Tutorial básico de iptables


O iptables é uma interface de configuração do netfilter, um firewall que funciona como um filtro de pacotes em sistemas Linux. Sua principal função é proteger a rede de ataques externos.

O netflter começou a ser implementado no kernel Línux a partir da versão 2.4. Você pode encontrar a documentação completa aqui .

O iptables trabalha com a seguinte configuração:

#iptables [-t tabela] [opção] [chain] [dados] -j [ação]

A tabela default é a tabela filter e contem as seguintes opções:

INPUT – todos os pacotes que entram no computador através para internet.
OUTPUT – todos os pacotes que o computador envia pela rede.
FORWARD – pacote que são encaminhado para outros computadores da rede.

Na figura abaixo é descrito o funcionamento do filtro do iptable:

IPTables

Diagrama de funcionamento do iptables

Principais opções da tabela filter

-p –> Policy (política). É a politica do firewall, inicialmente esta configurada como ACCEPT para INPUT, OUTPUT e FOWARD, ou seja aceita qualquer pacote. Para negar o trafego de qual pacote deve usar a opções DROP.

-A –> Append (anexar). Acrescenta uma nova regra a tabela atual. A opção -A tem prioridade sobre a opção -p, por isso é normal negar todas entradas e saídas de pacotes da rede com DROP, e depois usar o -A para liberar pacotes específicos.

-L –> lista as regras atuais.

-D –> (Delete). Apaga uma regra. Pode usado apos tabela numero da linha

-F –> (Flush) – Apaga todas as regras, mas não altera a politica.

Dados:

-s –> source . Especifica a origem dos dados. pode ser um endereço IP.

-d –> (Destination) . ESpecifica o destino do pacote.

-p –> (Protocol) – Especifica o protocolo a ser filtado.

-i –> In interface – Especifica a interface de saída.

-o –> Out-Interface (interface de saída). Especifica a interface de saída. Similar a -i, inclusive nas flexibilidades. O -o não pode ser utilizado com a chain INPUT.

-! –> Exclusão. Utilizado com -s, -d, -p, -i, -o e outros, para excluir o argumento.

–sport –> Source Port. Porta de origem. Só funciona com as opções -p udp e -p tcp.

–dport –> Destination Port. Porta de destino. Só funciona com as opções -p udp e -p tcp.

Ações
As principais ações são:

ACCEPT –> Aceitar. Permite a passagem do pacote.

DROP –> Abandonar. Não permite a passagem do pacote, descartando-o. Não avisa a origem sobre o ocorrido.

REJECT –> Igual ao DROP, mas avisa a origem sobre o ocorrido (envia pacote icmp unreachable).

LOG –> Cria um log referente à regra, em /var/log/messages. Usar antes de outras ações.

Anúncios

Tags:, , , , ,

About Alexandre Prates

Sou analista de sistemas, sou aluno do Bacharelado em Ciências da Computação na UFABC. Tenho interesse em finanças e computação.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: