IPtables - Exemplos de regras

Publicado por Perfil removido em 28/06/2013

[ Hits: 15.690 ]

 


IPtables - Exemplos de regras



Olá, amigos.

Postarei alguma regras que podem ser úteis para quem utiliza o firewall IPtables. Não aprofundarei em detalhes teóricos, visto que há diversos artigos falando sobre IPtables na Internet e até mesmo no Viva o Linux.

Liberando acesso externo ao servidor via SSH:

iptables -t nat -A PREROUTING -p tcp -i eth0 -d 200.40.13.192 --dport 1000 -j REDIRECT --to 200.40.13.192:9000

Liberando acesso externo via SSH à determinada máquina na rede dentro da rede interna:

iptables -t nat -A PREROUTING -p tcp -i eth0 -d 200.40.13.192 --dport 1000 -j DNAT --to 192.168.1.10:9000

O DNAT possibilita o redirecionamento para outra máquina, e o REDIRECT apenas possibilita o redirecionamento de conexões de uma porta para outra na mesma máquina.

Para alterar a porta padrão do SSH, basta editar o arquivo "/etc/ssh/sshd_conf" e após reiniciar o serviço sshd:

# vim /etc/ssh/sshd_conf

Dica: digite i para entrar no modo de inserção no Vim.

Altere a opção: "Port"

Port 9000


Reinicie o serviço:

# service httpd restart sshd

Testando a regra:

# ssh 200.40.13.192 -p 9000

Imagine que sua rede possui um firewall, e você quer liberar um acesso à estação de trabalho, mais precisamente, uma aplicação que você construiu que roda na porta 3000. E a porta padrão deste firewall foi alterada para 90, por questões de segurança.

iptables -t nat -A PREROUTING -p tcp -i eth0 -d 200.40.13.192 --dport 90 -j DNAT --to 192.168.1.10:3000

Para editar a porta padrão do Apache, edite o arquivo "/etc/httpd/conf/httpd.conf":

Altere a opção: "Listen"

Listen 90


Reinicie o serviço:

# service httpd restart

Redirecionar tráfego Web para porta padrão do Squid (3128):

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Limitando quantidade de ping em 10 por segundo:

iptables -t filter -A INPUT -p icmp -m limit --limit 10/s -j ACCEPT

Especificando várias portas na mesma regra:

iptables -A INPUT -p tcp -m multiport --dport 21,23,25,80,110 -j DROP

Bloqueando entrada de pacotes no servidor utilizando o endereço MAC:

iptables -t filter -A INPUT -m mac --mac-source 00:80:AD:B2:60:0B -j DROP Bloqueando tráfego utilizando string:

Obs.: esta opção não vem compilada por padrão.

iptables -t filter -A FORWARD -m string --string "XKazaa" -j DROP

Para simplificar seu script de firewall, você pode criar um loop, de IPs liberados, por exemplo:

echo "LIBERANDO IPS COM PREVILEGIOS"
for end in `cat /usr/local/bin/ipsliberados.txt`
do
     iptables -A FORWARD -s $end -j ACCEPT
done


São regras simples, mas que muitas vezes possuem grande valor.

Grande abraço a todos.
Espero ter ajudado.

Outras dicas deste autor

Netbeans - Melhor IDE para se trabalhar com Java [vídeo]

Vídeo no lugar do papel de parede

Sem permissões suficientes para executar /usr/sbin/pppd?

Tire screenshots com a tecla PrintScreen

Como instalar o Lazarus no Fedora 27 [vídeo]

Leitura recomendada

Artigo e webinar sobre Nmap - Ferramenta de código aberto com diversas funcionalidades

Aula demonstrativa do curso de pentest profissional

BIND seguro

Auditando acesso de usuários no Linux

Filtros adicionais para o Squid bloquear malwares

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts