» Menu

» Últimos artigos

Recuperando sistema em mirror LVM 1 LMDE Xfce - Instalação, configuração e extras Linux com Java 1.7 + JBoss 7 VPN PPTP - Instalação entre estações Windows, Dispositivos com Android e CentOS 5.x Server Introdução a CGI com a RFC 3875 CrunchBang Backported - Instalação e Configuração

» Últimas dicas

ZTE V821: Android Dual Sim Forçando a montagem do sistema de arquivos e do disco rígido para corrigir problemas Criando e instalando DEB do XAMPP Redimensionando imagens com Nautilus-Image-Manipulator Qual distribuição Linux o iniciante deve usar? Considerações de um ex-usuário Windows Ubuntu 12.04 LTS - Instalando o Hamachi Ubuntu 12.04 LTS - Instalando o Remastersys FFmpeg - Como inserir Logo em vídeo

» Segurança Linux

[Dica] Pacote Oficial Linux LPI [Dica] Ghost Phisher - suite para ataques de phishing usando Fake DNS, DHCP e BLA, BLA, BLA...! ! ! [Artigo] samhain - verificador de integridade de filesystem [Notícia] pfSense 2 Cookbook [Dica] T50 Experimental Packet Injector Tool [Artigo] Honeypot: Aprendendo com o intruso [Notícia] Até 50% de desconto para as últimas vagas do treinamento Investigação Forense Digital da 4Linux.

» Últimos scripts

[Shell-Script] traduz_man - traduzir man pages [C/C++] Substituidor de letras [Python] Conexão de Roteadores CISCO [Shell-Script] Escrever números, datas, horas e outros por extenso [Shell-Script] Script simples de Backup para os diretórios listados abaixo do /

Intranet Open Source

Treinamento Zope Plone

» Destaques

28/05 - Palestra RJ: Django - um framework web para perfeccionistas co... (0) CloudConf LatAm 2012 (1) 04-06/06/2012 - Chamada para o IX Evidosol/VI Ciltec-online (0)

» Screenshot

Por maran

» Login

» Top 10 usuários

6479808: Fábio Berbert de Paula 5650376: Alessandro de Oliveira Faria (A.K.A. CABELO) 2670708: Elgio Schlemer 2661796: Davidson Rodrigues Paulo 2559105: Xerxes Lins 2380736: Jefferson Estanislau da Silva 2310418: Percival F. Jr. 2229212: Cicero Juliao da Silva Junior 2118046: André L. (pinduvoz) 2091322: Edinaldo P. Silva

» Perguntas

Quem será o CAMPEÃO da LIBERTADORES ? fácil kkk não será o timão. (43) ajuda para criar uma mini distro (0) grub rescue (24) DuckDuckGo X Google (11) Depois de upgrade, letras somem. [RESOLVIDO] (4) Sabayon - audio não sobe junto com o sistema [RESOLVIDO] (11) Conexão com mysql não funciona (2) Atualização do Mozila firefox (4)

» .Conf

[Squid] squid.conf - Simples configuração do squid [backup-manager] backup-manager.conf - Configuração de backup simples com backup-mana... [Asterisk] asterisk.conf - Arquivo Configuração asterisk [iptables] firewall.sh - firewall.sh [mutt] muttrc - arquivo de configuração para o Mutt

Artigo

Migrando do ipchains para o iptables

wberbert
24/07/2003

Atualizou kernel e agora seu ipchains não fuciona mais? Escontre aqui a solução utilizando o iptables, uma nova ferramenta para firewall e mascaramento que se encontra nas versões 2.4 do kernel e superior.
Este artigo mostra exemplos utilizando o iptables e comparando-o com a mesma funcionalidade do ipchains.

Por: Wanderson Berbert

[ Hits: 18927 ]

Conceito: 9.7 3 voto(s)

+ quero dar nota ao artigo

Denuncie + Favoritos

Versão para impressora

Indicar para um amigo

Enviar artigo

Aceitando ou negando pacotes

Para bloquear pacotes em uma porta

Se no ipchains você fazia:

# ipchains -A INPUT -i eth1 -p tcp -s 0/0 -d 200.219.228.90 25 -j DENY

no iptables você faz:

# iptables -A INPUT -i eth1 -p tcp -d 200.219.228.90 --dport 25 -j DROP

note que o INPUT é maiúsculo, o mesmo exemplo se aplica para outras portas

# iptables -A INPUT -i eth1 -p tcp -d 200.219.228.90 --dport 110 -j DROP
# iptables -A INPUT -i eth1 -p tcp -d 200.219.228.90 --dport pop3 -j DROP

Para aceitar pacotes em uma determinada porta

Se no ipchains você fazia:

# ipchains -A INPUT -i eth1 -p tcp -s 0/0 -d 200.219.228.90 25 -j ACCEPT

no iptables você faz:

# iptables -A INPUT -i eth1 -p tcp -d 200.219.228.90 --dport 25 -j ACCEPT

Bloqueando/Aceitando um intervalo de portas

Ipchains:

# ipchains -A INPUT - i eth1 -s 0/0 -d 200.219.228.90 0:1024 -p tcp -j DENY

iptables:

# iptables -A INPUT -i eth1 -p tcp -d 200.219.228.90 --dport 0:1024 -j DROP

O mesmo estilo se aplica a pacotes udp e para a regra ACCEPT.

Nota: Quando você utiliza uma regra automaticamente o Linux inclui o módulo para você, caso o mesmo não ocorra automaticamente você pode tentar incluí-los manualmente com o comando:

# modprobe ip_tables
# modprobe iptable_nat
# modprobe iptable_filter

Estes são os módulos básicos. O iptables foi desenvolvido em módulos para facilitar a adição de novas funcionalidades.

Próxima página >>

Páginas do artigo

   1. Aceitando ou negando pacotes
   2. Mascarando uma conexão
   3. Redirecionado pacotes
   4. Concluindo

Outros artigos deste autor

Mascarando conexões VPN com iptables

Celestia, simulador espacial em tempo real

Implementando auto-resposta utilizando o Exim

Configurando servidor IMAP

Identificando usuários Squid com o IDENTD

Leitura recomendada

Iptables 1.3.4 com Layer 7 e Kernel 2.6.14 no Debian 3.1

Entendendo TCP/IP (Parte 5) - Portas TCP/UDP

Servidor seguro com Bridge, Snort e Guardian

A teoria por trás do firewall

Bloqueando MSN, orkut, trojans e mais

Comentários

[1] Comentário enviado por cesarcardoso em 24/07/2003 - 22:07h:

Artigo bem interessante para quem ainda não migrou para o iptables!

[2] Comentário enviado por wberbert em 29/07/2003 - 09:25h:

obrigado.

[3] Comentário enviado por diogojp em 20/12/2003 - 14:41h:

Olá amigo como eu mudo a seguinte regra que esta em ipchains para iptables !
ipchains -A input -j DENY -i eth0

ipchains -A input -p all -s 0/0 -d 0/0 -j ACCEPT -i eth0
ipchains -A output -p all -s 0/0 -d 0/0 -j ACCEPT -i eth0

Se poder mi ajudar fico grato !

[4] Comentário enviado por wberbert em 23/12/2003 - 09:49h:

Caro diogo, as configurações para o Iptables são parecidas e ficaria assim:

iptables -A input -i eth0 -j ACCEPT
iptables -A output -i eth0 -J ACCEPT
iptables -A input -i eth0 -J drop

[5] Comentário enviado por wberbert em 23/12/2003 - 09:50h:

Caro diogo, as configurações para o Iptables são parecidas e ficaria assim:

iptables -A input -i eth0 -j ACCEPT
iptables -A output -i eth0 -J ACCEPT
iptables -A input -i eth0 -J DROP

[6] Comentário enviado por marlonvectra em 25/11/2004 - 13:06h:

E ae blz ? Cara eu gostaria d uma ajuda, eu queria saber se tem como eu liberar todos os ip's para uma porta, Eu acho q Pode ser assim mas naão tenho certeza ---> # iptables -A INPUT -i eth0 -p tcp -d 0.0.0.0 --dport 4660 -j ACCEPT <------ Porem não tenho certeza sobre esses 0.0.0.0, se vc puder me ajudar fico agradecido, Falo e obrigadado !

[7] Comentário enviado por wberbert em 25/11/2004 - 15:50h:

Está legal, mas quando não interessa o destino, não é necessário coloca-lo no comando:

iptables -A INPUT -i eth0 -p tcp -d 0.0.0.0 --dport 4660 -j ACCEPT

vc pode tirar o destination -d e o comando ficará assim:

iptables -A INPUT -i eth0 -p tcp --dport 4660 -j ACCEPT

Desta maneira deve funcionar sem problemas.

[8] Comentário enviado por marlonvectra em 29/11/2004 - 17:12h:

Obrigado pela resposta, soh vou t encomodar + uma vez.... eu peguei um guia de configuração do iptables que é http://www.mtm.ufsc.br/~krukoski/pup/linux/focalinux3/ch-fw-iptables.htm então nesse artigo eu encontrei varias pasta q não existem, queria saber se eu tenho q criar esses arquivos e pastas ou eles estão em outros lugares ? como por exemplo /var/log/kern.log e /etc/network/interfaces porem existem alguns q existem como por exemplo /proc/net/ip_tables_names então me de uma luz, rsrsrs.
Falow um abraço

[9] Comentário enviado por wberbert em 29/11/2004 - 17:35h:

Não é necessário criar estas pastas pois as mesmas variam de uma distribuição para outra.
Se prenda ao que está escrito no manual do iptables.

$ man iptables

Valews?

[10] Comentário enviado por py9mt em 10/02/2008 - 12:54h:

Boa, me ajudou muito, nota 9

[11] Comentário enviado por py9mt em 10/02/2008 - 12:55h:

Interessante é que com iptables pode se fazer a maioria dos bloqueio, deixando algo muito especifico pro squid