A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Introdução a IPTables Resumo da apresentação efectuada na aula de ASI2

Apresentações semelhantes


Apresentação em tema: "Introdução a IPTables Resumo da apresentação efectuada na aula de ASI2"— Transcrição da apresentação:

1 Introdução a IPTables Resumo da apresentação efectuada na aula de ASI2
Hélder Ferreira

2 Indice Requisitos básicos NetFilter e IPTables “Hook Points”
Tabelas e “Hook Points” Fluxo de pacotes e as Tabelas Alguns exemplos Aplicações de IPTables Bibliografia Anexo – Comparação IPTables vs ACL’s

3 Requisitos básicos Um PC com requisitos mínimos para correr uma versão de Linux actual (kernel 2.4 ou mais actual) Pelo menos 2 interfaces de rede

4 NetFilter e IPTables O kernel do Linux têm um subsistema de processamento de pacotes de rede que se chama NetFilter (www.netfilter.org) Como se configura o NetFilter? Com o comando iptables IPTables (e Netfilter) funcionam na camada 3 do modelo OSI (Rede). Existem funcionalidades semelhantes para a camada 2 de OSI (Link) e chama-se ebtables (ebtables.sourceforge.net)

5 “Hook Points” Os pacotes recebidos podem ter 5 “estados” possíveis:
PreRouting – Pacotes acabados de chegar à interface de rede. Forward – Pacotes reencaminhados entre interfaces de rede PostRouting – Pacotes a serem lançados na rede de seguida Input – Pacotes destinados ao sistema local Output – Pacotes originados no sistema local

6 “Hook Points” Estes “estados” são parte dos comandos iptables tambem conhecidos como regras ou “chains” As “chains” são em tudo semelhantes às ACL’s dadas nas aulas. Os pacotes vão ser comparados com cada “chain” em busca de uma que o satisfaça. OBS: A versão anterior do IPTables chamava-se IPChains

7 Tabelas e “Hook Points”
As “chains” vão ser agrupadas em 3 tabelas: NAT, FILTER, MANGLE A tabela de NAT refere-se a pacotes que vão sofrer tradução de endereco de rede A tabela de Filter define que pacotes passam e que pacotes são descartados, têm funcionalidades muito semelhantes a uma firewall e é a tabela usada por default se nada for dito no comando iptable A tabela de MANGLE é a tabela que define como os pacotes serão modificados (header)

8 Tabelas e “Hook Points”
Cada tabela têm associado alguns “hook points” por defeito: NAT : PreRouting / Output / PostRouting FILTER : Forward / Input / Output MANGLE : PreRouting / Forward / PostRouting / Input / Output

9 Fluxo de pacotes e as Tabelas
NAT: Interface PreRouting Processo Local Interface PostRouting Output

10 Fluxo de pacotes e as Tabelas
FILTER: Interface Input Processo Local Forward Interface Output

11 Fluxo de pacotes e as Tabelas
MANGLE: Interface PreRouting Input Processo Local Forward Interface PostRouting Output

12 Alguns exemplos Quando um pacote chega a uma interface com destino o sistema local são analisadas as chains associadas primeiro a PreRouting (tabela de Mangle / NAT) e de seguida Input (tabela de Mangle / Filter ). Alguns exemplos de match possiveis para pacotes icmp e udp: iptables -A INPUT -p icmp --icmp-type 8 iptables -A INPUT -p udp --sport 53 Exemplo para pacotes prerouting aplicado à tabela de mangle: iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2

13 Aplicações de IPTables
Filtragem de pacotes Monitorização de rede (Accounting) Controlo de conexões (Connection tracking) Manipulação de pacotes (Mangling) NAT (SNAT & DNAT) Masquerading ( Tipo de SNAT) Reencaminhamento de pacotes (Port forwarding) Balanciamento de carga

14 Bibliografia “Linux iptables – Pocket reference” por Gregor N. Purdy - O’Reilly Agradecimento – Nuno Carvalho pelo anexo de comparação entre IPTables e ACL’s

15 Anexo – Comparação IPTables vs ACL’s
Sintaxe das ACLs da CISCO access-list nr_regra permit|deny protocolo origem destino servico Exemplo: access-list 101 deny tcp eq 21

16 Anexo – Comparação IPTables vs ACL’s
Sintaxe dos comandos IPTables: iptables -A FORWARD -p Protocolo -s Source -d Destino -j ACCEPT|REJECT|DROP Exemplo : iptables -A FORWARD -p tcp -s /24 -d j ACCEPT

17 Anexo – Comparação IPTables vs ACL’s
Regras num Router CISCO (1) access-list 100 deny ip host any (2) access-list 100 permit tcp any gt 500 host (3) access-list 100 deny ip any (4) access-list 100 permit tcp any any (5) access-list 100 deny ip any any (regra implicita)

18 Anexo – Comparação IPTables vs ACL’s
Regras com IPTABLES (5) iptables --policy FORWARD DROP (1) iptables -A FORWARD --source j DROP (2) iptables -A FORWARD -p tcp -m tcp --destination-port destination j ACCEPT (3) iptables -A FORWARD --source /24 -j DROP (4) iptables -A FORWARD --protocol ! TCP -j DROP


Carregar ppt "Introdução a IPTables Resumo da apresentação efectuada na aula de ASI2"

Apresentações semelhantes


Anúncios Google