Duvidas de regras de iptables

guichagas
(usa Ubuntu)

Enviado em 27/06/2013 - 13:34h

iptables -N PING-MORTE
iptables -A INPUT -p icmp --icmp-type echo-request -j PING-MORTE
iptables -A PING-MORTE -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A PING-MORTE -j DROP

Tenho esta regra para bloquear o ping da morte, gostaria de saber como essa regra funciona, o passo a passo dela. Porque que o Alvo -j foi a propria chain?
se alguem puder explicar como essa regra funciona.

danniel-lara
(usa Fedora)

Enviado em 27/06/2013 - 13:38h

sugiro que de uma lida sobre iptables

saitam
(usa Slackware)

Enviado em 27/06/2013 - 14:15h

Explicação http://mundodacomputacaointegral.blogspot.com.br/2012/05/entendendo-o-funcionamento-de-um.html

guichagas
(usa Ubuntu)

Enviado em 27/06/2013 - 20:13h

Minha duvida seria porque a regra usa a propria chain como alvo

lejoso
(usa Debian)

Enviado em 27/06/2013 - 20:47h

INPUT, OUTPUT,FORWARD, PREROUTING, POSTROUTING são as chains nativas do iptables.
Geralmente se cria outras Chains e utilizam elas como alvo apenas por questão de organização das regras, pra não ficar tudo nas chains nativas.
Essas chains são sempre vinculadas a uma tabela (nat, mangle, raw, filter).
Quando uma regra casa com determinado pacote, tem sempre uma ação a ser tomada, que é exatamente o alvo (DROP, ACCEPT, RETURN, MASQUERADE, DNAT, SNAT, etc), e com isso sai da chain. Porém usando como alvo outra chain, ele vai ler as regras que estão dentro da mesma.
O pacote só sai da chain nativa se nenhuma regra com ação concreta for encontrado, ou se dentro dessa outra chais (ex: PING-MORTE) existir um dos alvos acima,

Segue a sequencia:




iptables -N PING-MORTE (criando uma chain vinculada a tabela filter)
iptables -A INPUT -p icmp --icmp-type echo-request -j PING-MORTE (qualquer solicitação de ping é enviado para a chain PING-MORTE)
iptables -A PING-MORTE -m limit --limit 1/s --limit-burst 4 -j RETURN ( se no tempo de 1 segundo tiver no máximo 4 pacotes, ele sai da chain, e continua lendo as outras regras da chain INPUT)
iptables -A PING-MORTE -j DROP (caso existam mais que 4 pacotes no intervalo de 1 segundo, dropa os mesmos).





Att,

Leonardo Souza

guichagas
(usa Ubuntu)

Enviado em 27/06/2013 - 21:02h

iptables -N PING-MORTE (criando uma chain vinculada a tabela filter)
iptables -A INPUT -p icmp --icmp-type echo-request -j PING-MORTE (qualquer solicitação de ping é enviado para a chain PING-MORTE)
iptables -A PING-MORTE -m limit --limit 1/s --limit-burst 4 -j RETURN ( se no tempo de 1 segundo tiver no máximo 4 pacotes, ele sai da chain, por entender que é normal)
iptables -A PING-MORTE -j DROP (caso existam mais que 4 pacotes no intervalo de 1 segundo, dropa os mesmos)

Entao no caso dessa regra se tiver menos de 4 pedidos por segundo ele aceita e retorna para a regra anterior
iptables -A INPUT -p icmp --icmp-type echo-request -j PING-MORTE
ae o ALVO vai ser a propria chain, ae essa chain esta com a politica ACCEPT, entao automaticamente ja vai aceitar o pedido de ping? ou preciso fazer mais alguma coisa?

lejoso
(usa Debian)

Enviado em 27/06/2013 - 21:08h

Se tiver até 4 pedidos por segundo, ele sai da chain PING-MORTE e volta para ler as regras da INPUT. Se a política padrão é ACCEPT, vai aceitar o ping, se for DROP, tem que criar a seguinte:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

Buckminster
(usa Debian)

Enviado em 28/06/2013 - 01:52h

O Iptables trabalha direto no kernel. Essas tuas regras aí só fazem o próprio Iptables derrubar teu servidor.
Veja aí o que se adapta para você, ou coloque tudo:

##Proteção contra ping, SYN Cookies, IP Spoofing e proteções do kernel
##########################################################
echo 1 > /proc/sys/net/ipv4/tcp_syncookies #Syn Flood (DoS ou DDOS)
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts # Port scanners
echo 0 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses #Sem resposta remota
for i in /proc/sys/net/ipv4/conf/*; do
echo 0 > $i/accept_redirects #Sem redirecionar rotas
echo 0 > $i/accept_source_route #Sem traceroute
echo 1 > $i/log_martians #Loga pacotes suspeitos no kernel
echo 1 > $i/rp_filter #Ip Spoofing
echo 1 > $i/secure_redirects; done #Redirecionamento seguro de pacotes
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all #Sem ping e tracert