Upload
wairisson-gomes
View
586
Download
0
Tags:
Embed Size (px)
DESCRIPTION
Slide minicurso firewall iptables. Por Wairisson Gomes.
Citation preview
Prof: Wairisson Gomes
Wairisson M. Gomes
Pós-Graduado em Redes de ComputadoresGraduado em Tecnologia em Redes de Computadores
Cisco Certified Network Associate - CCNALinux Professional Institute Certified 1 – LPIC1
Novell Certified Linux Administrator - NCLAITIL v3 – Foundation Certified
$ Whoami
Redes de computadores
• É uma coleção de dispositivos interconectados por gateways
Mini Curso Firewall Linux – Wairisson Gomes
Redes de computadores
• Componentes da comunicação
Mini Curso Firewall Linux – Wairisson Gomes
transmissor
receptor
Blá blá blá
mensagem
Lingua portuguesaprotocolo
Redes de computadores
• Componentes da comunicação
Mini Curso Firewall Linux – Wairisson Gomes
IMPORTANTE!!!!Nas redes de computadores asinformações são fragmentadas em pedaços geralmente chamados de pacotese sempre tem um endereço de ORIGEM e DESTINO
Redes de computadores
• Modelo OSI x Modelo TCP/IP
Mini Curso Firewall Linux – Wairisson Gomes
Em uma rede são os protocolos que fornecem os serviços !!!
Portas e Conexões
• Os serviços/protocolos rodam “escutando” em suas portas específicas
Mini Curso Firewall Linux – Wairisson Gomes
SOCKET:44334 Solicitação http para 200.0.0.1
SOCKET:80resposta http para 134.88.2.1
134.88.2.1200.0.0.1
Portas e protocolos
• Um firewall pode atuar controlando o fluxo com base nas portas para identificação dos protocolos e aplicações
Lista de protocolos/portas
Mini Curso Firewall Linux – Wairisson Gomes
Pacote IP
• Conteúdo
Mini Curso Firewall Linux – Wairisson Gomes
Segmento TCP
• Conteúdo
Mini Curso Firewall Linux – Wairisson Gomes
As informações mais relevantes neste momento são:
• Porta de origem
• Porta de destino• Flags de estado
Segmento UDP
• Conteúdo
Mini Curso Firewall Linux – Wairisson Gomes
As informações mais relevantes neste momento são:
• Porta de origem
• Porta de destino• Flags de estado
Estados da conexão
Mini Curso Firewall Linux – Wairisson Gomes
Endereçamento de rede
Mini Curso Firewall Linux – Wairisson Gomes
Roteamento IP
Mini Curso Firewall Linux – Wairisson Gomes
Endereçamento de rede
Mini Curso Firewall Linux – Wairisson Gomes
Classe Faixa 1º Oct Numero de rede válidas Números total para esta
classe
Número de hosts por rede
A 1 - 126 1.0.0.0 - 126.0.0.0 27 – 2 = 126 224 – 2 = 16.777,214
B 128 - 191 128.0.0.0 – 191.0.0.0 214 = 16.384 216 - 2 = 65.534
C 192 - 223 192.168.0.0 –223.255.255.0
221 = 2.097,152 28 - 2 = 254
• O endereço IP sempre vem acompanhado da máscara de sub rede.
Mini Curso Firewall Linux – Wairisson Gomes
Endereçamento de rede
Classe Parte da rede Parte do host Mk Padrão
A 8 24 255.0.0.0
B 16 16 255.255.0.0
C 24 8 255.255.255.0
• O endereço IP sempre vem acompanhado da máscara de sub rede.
Mini Curso Firewall Linux – Wairisson Gomes
Endereçamento de rede
IP 21 73 42 2
MK 255 0 0 0
IP 130 92 34 45
MK 255 255 0 0
IP 200 4 8 9
MK 255 255 255 0
Os endereços privados nunca serão atribuídos pela ICANN a nenhuma entidade
Os roteadores da internet são configurados para descartar
Os endereços definidos pela RFC 1918
Mini Curso Firewall Linux – Wairisson Gomes
Endereçamento de rede
Rede IP privadas Classes de redes
Número de redes
10.0.0.0 A 1
172.16.0.0 – 172.31.0.0 B 16
192.168.0.0 – 192.168.255.0 C 256
Mini Curso Firewall Linux – Wairisson Gomes
cenário
É um componente ou um conjunto de componentes que restrigem o acesso entre uma rede protegida e a Internet, ou entre redes protegidas e à Internet como um todo.
Mini Curso Firewall Linux – Wairisson Gomes
Firewall
Firewall pessoal
Firewall de perímetro
Tabelas
Cadeias
Mini Curso Firewall Linux – Wairisson Gomes
Estrutura do Iptables
Mini Curso Firewall Linux – Wairisson Gomes
Mini Curso Firewall Linux – Wairisson Gomes
Sintaxe do Iptables
iptables -t [tabela] <ordem> <chain> [condições] -j <ação>
• TabelasFilter - Regras relacionadas a um firewall filtro de pacotes
Nat - Regras relacionadas a um firewall filtro NAT
Mangle – Implementa alterações em níveis mais complexo
Mini Curso Firewall Linux – Wairisson Gomes
Sintaxe do Iptables
iptables -t [tabela] <comando> <chain> [condições] -j <ação>
• Comando- A : adiciona regras a uma ao final de uma cadeia- I : insere regras no inicio de uma cadeia-D : deleta regras de uma cadeia- F : remove todas as regras de uma cadeia- R : Substitui uma regra- N : cria nova cadeia- X : deleta cadeia- E : renomeia uma cadeia
Mini Curso Firewall Linux – Wairisson Gomes
Sintaxe do Iptables
iptables -t [tabela] <ordem> <chain> [condições] -j <ação>
• CadeiasFilter : INPUT, OUTPUT e FORWARD
Nat: PREROUTING, OUTPUT e POSTROUTING
Mangle : INPUT, OUTPUT, FORWARD, PREROUTING, e POSTROUTING
Mini Curso Firewall Linux – Wairisson Gomes
Sintaxe do Iptables
iptables -t [tabela] <ordem> <chain> [condições] -j <ação>
• Condições-p : especifica o protocolo (ex: -p icmp)-i : especifica uma interface de entrada (ex: -i eth0)-o : especifica uma interface de saida (ex: -o eth0)-s : especifica um endereço/rede de origem (ex: -s 10.0.0.1 ou
10.0.0.0/8)-d : especifica um endereço/rede de destino (ex: -d 10.0.0.1 ou
10.0.0.0/8)! : especifica uma exclusão (ex: -d ! 10.0.0.1 ou ! 10.0.0.0/8)
Mini Curso Firewall Linux – Wairisson Gomes
Sintaxe do Iptables
iptables -t [tabela] <ordem> <chain> [condições] -j <ação>
• Condições-j : especifica um alvo (ex: -j ACCEPT)-sport : especifica porta de origem (ex: -p tcp --sport 80)-dport : especifica porta de destino (ex: -p udp --dport 53)
Mini Curso Firewall Linux – Wairisson Gomes
Sintaxe do Iptables
iptables -t [tabela] <ordem> <chain> [condições] -j <ação>
• AçãoACCEPT : aceita ou permite a passagem de um pacoteDROP : descarta um pacote ou impede sua passagemREJECT : descarta/impede a passagem de um pacote retornando
uma mensagem LOG: registra a passagem do pacote em /var/log/messagesSNAT: altera o endereço de origem do pacoteDNAT: altera o endereço de destino do pacoteREDIRECT: faz o redirecionamento de portas
Mini Curso Firewall Linux – Wairisson Gomes
Hand´s On - Tabela filter
1º CENÁRIO
Mini Curso Firewall Linux – Wairisson Gomes
Hand´s On - Tabela filter
Tarefas:1 - No FIREWALL Habilitar o encaminhamento2 - No XP efetuar um ping para
fw.minicurso.com.br3 - No XP Acessar http://fw.minicurso.com.br4 - No XP Usando o putty acessar remotamente
fw.minicurso.com.br
Mini Curso Firewall Linux – Wairisson Gomes
Hand´s On - Tabela filter
Tarefas:5 - No FIREWALL definir as políticas padrão em
DROP5.1 – iptables –P INPUT DROP5.2 – iptables –P FORWARD DROP5.3 – iptables –P OUTPUT DROP
6 - repetir os testes dos itens 1 a 47 - No FIREWALL tentar pingar para 200.100.10.2,
192.168.0.2 e 127.0.0.1
Mini Curso Firewall Linux – Wairisson Gomes
Hand´s On - Tabela filter
Tarefas:8 - Liberar as conexões a seguir na chain INPUT
8.1 – tudo origem loopbackiptables -t filter –A INPUT –i lo –j ACCEPT8.2 – todas as conexões originadas do próprio
firewalliptables -P OUTPUT ACCEPT8.3 Libera recepção da resposta de ping originados
pelo firewalliptables -t filter -A INPUT -p icmp -m state --state
ESTABLISHED,RELATED -j ACCEPT
9 - repetir os testes do item 7
Mini Curso Firewall Linux – Wairisson Gomes
Hand´s On - Tabela filter
Tarefas:10 - Liberar as conexões a seguir na chain INPUT
10.1 – protocolo ICMP a partir da LANiptables -t filter -A INPUT -s 192.168.0.0/24 -p
icmp -j ACCEPT10.2 – portas 22 e 80 do FIREWALL para a rede
localiptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp
-m multiport --dport 22,80 -j ACCEPT
Mini Curso Firewall Linux – Wairisson Gomes
Hand´s On - Tabela filter
Tarefas:10 - Liberar as conexões a seguir na chain INPUT
10.3 – apenas a porta 80 do FIREWALL para a interface conectada à internet
iptables -t filter -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
10.4 – acesso ssh para o ip 200.100.10.2iptables -t filter -A INPUT -s 200.100.10.2 -p tcp --
dport 22 -j ACCEPT
Mini Curso Firewall Linux – Wairisson Gomes
Hand´s On - Tabela filter
2º CENÁRIO
Mini Curso Firewall Linux – Wairisson Gomes
Hand´s On - Tabela filter
Tarefas:11 – Habilitar o NAT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
12 - Liberar o ping a partir da rede local para internet# ida lan > internetiptables -t filter -A FORWARD -p icmp -s
192.168.0.0/24 -j ACCEPT# volta internet > laniptables -t filter -A FORWARD -p icmp -m state --
state ESTABLISHED,RELATED -j ACCEPT
Mini Curso Firewall Linux – Wairisson Gomes
Hand´s On - Tabela filter
Tarefas:12 - Liberar as conexões LAN > INTERNET nas portas 80, 443, 22 e 53
# ida lan > internetiptables -t filter -A FORWARD -p tcp -m multiport
--dport 80,443,22,53 -j ACCEPTiptables -t filter -A FORWARD -p udp --dport 53 -j
ACCEPT# volta internet > laniptables -t filter -A FORWARD -p tcp -m multiport
--sport 80,443,22,53 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT
Mini Curso Firewall Linux – Wairisson Gomes
Hand´s On - Tabela filter
Tarefas:13 - Liberar as conexões LAN > INTERNET nas portas 20, 21, 4000 e 4001
# ida lan > internetiptables -A FORWARD -s 192.168.0.0/24 -p tcp -m
multiport --dports 20,21,4000,40001 -j ACCEPT
# volta internet > laniptables -A FORWARD -p tcp -m multiport --sports
20,21,4000,40001 -m state --state RELATED,ESTABLISHED -j ACCEPT
Mini Curso Firewall Linux – Wairisson Gomes
Hand´s On - Tabela nat
2º CENÁRIO
request 192.168.0.2:3389
reply 200.100.10.1:3389reply 192.168.0.2:3389
Request 200.100.10.1:3389
Mini Curso Firewall Linux – Wairisson Gomes
Hand´s On - Tabela nat
Tarefas:14 - O redirecionamento de portas é útil para publicar servidores na web que estão dentro da LAN
# redireciona pacotes com destino a porta 3389iptables -t nat -A PREROUTING -i eth0 -p tcp --dport
3389 -j DNAT --to 192.168.0.2:3389
# libera conexões com destino a 192.168.0.2iptables -t filter -A FORWARD -d 192.168.0.2 -p tcp --
dport 3389 -j ACCEPT# libera a resposta de 192.168.0.2iptables -t filter -A FORWARD -s 192.168.0.2 -p tcp --
sport 3389 -j ACCEPT
Mini Curso Firewall Linux – Wairisson Gomes
Salvando, Limpando e restaurando as regras
# salvandoiptables-save > firewall.save
# visualizandocat firewall.save
# limpando todas as tabelasiptables -t filter -Fiptables -t nat -Fiptables -t magle –F
# restaurandoiptables-restore < firewall.save
Mini Curso Firewall Linux – Wairisson Gomes
Ativando no boot
# adicionar a linha abaixo no arquivo /etc/network/interfaces
pre-up iptables-restore < /home/aluno/firewall.save
Mini Curso Firewall Linux – Wairisson Gomes
Referências
FILHO, Mota. Eriberto. Firewall com iptables. Disponível em: <http://eriberto.pro.br/iptables/3.html> acesso em: 23 set 12
NETO, Urubatan. Dominando Linux Firewall Iptables. 2004, Ciencia Moderna.
MENDES, Wagner. Firewall no Linux – Curso On line. Disponível em: < http://www.devmedia.com.br/curso/firewall-no-linux/121 > acesso em: 23 set 12