Básico de Firewall

rensantos escreveu:

Boa tarde a todos.

Caros amigos, venho tentando entender, por conta própria, fóruns, sites, até comprei 2 livros, sobre o iptables, mais especificamente as CHAINS das tabelas mas não achei nada que pudesse fazer essa anta aqui compreender a diferença entre elas.
Por exemplo, quando que eu sei que devo usar INPUT ao invés de FORWARD na filter?

Vejam se meu raciocínio está certo (considerando SERVIDOR como meu Firewall).

Tabela filter:
INPUT: Tudo que ENTRAR da Internet no SERVIDOR?
OUTPUT: Tudo que SAI do SERVIDOR pra Internet?
FORWARD: Tudo que faz o q? Que vem da Internet, PASSA pelo SERVIDOR com destino a um DESKTOP na rede?

Tabela nat:
PREROUTING: Tudo que VEM da Internet, mas ANTES de ir pra algum lugar, que não sei se é o SERVIDOR ou DESKTOP?
POSTROUTING: Vem de onde pra cá? Do SERVIDOR? De um Desktop? Pra Internet?
OUTPUT: Tudo que sai do SERVIDOR? Porque OUTPUT aqui e OUTPUT no filter?? Posso tratar só na filter? Não é a mesma coisa ou ai diferencia o fato de ser filter (filtrar) e nat (traduzir)?

Eu realmente estou me sentindo muito burro (como dizem o Crach e Eddie)...

Aproveitando, porque que, em um link dedicado, eu posso liberar IP assim:
iptables -A FORWARD -s 10.1.1.15 -j ACCEPT
Enquanto que numa ADSL tem que ser assim:
iptables -t nat -A POSTROUTING -s 10.1.1.15 -j MASQUERADE
Obs. Tentei das 2 formas, na ADSL e só funcionou a segunda.

Abs,
Renato

Tabela FILTER que contém as CHAINs
INPUT - Tudo que entra na sua placa de rede passa por esta CHAIN (localhost)

OUTPUT - Tudo que sai da sua placa de rede passa por esta CHAIN (localhost)

FORWARD - Tudo que é destinado a outro micro na rede local, ou a outra placa de rede na maquina ou outra subrede (que é mais usado)

Tabela NAT

A tabela NAT serve basicamente para roteamento dos pacotes, como assim? explica melhor...

por exemplo eu tenho uma maquina no ip 192.168.0.56 (firewall) e tenho outra maquina de servidor http no ip 192.168.0.23 (servidor) se eu quiser redirecionar os pacotes do firewall para o servidor na porta 80 por exemplo usaria esta regra:

iptables -t nat -A PREROUTING -p tcp -d 192.168.0.56 --dport 80 -j DNAT --to 192.168.0.23:80

A CHAIN PREROUTING presente na tabela NAT é responsável pelo processo antes do roteamento do pacote, ou seja, antes de aceitar ou descartar, ela somente envia para o ip de destino (DNAT, leia-se roteamento de destino) para tratar do pacote, no nosso caso a maquina firewall repassa os pacotes da porta 80 diretamente para nosso servidor (o servidor decidirá se aceita ou dropa a conexão)

A CHAIN OUTPUT - Consultado quando os pacotes gerados localmente precisam ser modificados antes de serem roteados. Este chain somente é consultado para conexões que se originam de IPs de interfaces locais.

A CHAIN POSTROUTING da tabela NAT é responsável por modificar o endereço de origem dos pacotes com o SNAT (leia-se roteamento de destino) regra com SNAT:

iptables -t nat -A POSTROUTING -s 192.168.0.56 -o eth1 -j SNAT --to 192.168.0.23

A regra acima modifica o endereço de origem do pacote, ou seja, se eu solicitar uma conexão para o nosso servidor http, primeiro o firewall vai redirecionar o pacote para nosso servidor, após isso nosso servidor responderá para o firewall e o firewall modificará o pacote com o ip do servidor, assim o próximo pacote chegará ao seu destino, ao invés de ficar preso no firewall

Tabela MANGLE

Esta [*****] contém todas as regras citadas acima, ela é responsável por priorizar o trafego em determinada conexão, pelo TOS seja de saída ou entrada em todas as redes, por enquanto esqueça esta tabela, raramente você a usará com as opções fora do normal.