Slilde mini curso_iptables

Prof: Wairisson Gomes

Wairisson M. Gomes

Pós-Graduado em Redes de ComputadoresGraduado em Tecnologia em Redes de Computadores

Cisco Certified Network Associate - CCNALinux Professional Institute Certified 1 – LPIC1

Novell Certified Linux Administrator - NCLAITIL v3 – Foundation Certified

$ Whoami

Redes de computadores

• É uma coleção de dispositivos interconectados por gateways

Mini Curso Firewall Linux – Wairisson Gomes


• Componentes da comunicação


transmissor

receptor

Blá blá blá

mensagem

Lingua portuguesaprotocolo


• Componentes da comunicação


IMPORTANTE!!!!Nas redes de computadores asinformações são fragmentadas em pedaços geralmente chamados de pacotese sempre tem um endereço de ORIGEM e DESTINO


• Modelo OSI x Modelo TCP/IP


Em uma rede são os protocolos que fornecem os serviços !!!

Portas e Conexões

• Os serviços/protocolos rodam “escutando” em suas portas específicas


SOCKET:44334 Solicitação http para 200.0.0.1

SOCKET:80resposta http para 134.88.2.1

134.88.2.1200.0.0.1

Portas e protocolos

• Um firewall pode atuar controlando o fluxo com base nas portas para identificação dos protocolos e aplicações

Lista de protocolos/portas


common_ports.pdf

Pacote IP

• Conteúdo


Segmento TCP

• Conteúdo


As informações mais relevantes neste momento são:

• Porta de origem

• Porta de destino• Flags de estado

Segmento UDP

• Conteúdo


As informações mais relevantes neste momento são:

• Porta de origem

• Porta de destino• Flags de estado

Estados da conexão


Endereçamento de rede


Roteamento IP




Classe Faixa 1º Oct Numero de rede válidas Números total para esta

classe

Número de hosts por rede

A 1 - 126 1.0.0.0 - 126.0.0.0 27 – 2 = 126 224 – 2 = 16.777,214

B 128 - 191 128.0.0.0 – 191.0.0.0 214 = 16.384 216 - 2 = 65.534

C 192 - 223 192.168.0.0 –223.255.255.0

221 = 2.097,152 28 - 2 = 254

• O endereço IP sempre vem acompanhado da máscara de sub rede.



Classe Parte da rede Parte do host Mk Padrão

A 8 24 255.0.0.0

B 16 16 255.255.0.0

C 24 8 255.255.255.0

• O endereço IP sempre vem acompanhado da máscara de sub rede.



IP 21 73 42 2

MK 255 0 0 0

IP 130 92 34 45

MK 255 255 0 0

IP 200 4 8 9

MK 255 255 255 0

Os endereços privados nunca serão atribuídos pela ICANN a nenhuma entidade

Os roteadores da internet são configurados para descartar

Os endereços definidos pela RFC 1918



Rede IP privadas Classes de redes

Número de redes

10.0.0.0 A 1

172.16.0.0 – 172.31.0.0 B 16

192.168.0.0 – 192.168.255.0 C 256


cenário

É um componente ou um conjunto de componentes que restrigem o acesso entre uma rede protegida e a Internet, ou entre redes protegidas e à Internet como um todo.


Firewall

Firewall pessoal

Firewall de perímetro

Tabelas

Cadeias


Estrutura do Iptables



Sintaxe do Iptables

iptables -t [tabela] <ordem> <chain> [condições] -j <ação>

• TabelasFilter - Regras relacionadas a um firewall filtro de pacotes

Nat - Regras relacionadas a um firewall filtro NAT

Mangle – Implementa alterações em níveis mais complexo


Sintaxe do Iptables

iptables -t [tabela] <comando> <chain> [condições] -j <ação>

• Comando- A : adiciona regras a uma ao final de uma cadeia- I : insere regras no inicio de uma cadeia-D : deleta regras de uma cadeia- F : remove todas as regras de uma cadeia- R : Substitui uma regra- N : cria nova cadeia- X : deleta cadeia- E : renomeia uma cadeia


Sintaxe do Iptables


• CadeiasFilter : INPUT, OUTPUT e FORWARD

Nat: PREROUTING, OUTPUT e POSTROUTING

Mangle : INPUT, OUTPUT, FORWARD, PREROUTING, e POSTROUTING


Sintaxe do Iptables


• Condições-p : especifica o protocolo (ex: -p icmp)-i : especifica uma interface de entrada (ex: -i eth0)-o : especifica uma interface de saida (ex: -o eth0)-s : especifica um endereço/rede de origem (ex: -s 10.0.0.1 ou

10.0.0.0/8)-d : especifica um endereço/rede de destino (ex: -d 10.0.0.1 ou

10.0.0.0/8)! : especifica uma exclusão (ex: -d ! 10.0.0.1 ou ! 10.0.0.0/8)


Sintaxe do Iptables


• Condições-j : especifica um alvo (ex: -j ACCEPT)-sport : especifica porta de origem (ex: -p tcp --sport 80)-dport : especifica porta de destino (ex: -p udp --dport 53)


Sintaxe do Iptables


• AçãoACCEPT : aceita ou permite a passagem de um pacoteDROP : descarta um pacote ou impede sua passagemREJECT : descarta/impede a passagem de um pacote retornando

uma mensagem LOG: registra a passagem do pacote em /var/log/messagesSNAT: altera o endereço de origem do pacoteDNAT: altera o endereço de destino do pacoteREDIRECT: faz o redirecionamento de portas


Hand´s On - Tabela filter

1º CENÁRIO



Tarefas:1 - No FIREWALL Habilitar o encaminhamento2 - No XP efetuar um ping para

fw.minicurso.com.br3 - No XP Acessar http://fw.minicurso.com.br4 - No XP Usando o putty acessar remotamente

fw.minicurso.com.br

http://fw.minicurso.com.br/



Tarefas:5 - No FIREWALL definir as políticas padrão em

DROP5.1 – iptables –P INPUT DROP5.2 – iptables –P FORWARD DROP5.3 – iptables –P OUTPUT DROP

6 - repetir os testes dos itens 1 a 47 - No FIREWALL tentar pingar para 200.100.10.2,

192.168.0.2 e 127.0.0.1



Tarefas:8 - Liberar as conexões a seguir na chain INPUT

8.1 – tudo origem loopbackiptables -t filter –A INPUT –i lo –j ACCEPT8.2 – todas as conexões originadas do próprio

firewalliptables -P OUTPUT ACCEPT8.3 Libera recepção da resposta de ping originados

pelo firewalliptables -t filter -A INPUT -p icmp -m state --state

ESTABLISHED,RELATED -j ACCEPT

9 - repetir os testes do item 7




10.1 – protocolo ICMP a partir da LANiptables -t filter -A INPUT -s 192.168.0.0/24 -p

icmp -j ACCEPT10.2 – portas 22 e 80 do FIREWALL para a rede

localiptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp

-m multiport --dport 22,80 -j ACCEPT




10.3 – apenas a porta 80 do FIREWALL para a interface conectada à internet

iptables -t filter -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT

10.4 – acesso ssh para o ip 200.100.10.2iptables -t filter -A INPUT -s 200.100.10.2 -p tcp --

dport 22 -j ACCEPT



2º CENÁRIO



Tarefas:11 – Habilitar o NAT

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

12 - Liberar o ping a partir da rede local para internet# ida lan > internetiptables -t filter -A FORWARD -p icmp -s

192.168.0.0/24 -j ACCEPT# volta internet > laniptables -t filter -A FORWARD -p icmp -m state --

state ESTABLISHED,RELATED -j ACCEPT



Tarefas:12 - Liberar as conexões LAN > INTERNET nas portas 80, 443, 22 e 53

# ida lan > internetiptables -t filter -A FORWARD -p tcp -m multiport

--dport 80,443,22,53 -j ACCEPTiptables -t filter -A FORWARD -p udp --dport 53 -j

ACCEPT# volta internet > laniptables -t filter -A FORWARD -p tcp -m multiport

--sport 80,443,22,53 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT



Tarefas:13 - Liberar as conexões LAN > INTERNET nas portas 20, 21, 4000 e 4001

# ida lan > internetiptables -A FORWARD -s 192.168.0.0/24 -p tcp -m

multiport --dports 20,21,4000,40001 -j ACCEPT

# volta internet > laniptables -A FORWARD -p tcp -m multiport --sports

20,21,4000,40001 -m state --state RELATED,ESTABLISHED -j ACCEPT


Hand´s On - Tabela nat

2º CENÁRIO

request 192.168.0.2:3389

reply 200.100.10.1:3389reply 192.168.0.2:3389

Request 200.100.10.1:3389


Hand´s On - Tabela nat

Tarefas:14 - O redirecionamento de portas é útil para publicar servidores na web que estão dentro da LAN

# redireciona pacotes com destino a porta 3389iptables -t nat -A PREROUTING -i eth0 -p tcp --dport

3389 -j DNAT --to 192.168.0.2:3389

# libera conexões com destino a 192.168.0.2iptables -t filter -A FORWARD -d 192.168.0.2 -p tcp --

dport 3389 -j ACCEPT# libera a resposta de 192.168.0.2iptables -t filter -A FORWARD -s 192.168.0.2 -p tcp --

sport 3389 -j ACCEPT


Salvando, Limpando e restaurando as regras

# salvandoiptables-save > firewall.save

# visualizandocat firewall.save

# limpando todas as tabelasiptables -t filter -Fiptables -t nat -Fiptables -t magle –F

# restaurandoiptables-restore < firewall.save


Ativando no boot

# adicionar a linha abaixo no arquivo /etc/network/interfaces

pre-up iptables-restore < /home/aluno/firewall.save


Referências

FILHO, Mota. Eriberto. Firewall com iptables. Disponível em: <http://eriberto.pro.br/iptables/3.html> acesso em: 23 set 12

NETO, Urubatan. Dominando Linux Firewall Iptables. 2004, Ciencia Moderna.

MENDES, Wagner. Firewall no Linux – Curso On line. Disponível em: < http://www.devmedia.com.br/curso/firewall-no-linux/121 > acesso em: 23 set 12

Technology

Slilde mini curso_iptables