IPtables - Exemplos de regras

Publicado por Perfil removido em 28/06/2013

[ Hits: 18.621 ]

 


IPtables - Exemplos de regras



Olá, amigos.

Postarei alguma regras que podem ser úteis para quem utiliza o firewall IPtables. Não aprofundarei em detalhes teóricos, visto que há diversos artigos falando sobre IPtables na Internet e até mesmo no Viva o Linux.

Liberando acesso externo ao servidor via SSH:

iptables -t nat -A PREROUTING -p tcp -i eth0 -d 200.40.13.192 --dport 1000 -j REDIRECT --to 200.40.13.192:9000

Liberando acesso externo via SSH à determinada máquina na rede dentro da rede interna:

iptables -t nat -A PREROUTING -p tcp -i eth0 -d 200.40.13.192 --dport 1000 -j DNAT --to 192.168.1.10:9000

O DNAT possibilita o redirecionamento para outra máquina, e o REDIRECT apenas possibilita o redirecionamento de conexões de uma porta para outra na mesma máquina.

Para alterar a porta padrão do SSH, basta editar o arquivo "/etc/ssh/sshd_conf" e após reiniciar o serviço sshd:

# vim /etc/ssh/sshd_conf

Dica: digite i para entrar no modo de inserção no Vim.

Altere a opção: "Port"

Port 9000


Reinicie o serviço:

# service httpd restart sshd

Testando a regra:

# ssh 200.40.13.192 -p 9000

Imagine que sua rede possui um firewall, e você quer liberar um acesso à estação de trabalho, mais precisamente, uma aplicação que você construiu que roda na porta 3000. E a porta padrão deste firewall foi alterada para 90, por questões de segurança.

iptables -t nat -A PREROUTING -p tcp -i eth0 -d 200.40.13.192 --dport 90 -j DNAT --to 192.168.1.10:3000

Para editar a porta padrão do Apache, edite o arquivo "/etc/httpd/conf/httpd.conf":

Altere a opção: "Listen"

Listen 90


Reinicie o serviço:

# service httpd restart

Redirecionar tráfego Web para porta padrão do Squid (3128):

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Limitando quantidade de ping em 10 por segundo:

iptables -t filter -A INPUT -p icmp -m limit --limit 10/s -j ACCEPT

Especificando várias portas na mesma regra:

iptables -A INPUT -p tcp -m multiport --dport 21,23,25,80,110 -j DROP

Bloqueando entrada de pacotes no servidor utilizando o endereço MAC:

iptables -t filter -A INPUT -m mac --mac-source 00:80:AD:B2:60:0B -j DROP Bloqueando tráfego utilizando string:

Obs.: esta opção não vem compilada por padrão.

iptables -t filter -A FORWARD -m string --string "XKazaa" -j DROP

Para simplificar seu script de firewall, você pode criar um loop, de IPs liberados, por exemplo:

echo "LIBERANDO IPS COM PREVILEGIOS"
for end in `cat /usr/local/bin/ipsliberados.txt`
do
     iptables -A FORWARD -s $end -j ACCEPT
done


São regras simples, mas que muitas vezes possuem grande valor.

Grande abraço a todos.
Espero ter ajudado.

Outras dicas deste autor

Acelerando conexão discada com OpenDNS e Squid

Ripando DVD9 para DVD5 com DVD95

Migrando do Thunderbird para o Claws sem (muita!) dor

Programas do Linux semelhantes aos do Windows

Instalando o Xorg no Debian

Leitura recomendada

KeePassX - Proteção para suas senhas

Backtrack 4 - 5NMP

O que é um Fuzzer em Penetration Testing (Pentesting)

Fazendo cópia de segurança (backup) rapidinho dos seus .conf

Conheça o FBPwn - Tenha cuidado ao aceitar uma solicitação no Facebook

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts