A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Introdução a IPTables Resumo da apresentação efectuada na aula de ASI2 Hélder Ferreira 1020113.

Apresentações semelhantes


Apresentação em tema: "Introdução a IPTables Resumo da apresentação efectuada na aula de ASI2 Hélder Ferreira 1020113."— Transcrição da apresentação:

1 Introdução a IPTables Resumo da apresentação efectuada na aula de ASI2 Hélder Ferreira

2 Indice  Requisitos básicos  NetFilter e IPTables  “Hook Points”  Tabelas e “Hook Points”  Fluxo de pacotes e as Tabelas  Alguns exemplos  Aplicações de IPTables  Bibliografia  Anexo – Comparação IPTables vs ACL’s

3 Requisitos básicos Um PC com requisitos mínimos para correr uma versão de Linux actual (kernel 2.4 ou mais actual) Pelo menos 2 interfaces de rede

4 NetFilter e IPTables O kernel do Linux têm um subsistema de processamento de pacotes de rede que se chama NetFilter (www.netfilter.org)www.netfilter.org Como se configura o NetFilter? Com o comando iptables IPTables (e Netfilter) funcionam na camada 3 do modelo OSI (Rede). Existem funcionalidades semelhantes para a camada 2 de OSI (Link) e chama-se ebtables (ebtables.sourceforge.net)

5 “Hook Points” Os pacotes recebidos podem ter 5 “estados” possíveis: –PreRouting – Pacotes acabados de chegar à interface de rede. –Forward – Pacotes reencaminhados entre interfaces de rede –PostRouting – Pacotes a serem lançados na rede de seguida –Input – Pacotes destinados ao sistema local –Output – Pacotes originados no sistema local

6 “Hook Points” Estes “estados” são parte dos comandos iptables tambem conhecidos como regras ou “chains” As “chains” são em tudo semelhantes às ACL’s dadas nas aulas. Os pacotes vão ser comparados com cada “chain” em busca de uma que o satisfaça. OBS: A versão anterior do IPTables chamava-se IPChains

7 Tabelas e “Hook Points” As “chains” vão ser agrupadas em 3 tabelas: NAT, FILTER, MANGLE A tabela de NAT refere-se a pacotes que vão sofrer tradução de endereco de rede A tabela de Filter define que pacotes passam e que pacotes são descartados, têm funcionalidades muito semelhantes a uma firewall e é a tabela usada por default se nada for dito no comando iptable A tabela de MANGLE é a tabela que define como os pacotes serão modificados (header)

8 Tabelas e “Hook Points” Cada tabela têm associado alguns “hook points” por defeito: –NAT : PreRouting / Output / PostRouting –FILTER : Forward / Input / Output –MANGLE : PreRouting / Forward / PostRouting / Input / Output

9 Fluxo de pacotes e as Tabelas NAT: InterfacePreRouting PostRoutingOutput Processo Local Interface

10 Fluxo de pacotes e as Tabelas FILTER: InterfaceInput Forward Output Processo Local Interface

11 Fluxo de pacotes e as Tabelas MANGLE: PreRoutingInput Forward Output Processo Local PostRouting Interface

12 Alguns exemplos Quando um pacote chega a uma interface com destino o sistema local são analisadas as chains associadas primeiro a PreRouting (tabela de Mangle / NAT) e de seguida Input (tabela de Mangle / Filter ). Alguns exemplos de match possiveis para pacotes icmp e udp: –iptables -A INPUT -p icmp --icmp-type 8 –iptables -A INPUT -p udp --sport 53 Exemplo para pacotes prerouting aplicado à tabela de mangle: –iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK -- set-mark 2

13 Aplicações de IPTables Filtragem de pacotes Monitorização de rede (Accounting) Controlo de conexões (Connection tracking) Manipulação de pacotes (Mangling) NAT (SNAT & DNAT) Masquerading ( Tipo de SNAT) Reencaminhamento de pacotes ( Port forwarding ) Balanciamento de carga

14 Bibliografia “Linux iptables – Pocket reference” por Gregor N. Purdy - O’Reilly _Firewalls_Using_iptableshttp://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_Linux _Firewalls_Using_iptables Agradecimento – Nuno Carvalho pelo anexo de comparação entre IPTables e ACL’s

15 Anexo – Comparação IPTables vs ACL’s Sintaxe das ACLs da CISCO access-list nr_regra permit|deny protocolo origem destino servico –Exemplo: access-list 101 deny tcp eq 21

16 Anexo – Comparação IPTables vs ACL’s Sintaxe dos comandos IPTables: iptables -A FORWARD -p Protocolo -s Source -d Destino -j ACCEPT|REJECT|DROP –Exemplo : iptables -A FORWARD -p tcp -s /24 -d j ACCEPT

17 Anexo – Comparação IPTables vs ACL’s Regras num Router CISCO –(1) access-list 100 deny ip host any –(2) access-list 100 permit tcp any gt 500 host –(3) access-list 100 deny ip any –(4) access-list 100 permit tcp any any –(5) access-list 100 deny ip any any (regra implicita)

18 Anexo – Comparação IPTables vs ACL’s Regras com IPTABLES –(5) iptables --policy FORWARD DROP –(1) iptables -A FORWARD --source j DROP –(2) iptables -A FORWARD -p tcp -m tcp --destination-port destination j ACCEPT –(3) iptables -A FORWARD --source /24 -j DROP –(4) iptables -A FORWARD --protocol ! TCP -j DROP


Carregar ppt "Introdução a IPTables Resumo da apresentação efectuada na aula de ASI2 Hélder Ferreira 1020113."

Apresentações semelhantes


Anúncios Google