» Menu

» Últimos artigos

LMDE Xfce - Instalação, configuração e extras Linux com Java 1.7 + JBoss 7 VPN PPTP - Instalação entre estações Windows, Dispositivos com Android e CentOS 5.x Server Introdução a CGI com a RFC 3875 CrunchBang Backported - Instalação e Configuração Ubuntu 12.04 - Integração com Active Directory do Windows 2008

» Últimas dicas

Criando e instalando DEB do XAMPP Redimensionando imagens com Nautilus-Image-Manipulator Qual distribuição Linux o iniciante deve usar? Considerações de um ex-usuário Windows Ubuntu 12.04 LTS - Instalando o Hamachi Ubuntu 12.04 LTS - Instalando o Remastersys FFmpeg - Como inserir Logo em vídeo Manipulando BigDecimal Ubuntu - Configurar volume pelo Terminal

» Segurança Linux

[Dica] Pacote Oficial Linux LPI [Dica] Ghost Phisher - suite para ataques de phishing usando Fake DNS, DHCP e BLA, BLA, BLA...! ! ! [Artigo] samhain - verificador de integridade de filesystem [Notícia] pfSense 2 Cookbook [Dica] T50 Experimental Packet Injector Tool [Artigo] Honeypot: Aprendendo com o intruso [Notícia] Até 50% de desconto para as últimas vagas do treinamento Investigação Forense Digital da 4Linux.

» Últimos scripts

[Shell-Script] traduz_man - traduzir man pages [C/C++] Substituidor de letras [Python] Conexão de Roteadores CISCO [Shell-Script] Escrever números, datas, horas e outros por extenso [Shell-Script] Script simples de Backup para os diretórios listados abaixo do /

Intranet Open Source

Treinamento Zope Plone

[Como anunciar]

» Destaques

CloudConf LatAm 2012 (1) 04-06/06/2012 - Chamada para o IX Evidosol/VI Ciltec-online (0)

» Screenshot

Por marun

» Login

» Top 10 usuários

6478364: Fábio Berbert de Paula 5648873: Alessandro de Oliveira Faria (A.K.A. CABELO) 2669226: Elgio Schlemer 2660818: Davidson Rodrigues Paulo 2557836: Xerxes Lins 2380233: Jefferson Estanislau da Silva 2309987: Percival F. Jr. 2228300: Cicero Juliao da Silva Junior 2116440: André L. (pinduvoz) 2088598: Edinaldo P. Silva

» Perguntas

Quem será o CAMPEÃO da LIBERTADORES ? fácil kkk não será o timão. (37) Quebrando redes wep e wpa (11) phpMyAdmin e RADIUS (9) hardlink ou simbolico (2) Instalei sem querer o linux (Sabayon) no hd externo de meus dados!!! (0) NO-IP+ROTEADO... (1) executável (application/... (4) NAT não funciona (14)

» .Conf

[Squid] squid.conf - Simples configuração do squid [backup-manager] backup-manager.conf - Configuração de backup simples com backup-mana... [Asterisk] asterisk.conf - Arquivo Configuração asterisk [iptables] firewall.sh - firewall.sh [mutt] muttrc - arquivo de configuração para o Mutt

Artigo

Desvendando as regras de Firewall Linux Iptables

amsouza
12/04/2010

Este artigo tem como objetivo de mostrar o funcionamento do firewall mais utilizado e famoso do mundo Linux. Iremos descrever o funcionamento das chains, o encaminhamento dos pacotes e descrever como acontece o mascaramento do endereço IP (Nat), tanto de entrada (chega a um IP válido e vai para um IP interno), quanto de saída (de um endereço interno para um endereço válido).

Por: Armando Martins de Souza

[ Hits: 40339 ]

Conceito: 10.0 2 voto(s)

+ quero dar nota ao artigo

Denuncie + Favoritos

Versão para impressora

Indicar para um amigo

Enviar artigo

Iptables / firewall / tabelas básicas

Iptables

O funcionamento do firewall é basicamente o seguinte:

1. Os pacotes que chegam ao firewall são filtrados através das regras que foram definidas.

2. Roteamento interno (dentro do kernel). Com base no destino do pacote, ele é encaminhado para o "filtro" (chain) apropriado ao roteamento. Explicaremos mais adiante cada um dos filtros "básicos" do iptables.

Firewall

Antes de iniciarmos o detalhamento das chains, iremos mostrar a relação entre firewall e kernel Linux.

Ifwadm --> kernel 2.0
Ipchains --> Kernel 2.2
Iptables --> A partir do kernel 2.4

É importante deixar claro que neste tutorial trabalharemos apenas com o firewall iptables.

As tabelas básicas

Filter

É composta de 3 chains: INPUT, OUTPUT e FORWARD. É a tabela default, isto significa que quando não referenciamos nenhuma chain no comando iptables, a chain filter é chamada. É importante deixar claro que essa chain trata do tráfego normal de dados, isto significa que não há nenhum tipo de mascaramento (NAT) nela.

Nat

É quando temos que mascarar algum endereço IP ou rede. O Nat acontece tanto da rede externa (Internet), para a rede interna (Lan), quanto da Lan para Internet. A tabela "Nat" é composta pelas chains: PREROUTING, OUTPUT e POSTROUTING.

Mangle

Basicamente utilizada para fazer QoS. Não trataremos desse assunto neste tutorial.

A seguir ilustramos as tabelas com suas respectivas chains.

Temos abaixo uma representação visual do posicionamento das chains em relação a passagem dos pacotes de dados da tabela "FILTER".

Agora vamos explicar o funcionamento de cada uma das chains descritas acima:

INPUT (Pacotes de Entrada) --> Os pacotes são encaminhados para esta chain quando a origem não é o firewall, mas o destino é o firewall.
FORWARD (Pacotes de Passagem) --> No caso da FORWARD os encaminhamentos são feitos quando a origem não é o firewall e o destino também não é o firewall. Isto é, o pacote de dados esta apenas passando pelo firewall.
OUTPUT (Pacotes de Saída) --> Chain responsável pelos pacotes que tem origem no firewall e destino não firewall.

A tabela filter só pode tratar do que passa ou não passa.

Próxima página >>

Páginas do artigo

   1. Iptables / firewall / tabelas básicas
   2. Políticas de acesso / DROP e REJECT
   3. Sintaxe iptables e suas opções
   4. NAT - Network Address Translation
   5. Script básico de firewall

Outros artigos deste autor

Como gerenciar usuários e grupos

Como gerenciar permissões no Linux

Leitura recomendada

NoCatAuth - Construindo um firewall/gateway autenticado

Utilizando a ferramenta Iptstate

Iptables detalhado

Firewall iptables em cinco minutos e compartilhamento de conexão

Dominando o iptables (parte 1)

Comentários

[1] Comentário enviado por meinhardt_jgbr em 12/04/2010 - 11:32h:

Armando,

Muito bom e elucidativo seu artigo. Parabéns!!

Os diagramas incluídos facilitam também em muito a assimilação do conteúdo. Deve ter dado bastante trabalho a preparação dos mesmos.

Apenas uma modesta observação quanto ao uso dos parâmetros DROP e REJECT.

Ao dar preferência ao uso do parâmetro DROP em vez do REJECT, o usuário estará colocando o seu sistema em modo "Fantasma" ou seja sem dar sinais de sua existência ou presença na rede. Com isto qualquer potencial invasor não receberá indicações de que no endereço IP alvo as portas x, y, z, etc estão bloqueadas, portanto existem e pertencem a determinada máquina. O DROP que apenas descarta o sinal não mostra a presença.

Embora não seja nenhum expert no assunto, estou repassando informação sobre a configuração julgada ideal por um expert no assunto, conforme apresentado no site do mesmo (www.grc.com) no teste de vulnerabilidade online Shields-Up.

Publiquei anteriormente um artigo sobre o uso desta ferramenta confiável de teste em:

http://www.vivaolinux.com.br/artigo/Teste-a-vulnerabilidade-de-seu-PC/

Sds

[2] Comentário enviado por amsouza em 12/04/2010 - 11:46h:

meinhardt,

Muito obrigado pelo comentário! E sua colocação referente ao DROP e REJECT realmente foi muito feliz, agradeço a contribuição. Apesar de ter explicado a diferença entre os dois, acredito sinceramente que seu exemplo foi muito bem construído.

Um grande abraço,

Armando

Ps.: Gostei muito de seu artigo: Teste a vulnerabilidade de seu PC

[3] Comentário enviado por leandrobrunoo em 12/04/2010 - 13:07h:

Amigo, muito explicativo seu artigo, agora eu queria ver com voce se tem como vc me ajudar a abri as porta 9000:9090 no meu firewall.
quando eu digito no terminal, nmap localhost me aparece o seguinte,
9001/tcp closed unknown
9002/tcp closed unknown
9003/tcp closed unknown
9009/tcp closed unknown
9010/tcp closed unknown
9011/tcp closed unknown
9040/tcp closed tor-trans
9050/tcp closed tor-socks
9071/tcp closed unknown
9080/tcp closed unknown
9081/tcp closed unknown
9090/tcp closed zeus-admin

[4] Comentário enviado por amsouza em 12/04/2010 - 13:33h:

Olá Leandro,

Para abrir este range de portas você terá que trabalhar com a chain INPUT, acredito que o comando abaixo resolva seu problema:

iptables -A INPUT -p tcp --dport 9000:9090 -j ACCEPT

Ps.: Se tiver as regras abaixo em seu firewall, provavelmente não precisará mexer em mais nada. Essas regras são para liberar o acesso no caso de você ter um match em uma de suas regras. Exemplo se tenho o INPUT liberado para as portas acima, o OUTPUT vai deixar estabelecer. Em alguns casos você terá que explicitar o OUTPUT também, para isso basta digitar:

iptables -A OUTPUT -p tcp --sport 9000:9090 -j ACCEPT

# Libera conexão estabilizada
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Grande abraço e espero ter ajudado,

Armando

[5] Comentário enviado por irado em 12/04/2010 - 16:39h:

muito bom realmente o artigo, como já mencionado, é bem completo. Apenas vou colocar uma observação que não é diretamente relacionada ao artigo, mas a uma dificuldade que tive não há muito tempo atrás:

trampei numa empresa em que o admin anterior devia ser extremamente bisonho/vagabundo, que substituiu o script regular com regras por aquele absurdo de iptables-restore < firewall.txt; ora, isso elimina qualquer possibilidade de vc ter tudo bem organizado :(

então era um tal de, a cada momento em que se precisasse incluir/alterar regra, tinha que se analisar o txt ENORME, pra saber onde ia o que (rs).

vc nem imagina o trabalho que deu para restabelecer o firewall original a partir do firewall.txt. Só experimente: em um fwll cujas regras te sejam desconhecidas, complicadas (vários redirecionamentos para servidores internos, várias exceções e conexões vpn), tente recuperar as regras originais (risos)

mas isso de forma alguma deslustra seu excelente artigo. Foi pros meus guardados, obrigado :)

[6] Comentário enviado por amsouza em 12/04/2010 - 16:54h:

Olá Irado,

Concordo plenamente no que se refere ao iptables-save/iptables-retore, por isso mesmo coloquei um modelo de script para as regras. Mas como o intuito do artigo prover informações sobre a ferramenta, tive realmente que comentar sobre o iptables-save.

Muito obrigado pelo comentário.

Armando

[7] Comentário enviado por eltondhiego em 14/04/2010 - 19:50h:

Armando, Parabéns pelo artigo. Muito bem explicado.

Você poderia me explicar melhor para que serve a parte de "Liberar conexões já estabilizadas/estabelecidas."??
O que isso implica na configuração do firewall?

Valeu!!

[8] Comentário enviado por amsouza em 15/04/2010 - 11:46h:

Olá eltondhiego,
Primeiramente muito obrigado pelo comentário.

Agora vou tentar detalhar melhor as vantagens de termos as conexões estabilizadas liberadas.
Vamos analisar o trafego de pacotes da seguinte maneira. Quando liberamos uma regra de INPUT estamos liberando um endereço “IP” ou um “range de IPs”, incluindo as porta(s) necessária(s) para que algum serviço possa ser acessado. Como você esta fazendo a liberação da entrada (INPUT) do pacote em seu host (Firewall), mas lembre-se que você tem que ter em mente que esse pacote de ter liberada sua saída, isto implica em fazer a liberação na chain OUTPUT (saída dos pacotes ou retorno, no caso de acesso a um serviço). Quando falamos em liberar conexões estabilizadas, estamos evitando incluir uma regra de OUTPUT para que isso aconteça, bastando apenas inserirmos, como já demonstrado a regra abaixo:

# Libera conexões já estabilizadas.
# Para regras de INPUT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Para regras de OUTPUT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Para regras de FORWARD
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Espero ter esclarecido sua dúvida, se ainda não ficou claro, me escreva que tento melhorar minha colocação.

Grande abraço,

Armando

[9] Comentário enviado por tecnicodiegorato em 16/04/2010 - 08:20h:

Excelente Artigo, trabalho com IPtables há 3 anos, e muita coisa aprendi em artigos com essa qualidade e conteúdo, excelente trabalho parabéns.

[10] Comentário enviado por amsouza em 16/04/2010 - 08:38h:

Olá ratolastehara,

Obrigado pelo comentário e são esses tipos de comentários que me incentivam na criação de novos artigos.

Abraços,

Armando

[11] Comentário enviado por julio_hoffimann em 18/04/2010 - 17:23h:

Parabéns pelo ótimo artigo Armando, o título foi bem escolhido (desvendando...). Fixei muitos conceitos.

Abraço.

[12] Comentário enviado por amsouza em 19/04/2010 - 09:22h:

Olá Júlio,

Primeiramente obrigado pelo comentário! =) .... É muito importante saber que de alguma forma estou contribuindo para a comunidade.

Abraços,

Armando

[13] Comentário enviado por italo-jrjr em 01/05/2010 - 14:40h:

Olá Armando,

Muito bom o seu artigo. Estou entrando para o mundo Linux e aprendendo na prática sobre iptables na faculdade ( na materia de Segurança de redes). Está ajudando bastante. Você utiliza uma linguagem muito simples, ideal para que esta começando, como eu . Estou aprendendo mais com você do que na faculdade.

Um abraço,

Italo Barreto

[14] Comentário enviado por amsouza em 03/05/2010 - 09:33h:

Olá Italo,

Muito obrigado pelo comentário, acredito que daqui a mais algum tempo, as Faculdades/Univercidades deveram criar uma cadeira para a matéria, pois hoje normalmente o Linux esta incluso em uma cadeira e conseguentemente divide a carga horária com vários outros assuntos. Realmente o professor não tem como detalhar a matéria como deveria.

Abraços,

Armando

[15] Comentário enviado por grandmaster em 03/05/2010 - 17:16h:

Muito bom mesmo o artigo. Está guardado paa consultas futuras e dúvidas.

--
Renato de Castro Henriques
ITILv3 Foundation Certified
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br

[16] Comentário enviado por amsouza em 03/05/2010 - 17:24h:

Olá Renato,

Muito obrigado pelo comentário.

Abraços,

Armando

[17] Comentário enviado por debianwoman em 25/11/2010 - 12:03h:

Olá,

Continue postando seus artigos, por favor!
Você tem didática e uma excelente metodologia de ensino, eu adorei.
Preciso que continue falando sobre o firewall me ajudou muito a compreender os comandos, mas como é uma ferramenta robusta e cheia de funções continue nos ajudando com seus artigos.

PARABÉNS!!!

[18] Comentário enviado por fabioeduardo em 05/04/2012 - 00:48h:

Gostei muito do artigo!!!

Só um detalhe referente o seguinte comando:

1. Criar um link simbólico do arquivo que acabamos de criar para dentro de /etc/init.d/:

# ln -s /etc/init.d/firewall /etc/firewall/firewall.sh

O correto é:

# ln -s /etc/firewall/firewall.sh /etc/init.d/firewall

[19] Comentário enviado por armando_2000 em 05/04/2012 - 10:00h:

Olá Fábio,

Muito obrigado por seu comentário e realmente o comando esta errado, vou solicitar correção ao moderador do Viva o Linux.

abs,

Armando