m limit –limit 1/s -j ACCEPT

Essas são apenas algumas regras de iptables, para saber mais www.netfilter.org

Abraço!

Bibliografia:

http://pt.wikipedia.org/wiki/Iptables

Linux – Guia do Administrador do Sistema.

Compartilhe:
  • Print
  • Live
  • Technorati
  • Twitter
  • Google Bookmarks
  • email
  • StumbleUpon
  • del.icio.us
  • Facebook
  • LinkedIn
  • Slashdot
  • Rec6
  • PDF
  • Orkut

Outros artigos que você pode gostar

Esta entrada foi publicada em Redes e Internet, Segurança e marcada com a tag , , , , . Adicione o link permanente aos seus favoritos.

Deixe uma resposta

O seu endereço de email não será publicado Campos obrigatórios são marcados *

*

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>