A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Prof. Eduardo Maroñas Monks

PublicouLucca Moreira Brás Alterado mais de 6 anos atrás

Apresentações semelhantes

Apresentação em tema: "Prof. Eduardo Maroñas Monks"— Transcrição da apresentação:

1 Prof. Eduardo Maroñas Monks
Iptables na prática Prof. Eduardo Maroñas Monks

2 Sumário Histórico Funcionalidades Componentes Dicas Estudo de Caso
Considerações Finais Referências

3 Histórico Primeira geração: ipfw (BSD)
Segunda geração: ipfwadm (Linux 2.0) Terceira geração: ipchains (Linux 2.2) Quarta geração: iptables (Linux 2.4, 2.6, 3.x. 4.x) Quinta geração: nftables (Linux 3.13)

4 Funcionalidades Algumas das funcionalidades mais comuns do Iptables:
Construção de firewalls de rede Uso de NAT e PAT Recursos para implementação de proxies transparentes Manipulação de pacotes (tabela mangle) Edição de cabeçalhos

5 Funcionalidades Base da filtragem de pacotes no Linux:
Netfilter: funcionalidades de rede internas ao kernel para permitir a filtragem e manipulação de pacotes Iptables: ferramenta em nível de usuário para acesso ao Netfilter

6 Componentes Chains Tabelas Políticas Ações

7 Componentes Chains INPUT: pacotes com destino ao host
OUTPUT: pacotes originados do host FORWARD: pacotes passando pelo host POSTROUTING: pacotes que já passaram pelo processo de roteamento PREROUTING: pacotes que ainda não passaram pelo processo de roteamento iptables –A INPUT –i eth0 –p tcp –-dport 80 –j ACCEPT iptables –A INPUT –i eth1 –p tcp –s /32 --dport 5001 –j REJECT iptables –A OUTPUT –p udp –-dport 53 –j DROP iptables –A FORWARD –i eth0 –s /24 –d /32 –-dport 3389 –j ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j SNAT -s /24 --to-source iptables -t nat -A PREROUTING -i eth1 -p tcp -s /24 --dport 80 -j REDIRECT --to-port 3128

8 Componentes Tabelas Filter: padrão, onde é realizada a filtragem de pacotes NAT: onde acontecem as traduções de endereçamentos e portas dos pacotes Mangle: onde são modificados os cabeçalhos dos pacotes iptables –A INPUT –t filter –i eth0 –p tcp –-dport 80 –j ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j SNAT -s /24 --to-source iptables -t nat -A PREROUTING -i eth1 -p tcp -s /24 --dport 80 -j REDIRECT --to-port 3128 iptables -A PREROUTING -t nat -p tcp -d dport j DNAT --to :80 iptables -t mangle -A PREROUTING -i eth1 -p udp --dport 53 -j DSCP --set-dscp-class CS2 iptables -t mangle -A POSTROUTING -o eth0 -p udp --dport 53 -j DSCP --set-dscp-class CS2

9 Componentes Políticas
ACCEPT: todas os pacotes que não são explicitamente bloqueados, serão aceitos DROP: todos os pacotes que não são explicitamente liberados, serão bloqueados iptables –P INPUT DROP iptables –P OUTPUT DROP iptables –P FORWARD ACCEPT

10 Componentes Ações ACCEPT: se ocorrer uma combinação com a regra, o pacote é liberado DROP: se ocorrer uma combinação com a regra, o pacote é bloqueado sem aviso ao remetente REJECT: se ocorrer uma combinação com a regra, o pacote é bloqueado e o remetente receberá um aviso UDP: ICMP host ou porta inalcançável TCP: segmento com a flag Reset ativada iptables -A INPUT -p tcp -s d j ACCEPT iptables -A FORWARD -i eth p icmp -s /24 -d 0/0 -j DROP iptables -A FORWARD -i eth0 -p udp -s /24 -d /24 -j REJECT

11 Componentes Ações LOG: se ocorrer uma combinação com a regra, o pacote será registrado em arquivo Normalmente, em /var/log/messages REDIRECT: se ocorrer uma combinação com a regra, o pacote será redirecionando para uma porta definida na regra MASQUERADE: se ocorrer uma combinação com a regra, o pacote terá o endereço de origem traduzido para o endereço da interface de saída iptables -A FORWARD -p tcp -s /32 -d 0/0 -m limit --limit 20/min --limit-burst 5 -j LOG --log-level 7 iptables -t nat -A PREROUTING -i eth1.50 -p tcp -s /24 --dport 80 -j REDIRECT --to-port 3128 iptables -A POSTROUTING -t nat -o eth0 -s /24 -j MASQUERADE

12 Dicas Manipulação de regras Parâmetros -A, -I e -D:
“-A” insere a regra abaixo da última regra adicionada. “-I” posiciona a regra no topo da lista de regras atual “-D” remove a regra iptables -A FORWARD -p tcp -s /32 -d 0/0 -j ACCEPT iptables –I FORWARD -p tcp -s /32 -d 0/0 -j ACCEPT iptables –D FORWARD -p tcp -s /32 -d 0/0 -j ACCEPT

13 Dicas Manipulação das regras
Parâmetro –L –n –v : para listar as regras, sem tradução de nomes e com os contadores de Bytes e pacotes em cada regra Parâmetro –F: para limpar as regras das tabelas filter, mangle e nat iptables –L –n –v iptables -F -t filter iptables -F -t nat iptables -F -t mangle

14 Dicas Valores padrão Todo o parâmetro não atribuído, é assumido o valor qualquer um (any) ou o valor todos Se não for definido um endereço de origem, destino, interface, protocolo ou porta, será assumido qualquer endereço de origem e destino, porta, protocolo e todas as interfaces iptables –A INPUT –j ACCEPT iptables –A FORWARD –p tcp –j DROP iptables -A FORWARD -p udp –s 0/0 –-dport 161 –j ACCEPT

15 Dicas Uso de módulos Multiport: para colocar múltiplas portas na regra
Limit: para limitar o número de combinações da regra State: para criar combinações conforme o estado do fluxo de pacotes Ativa o modo stateful, onde o estado do fluxo de pacotes é mantido pelo firewall iptables -A FORWARD -p tcp -m multiport -s /32 -d 0/0 --dports 80,443,465,993,995,587,8080,8081 -j ACCEPT iptables -A FORWARD -p tcp -s /32 -d 0/0 -m limit --limit 20/min --limit-burst 5 -j LOG --log-level 7 iptables -I INPUT -p udp -s /16 -d 0/0 --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

16 Dicas Uso de módulos Connlimit: para limitar o número de conexões de determinada regra Mac: para criar regras baseadas no endereço físico (mac address) Iprange: para usar em faixas de IPs String: para usar em regras que combinem palavras nos pacotes iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT iptables -A FORWARD -m mac --mac-source 00:0F:EA:91:04:08 -j ACCEPT iptables -A FORWARD -p tcp -m iprange --src-range dport 143 -j ACCEPT iptables -A FORWARD -m string --algo bm --string "facebook" –p udp –dport 53 -j DROP

17 Dicas Outros exemplos NAT 1:1: para traduzir um endereço IP interno para um endereço IP externo, quando se tem mais de um IP público Redirecionamento de portas para outro host: a ação REDIRECT permite apenas o redirecionamento de portas para o próprio firewall. Com o de ferramentas tais como redir ou socat junto ao iptables, é possível fazer o redirecionamento para uma porta em um host remoto # NAT 1:1 ( > ) iptables -A FORWARD -s /32 -j ACCEPT iptables -A FORWARD -d /32 -j ACCEPT iptables -A INPUT -s /32 -j ACCEPT iptables -A POSTROUTING -t nat -s /32 -o eth0 -j SNAT --to iptables -A PREROUTING -t nat -d j DNAT --to # Redirecionamento de portas e hosts ## Instalar o utilitário redir redir --lport= caddr= cport=80 iptables -t nat -I PREROUTING -i eth1 -p tcp -d dport 80 -j REDIRECT --to-port 8000

18 https://paste.ee/p/4ObUE
Estudo de Caso Cenário exemplo Link para download:

19 https://paste.ee/p/hyIfi
Estudo de Caso Cenário exemplo Link para download:

20 Considerações Finais A ferramenta Iptables é a base para a montagem de firewalls no Linux A utilização dos comandos na sequência certa é fundamental O que não está permitido, está bloqueado! Manter o firewall mais simples possível e priorizar as regras genéricas, ao invés das exceções A complexidade deve ser evitada! O uso de scripts com o Iptables podem facilitar bastante o gerenciamento do firewall

21 Referências iptables: The Linux Firewall Administration Program - Iptables Tutorial (Oskar Andreasson) - Documentação do Iptables - PURDY, Gregor N. Guia de Bolso Linux iptables. Editora Alta Books, 2005. Netfilter Workshops - Redir - Socat -

Carregar ppt "Prof. Eduardo Maroñas Monks"

Apresentações semelhantes

Disciplina deTópicos em Engenharia de Computação

Disciplina deTópicos em Engenharia de Computação
Professor: João Paulo de Brito Gonçalves Curso Técnico de Informática

Professor: João Paulo de Brito Gonçalves Curso Técnico de Informática
Formação de Administradores de Redes Linux LPI – level 1

Formação de Administradores de Redes Linux LPI – level 1
Netfilter/Iptables Cenário 2.

Netfilter/Iptables Cenário 2.
Linux como um roteador doméstico

Linux como um roteador doméstico
SMB - Server Message Block.

SMB - Server Message Block.
Gerencia de Redes Redes de Computadores II

Gerencia de Redes Redes de Computadores II
Curso: Segurança da Informação

Curso: Segurança da Informação
Introdução a IPTables Resumo da apresentação efectuada na aula de ASI2

Introdução a IPTables Resumo da apresentação efectuada na aula de ASI2
Iptables Netfilter ≠ Iptables Diferenciação »NETFILTER [módulo do kernel] »IPTABLES [ferramenta usuário]

Iptables Netfilter ≠ Iptables Diferenciação »NETFILTER [módulo do kernel] »IPTABLES [ferramenta usuário]
Firewalls usando Linux. 1 IPChainsIPChains Sucessor do ipfwadmSucessor do ipfwadm Presente no Linux a partir do kernel 2.1.102Presente no Linux a partir.

Firewalls usando Linux. 1 IPChainsIPChains Sucessor do ipfwadmSucessor do ipfwadm Presente no Linux a partir do kernel Presente no Linux a partir.
2008, Edgard Jamhour Endereçamento Privado Proxy e NAT.

2008, Edgard Jamhour Endereçamento Privado Proxy e NAT.
Firewall INPUT FORWARD Internet.

Firewall INPUT FORWARD Internet.
Netfilter/Iptables Introdução e Cenário 1.

Netfilter/Iptables Introdução e Cenário 1.
Prof. João Bosco M. Sobral

Prof. João Bosco M. Sobral
Ana Claudia Dutra Claudia Calegari Sandra Maia Thábita Sepulvida.

Ana Claudia Dutra Claudia Calegari Sandra Maia Thábita Sepulvida.
Firewalls NAT Proxy Gerencia de Redes Redes de Computadores II *Créditos: baseado no material do Prof. Dr. João Bosco M. Sobral – UFSC e também do Prof.

Firewalls NAT Proxy Gerencia de Redes Redes de Computadores II *Créditos: baseado no material do Prof. Dr. João Bosco M. Sobral – UFSC e também do Prof.
Gerencia de Redes Redes de Computadores II

Gerencia de Redes Redes de Computadores II
Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 1 IPTABLES Teórico e Prático.

Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 1 IPTABLES Teórico e Prático.
Firewall – Introdução ao Netfilter

Firewall – Introdução ao Netfilter

Apresentações semelhantes

Anúncios Google