IPtables - Exemplos de regras

Publicado por Perfil removido em 28/06/2013

[ Hits: 16.504 ]

 


IPtables - Exemplos de regras



Olá, amigos.

Postarei alguma regras que podem ser úteis para quem utiliza o firewall IPtables. Não aprofundarei em detalhes teóricos, visto que há diversos artigos falando sobre IPtables na Internet e até mesmo no Viva o Linux.

Liberando acesso externo ao servidor via SSH:

iptables -t nat -A PREROUTING -p tcp -i eth0 -d 200.40.13.192 --dport 1000 -j REDIRECT --to 200.40.13.192:9000

Liberando acesso externo via SSH à determinada máquina na rede dentro da rede interna:

iptables -t nat -A PREROUTING -p tcp -i eth0 -d 200.40.13.192 --dport 1000 -j DNAT --to 192.168.1.10:9000

O DNAT possibilita o redirecionamento para outra máquina, e o REDIRECT apenas possibilita o redirecionamento de conexões de uma porta para outra na mesma máquina.

Para alterar a porta padrão do SSH, basta editar o arquivo "/etc/ssh/sshd_conf" e após reiniciar o serviço sshd:

# vim /etc/ssh/sshd_conf

Dica: digite i para entrar no modo de inserção no Vim.

Altere a opção: "Port"

Port 9000


Reinicie o serviço:

# service httpd restart sshd

Testando a regra:

# ssh 200.40.13.192 -p 9000

Imagine que sua rede possui um firewall, e você quer liberar um acesso à estação de trabalho, mais precisamente, uma aplicação que você construiu que roda na porta 3000. E a porta padrão deste firewall foi alterada para 90, por questões de segurança.

iptables -t nat -A PREROUTING -p tcp -i eth0 -d 200.40.13.192 --dport 90 -j DNAT --to 192.168.1.10:3000

Para editar a porta padrão do Apache, edite o arquivo "/etc/httpd/conf/httpd.conf":

Altere a opção: "Listen"

Listen 90


Reinicie o serviço:

# service httpd restart

Redirecionar tráfego Web para porta padrão do Squid (3128):

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Limitando quantidade de ping em 10 por segundo:

iptables -t filter -A INPUT -p icmp -m limit --limit 10/s -j ACCEPT

Especificando várias portas na mesma regra:

iptables -A INPUT -p tcp -m multiport --dport 21,23,25,80,110 -j DROP

Bloqueando entrada de pacotes no servidor utilizando o endereço MAC:

iptables -t filter -A INPUT -m mac --mac-source 00:80:AD:B2:60:0B -j DROP Bloqueando tráfego utilizando string:

Obs.: esta opção não vem compilada por padrão.

iptables -t filter -A FORWARD -m string --string "XKazaa" -j DROP

Para simplificar seu script de firewall, você pode criar um loop, de IPs liberados, por exemplo:

echo "LIBERANDO IPS COM PREVILEGIOS"
for end in `cat /usr/local/bin/ipsliberados.txt`
do
     iptables -A FORWARD -s $end -j ACCEPT
done


São regras simples, mas que muitas vezes possuem grande valor.

Grande abraço a todos.
Espero ter ajudado.

Outras dicas deste autor

Atualizando o Firefox no Kurumin

KDE 3.5.5 i686 no Slackware 11

Vídeo aula: Como colocar wallpaper comum a todos os usuários

Criando arquivos FLV em modo gráfico no linux

Firefox + Opera: Operafox!

Leitura recomendada

Bloquear MSN Messenger

Correção de segurança no quotacheck em rc.M

Conheça o Kapersky Cyberthreat Real-time Map

Vídeo laboratório de Pentest - SQLi em PostgreSQL manualmente

Vulnerabilidade na variável PATH

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts