Montando regras iptables

Abordarei nesse artigo algumas definições sobre tabelas, chains, comandos, ações e alvos do iptables para facilitar a criação de suas regras.

[ Hits: 108.684 ]

Por: Cristyan Giovane de Souza Santos em 01/08/2008


Alvos e módulos



Alvos

Quando temos um pacote que combinou com todas as opções da regra, necessitamos especificar um destino para o mesmo, como vimos anteriormente podemos especificar os seguintes alvos / destinos:

ACCEPT
Aceita a entrada ou passagem do pacote.

DROP
Descarta o pacote.

REJECT
Descarta o pacote, porém diferente de DROP, ele retorna uma mensagem ao emissor informando o que houve com o pacote.

LOG
Gera um log no sistema.

RETURN
Retorna o processamento da chain anterior.

QUEUE
Encarrega um programa de administrar o fluxo atribuído ao mesmo.

SNAT
Altera o endereço de origem do pacote.

DNAT
Altera o endereço de destino do pacote.

REDIRECT
Redireciona a porta do pacote juntamente com a opção --to-port.

TOS
Prioriza a entrada e saída de pacotes baseado em seu tipo de serviço.

Podemos especificar em TOS os seguintes valores:

16 ou 0x10       Espera mínima
8 ou 0x08        Máximo processamento
4 ou 0x04        Máxima confiança
2 ou 0x02        Custo mínimo
0 ou 0x00        Prioridade normal

Módulos

A utilização de módulos junto com o iptables é definida através da opção -m.

Podemos utilizar os seguintes módulos:

limit Impõe um limite de vezes que a regra poderá ser executada. state Utiliza o estado da conexão, que pode ser NEW, ESTABLISHED, RELATED, INVALID. mac Permite a utilização do endereço mac nas regras. multiport Permite a utilização de até 15 portas em uma única regra em conjunto com o --dport. string Verifica o conteúdo do pacote para aplicar a regra. owner Verifica o usuário que criou o pacote.

Página anterior     Próxima página

Páginas do artigo
   1. Tabelas
   2. Comandos e ações
   3. Alvos e módulos
   4. Exemplo de aplicação básica
Outros artigos deste autor

Squid autenticando em Windows 2003 com msnt_auth

Firewall iptables com NAT

Leitura recomendada

Firewall admin: administração do iptables

Um poderoso firewall para a sua rede wireless com IP x MAC

Fail2ban - Bloqueio de Peer-to-Peer (Ares, uTorrent) e Proxies (UltraSurf e Tor)

NoCatAuth - Construindo um firewall/gateway autenticado

Firewall Linux - Roteamento avançado usando iproute2 e iptables (load balance)

  
Comentários
[1] Comentário enviado por leobragatti em 01/08/2008 - 08:54h

cristyangiovane
parabens pelo artigo, muito bom mesmo
para quem é iniciante (como eu rs) e ainda tem algumas dificuldades, esse artigo esclarece bem a ideia do IPTables
valeu

[2] Comentário enviado por grandmaster em 01/08/2008 - 09:53h

Legal o artigo para quem está começando a lidar com o Iptables.

---
Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br


[3] Comentário enviado por thifachini em 01/08/2008 - 10:11h

muito bom seu artigo, mas a tabela MANGLE não é apenas isso que falaste, com ela também é possivel realizar marcação de pacotes, tanto para roteamento (iptables/iproute) quanto setar classe para trabalhar com o QoS (HTB, e outros) e ela trabalha em todas as CHAINS das tabelas NAT e FILTER (PREROUTING, INPUT, FORWARD, OUTPUT e PROSTROUTING), e deve ter mais outras possibilidades.

att,

Thiago Fachini

[4] Comentário enviado por tpjunior em 01/08/2008 - 10:21h

Muito bom, parabéns.

[5] Comentário enviado por der.aguiar em 01/08/2008 - 15:02h

Ficou bom o artigo com explicações.... muito bom....

parabéns

[6] Comentário enviado por removido em 05/09/2008 - 17:45h

Fala pessoal do VOL, eu estou com um problema, eu tenho um Server rodando Ubuntu 8.04 Server Edition, e eu preciso fazer ele liberar as portas 25, 110.

Eu já li um monte de Tutoriais, mas não estou conseguindo.

Obrigado.

[7] Comentário enviado por der.aguiar em 06/09/2008 - 11:12h

Aqui vc esta dando acesso tanto interno como externo.... blz
vc não explicou qual do dois gostaria
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT


Anderson Aguiar
der.aguiar@itelefonica.com.br

[8] Comentário enviado por apileofshit em 27/01/2009 - 20:32h

obrigado!

[9] Comentário enviado por removido em 12/02/2009 - 11:56h

iptables -A INPUT -p tcp --dport 3128 -j ACCEPT #libera DNS

NÃO SERIA PORTA 53? SÓ PRA CONSTAR... MAS NÃO COMPROMETE O ARTIGO. EXCELENTE. SIMPLES, E DIDÁTICO! PARABENS!!

[10] Comentário enviado por cristyangiovane em 12/02/2009 - 15:52h

Desculpa o erro ai.

A porta é a 53.
Copiei a linha anterior do squid e esqueci de alterar.


[11] Comentário enviado por jovander em 13/04/2009 - 20:38h

Parabéns pelo artigo, sou novo no forum e no linux, gostei muito dos exemplos, e com essas dicas que agente começa a aprender.....obrigado.

[12] Comentário enviado por vaini em 21/12/2009 - 21:20h

parabens pelo artigo, estou iniciando meus estudos de firewall, e este artigo me ajudou muito.
obrigado


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts