Segurança com Iptables
Artigo bem simples, com o objetivo de mostrar aos usuários Linux o que é iptables/firewall, suas características, algumas regras e como colocá-las para iniciar junto com o sistema.
Parte 2: Características do iptables
As características do iptables são:
- Especificação de portas/endereço de origem/destino;
- Suporte a protocolos TCP/UDP/ICMP (incluindo tipos de mensagens ICMP);
- Suporte a interfaces de origem/destino de pacotes;
- Manipula serviços de proxy na rede;
- Tratamento de tráfego dividido em chains (para melhor controle do tráfego que entra/sai da máquina e tráfego redirecionado);
- Permite um número ilimitado de regras por chain;
- Muito rápido, estável e seguro;
- Possui mecanismos internos para rejeitar automaticamente pacotes duvidosos ou mal formados;
- Suporte a módulos externos para expansão das funcionalidades padrões oferecidas pelo código de firewall;
- Suporte completo a roteamento de pacotes, tratadas em uma área diferente de tráfegos padrões;
- Suporte a especificação de tipo de serviço para priorizar o tráfego de determinados tipos de pacotes;
- Permite especificar exceções para as regras ou parte das regras;
- Suporte a detecção de fragmentos;
- Permite enviar alertas personalizados ao syslog sobre o tráfego aceito/bloqueado;
- Redirecionamento de portas;
- Masquerading;
- Suporte a SNAT (modificação do endereço de origem das máquinas para um único IP ou faixa de IPs);
- Suporte a DNAT (modificação do endereço de destino das máquinas para um único IP ou fixa de IPs);
- Contagem de pacotes que atravessaram uma interface/regra;
- Limitação de passagem de pacotes/conferência de regra (muito útil para criar proteções contra syn flood, ping flood, DoS, etc);
# Permite repassamento (NAT,DNAT,SNAT) de pacotes estabilizados e os relatados:
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
O correto seria:
==========
# Permite repasse (NAT,DNAT,SNAT) de pacotes com o estado e de estabelecidos e relacionados:
Só isso
t+