Tabela de Iptables

Assuntos relacionados com acesso à internet e à segurança de desktops com mageia.

Tabela de Iptables

Mensagempor unix007 » Seg Fev 23, 2015 12:49 am

Alguém poderia postar a tabela de Iptables?

Deixe o tópico fixo para que todos os membros possam estudar.
O seu recalque bate no IPTABLES e dropa.
Avatar do usuário
unix007
Colaborador Intermediario Mageia
Colaborador Intermediario Mageia
 
Mensagens: 118
Registrado em: Qui Jan 29, 2015 10:39 pm
Localização: Jaraguá do sul,SC

Re: Tabela de Iptables

Mensagempor unix007 » Seg Fev 23, 2015 5:39 pm

Análise de regras com a tabela filter



Opções

As principais opções são:



-P --> Policy (política). Altera a política da chain. A política inicial de cada chain é ACCEPT. Isso faz com que o filtro, inicialmente, aceite qualquer INPUT, OUTPUT ou FORWARD. A política pode ser alterada para DROP, que irá negar o serviço da chain, até que uma opção -A entre em vigor. O -P não aceita REJECT ou LOG. Exemplos:

#iptables -P FORWARD DROP

#iptables -P INPUT ACCEPT



-A --> Append (anexar). Acresce uma nova regra à chain. Tem prioridade sobre o -P. Geralmente, como buscamos segurança máxima, colocamos todas as chains em política DROP, com o -P e, depois, abrimos o que é necessário com o -A. Exemplos:

#iptables -A OUTPUT -d 172.20.5.10 -j ACCEPT

#iptables -A FORWARD -s 10.0.0.1 -j DROP

#iptables -A FORWARD -d www.chat.com.br -j DROP



-D --> Delete (apagar). Apaga uma regra. A regra deve ser escrita novamente, trocando-se a opção para -D. Exemplos:

Para apagar as regras anteriores, usa-se:

#iptables -D OUTPUT -d 172.20.5.10 -j ACCEPT

#iptables -D FORWARD -s 10.0.0.1 -j DROP

#iptables -D FORWARD -d www.chat.com.br -j DROP

Também é possível apagar a regra pelo seu número de ordem. Pode-se utilizar o -L para verificar o número de ordem. Verificado esse número, basta citar a chain e o número de ordem. Exemplo:

#iptables -D FORWARD 4

Isso deleta a regra número 4 de forward.



-L --> List (listar). Lista as regras existentes. Exemplos:

#iptables -L

#iptables -L FORWARD



-F --> Flush (esvaziar). Remove todas as regras existentes. No entanto, não altera a política (-P). Exemplos:

#iptables -F

#iptables -F FORWARD



Chains

As chains já são conhecidas:

INPUT --> Refere-se a todos os pacotes destinados à máquina filtro.

OUTPUT --> Refere-se a todos os pacotes gerados na máquina filtro.

FORWARD --> Refere-se a todos os pacotes oriundos de uma máquina e destinados a outra. São pacotes que atravessam a máquina filtro, mas não são destinados a ela.



Dados

Os elementos mais comuns para se gerar dados são os seguintes:



-s --> Source (origem). Estabelece a origem do pacote. Geralmente é uma combinação do endereço IP com a máscara de sub-rede, separados por uma barra. Exemplo:

-s 172.20.0.0/255.255.0.0

No caso, vimos a sub-rede 172.20.0.0. Para hosts, a máscara sempre será 255.255.255.255. Exemplo:

-s 172.20.5.10/255.255.255.255

Agora vimos o host 172.20.5.10. Ainda no caso de hosts, a máscara pode ser omitida. Caso isso ocorra, o iptables considera a máscara como 255.255.255.255. Exemplo:

-s 172.20.5.10

Isso corresponde ao host 172.20.5.10. Há um recurso para simplificar a utilização da máscara de sub-rede. Basta utilizar a quantidade de bits 1 existentes na máscara. Assim, a máscara 255.255.0.0 vira 16. A utilização fica assim:

-s 172.20.0.0/16

Outra possibilidade é a designação de hosts pelo nome. Exemplo:

-s www.chat.com.br

Para especificar qualquer origem, utilize a rota default, ou seja, 0.0.0.0/0.0.0.0, também admitindo 0/0.



-d --> Destination (destino). Estabelece o destino do pacote. Funciona exatamente como o -s, incluindo a sintaxe.



-p --> Protocol (protocolo). Especifica o protocolo a ser filtrado. O protocolo IP pode ser especificado pelo seu número (vide /etc/protocols) ou pelo nome. Os protocolos mais utilizados são udp, tcp e icmp. Exemplo:

-p icmp



-i --> In-Interface (interface de entrada). Especifica a interface de entrada. As interfaces existentes podem ser vistas com o comando #ifconfig. O -i não pode ser utilizado com a chain OUTPUT. Exemplo:

-i ppp0

O sinal + pode ser utilizado para simbolizar várias interfaces. Exemplo:

-i eth+

eth+ refere-se à eth0, eth1, eth2 etc.



-o --> Out-Interface (interface de saída). Especifica a interface de saída. Similar a -i, inclusive nas flexibilidades. O -o não pode ser utilizado com a chain INPUT.



! --> Exclusão. Utilizado com -s, -d, -p, -i, -o e outros, para excluir o argumento. Exemplo:

-s ! 10.0.0.1

Isso refere-se a qualquer endereço de entrada, exceto o 10.0.0.1.

-p ! tcp

Todos os protocolos, exceto o TCP.



--sport --> Source Port. Porta de origem. Só funciona com as opções -p udp e -p tcp. Exemplo:

-p tcp --sport 80

Refere-se à porta 80 sobre protocolo TCP.



--dport --> Destination Port. Porta de destino. Só funciona com as opções -p udp e -p tcp. Similar a --sport.



Ações

As principais ações são:



ACCEPT --> Aceitar. Permite a passagem do pacote.

DROP --> Abandonar. Não permite a passagem do pacote, descartando-o. Não avisa a origem sobre o ocorrido.

REJECT --> Igual ao DROP, mas avisa a origem sobre o ocorrido (envia pacote icmp unreachable).

LOG --> Cria um log referente à regra, em /var/log/messages. Usar antes de outras ações.
O seu recalque bate no IPTABLES e dropa.
Avatar do usuário
unix007
Colaborador Intermediario Mageia
Colaborador Intermediario Mageia
 
Mensagens: 118
Registrado em: Qui Jan 29, 2015 10:39 pm
Localização: Jaraguá do sul,SC

Re: Tabela de Iptables

Mensagempor unix007 » Qua Fev 25, 2015 6:35 pm

1)Qual formato eu salvo meu script de Iptables?

2)Qual diretório eu salvo meu script de Iptables?
O seu recalque bate no IPTABLES e dropa.
Avatar do usuário
unix007
Colaborador Intermediario Mageia
Colaborador Intermediario Mageia
 
Mensagens: 118
Registrado em: Qui Jan 29, 2015 10:39 pm
Localização: Jaraguá do sul,SC


Voltar para Internet e Segurança

Quem está online

Usuários navegando neste fórum: Nenhum usuário registrado e 1 visitante

cron