Carregar apresentação
A apresentação está carregando. Por favor, espere
PublicouBernardo Veloso Alterado mais de 9 anos atrás
1
Introdução a IPTables Resumo da apresentação efectuada na aula de ASI2
Hélder Ferreira
2
Indice Requisitos básicos NetFilter e IPTables “Hook Points”
Tabelas e “Hook Points” Fluxo de pacotes e as Tabelas Alguns exemplos Aplicações de IPTables Bibliografia Anexo – Comparação IPTables vs ACL’s
3
Requisitos básicos Um PC com requisitos mínimos para correr uma versão de Linux actual (kernel 2.4 ou mais actual) Pelo menos 2 interfaces de rede
4
NetFilter e IPTables O kernel do Linux têm um subsistema de processamento de pacotes de rede que se chama NetFilter ( Como se configura o NetFilter? Com o comando iptables IPTables (e Netfilter) funcionam na camada 3 do modelo OSI (Rede). Existem funcionalidades semelhantes para a camada 2 de OSI (Link) e chama-se ebtables (ebtables.sourceforge.net)
5
“Hook Points” Os pacotes recebidos podem ter 5 “estados” possíveis:
PreRouting – Pacotes acabados de chegar à interface de rede. Forward – Pacotes reencaminhados entre interfaces de rede PostRouting – Pacotes a serem lançados na rede de seguida Input – Pacotes destinados ao sistema local Output – Pacotes originados no sistema local
6
“Hook Points” Estes “estados” são parte dos comandos iptables tambem conhecidos como regras ou “chains” As “chains” são em tudo semelhantes às ACL’s dadas nas aulas. Os pacotes vão ser comparados com cada “chain” em busca de uma que o satisfaça. OBS: A versão anterior do IPTables chamava-se IPChains
7
Tabelas e “Hook Points”
As “chains” vão ser agrupadas em 3 tabelas: NAT, FILTER, MANGLE A tabela de NAT refere-se a pacotes que vão sofrer tradução de endereco de rede A tabela de Filter define que pacotes passam e que pacotes são descartados, têm funcionalidades muito semelhantes a uma firewall e é a tabela usada por default se nada for dito no comando iptable A tabela de MANGLE é a tabela que define como os pacotes serão modificados (header)
8
Tabelas e “Hook Points”
Cada tabela têm associado alguns “hook points” por defeito: NAT : PreRouting / Output / PostRouting FILTER : Forward / Input / Output MANGLE : PreRouting / Forward / PostRouting / Input / Output
9
Fluxo de pacotes e as Tabelas
NAT: Interface PreRouting Processo Local Interface PostRouting Output
10
Fluxo de pacotes e as Tabelas
FILTER: Interface Input Processo Local Forward Interface Output
11
Fluxo de pacotes e as Tabelas
MANGLE: Interface PreRouting Input Processo Local Forward Interface PostRouting Output
12
Alguns exemplos Quando um pacote chega a uma interface com destino o sistema local são analisadas as chains associadas primeiro a PreRouting (tabela de Mangle / NAT) e de seguida Input (tabela de Mangle / Filter ). Alguns exemplos de match possiveis para pacotes icmp e udp: iptables -A INPUT -p icmp --icmp-type 8 iptables -A INPUT -p udp --sport 53 Exemplo para pacotes prerouting aplicado à tabela de mangle: iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2
13
Aplicações de IPTables
Filtragem de pacotes Monitorização de rede (Accounting) Controlo de conexões (Connection tracking) Manipulação de pacotes (Mangling) NAT (SNAT & DNAT) Masquerading ( Tipo de SNAT) Reencaminhamento de pacotes (Port forwarding) Balanciamento de carga
14
Bibliografia “Linux iptables – Pocket reference” por Gregor N. Purdy - O’Reilly Agradecimento – Nuno Carvalho pelo anexo de comparação entre IPTables e ACL’s
15
Anexo – Comparação IPTables vs ACL’s
Sintaxe das ACLs da CISCO access-list nr_regra permit|deny protocolo origem destino servico Exemplo: access-list 101 deny tcp eq 21
16
Anexo – Comparação IPTables vs ACL’s
Sintaxe dos comandos IPTables: iptables -A FORWARD -p Protocolo -s Source -d Destino -j ACCEPT|REJECT|DROP Exemplo : iptables -A FORWARD -p tcp -s /24 -d j ACCEPT
17
Anexo – Comparação IPTables vs ACL’s
Regras num Router CISCO (1) access-list 100 deny ip host any (2) access-list 100 permit tcp any gt 500 host (3) access-list 100 deny ip any (4) access-list 100 permit tcp any any (5) access-list 100 deny ip any any (regra implicita)
18
Anexo – Comparação IPTables vs ACL’s
Regras com IPTABLES (5) iptables --policy FORWARD DROP (1) iptables -A FORWARD --source j DROP (2) iptables -A FORWARD -p tcp -m tcp --destination-port destination j ACCEPT (3) iptables -A FORWARD --source /24 -j DROP (4) iptables -A FORWARD --protocol ! TCP -j DROP
Apresentações semelhantes
© 2024 SlidePlayer.com.br Inc.
All rights reserved.