Curso iptables [RESOLVIDO]

rodrigom
(usa Debian)

Enviado em 31/10/2010 - 12:17h

Bom dia pessoal, estou estudando sobre iptables faz um bom tempo, porem algumas duvidas básicas surgem e impedem ou deixam em dúvida o conhecimento mais avançado, tenho material, livros, inclusive videos sobre FW/IPTABLES, porem sempre fica aquela "duvidasinha", com faculdade e trampo todo dia fica complicado sair fazer um curso fora, até pq o mais próximo da uns 500km da minha cidade.
Visto tudo isso, alguém conhece algum curso on-line, ou que tenha uma previsão para começar, ou se alguém ai se disponha a tirar essas duvidas, usando uma webcam ou algo assim?
(claro que nada de graça :) ).


Muito obrigado, abraço.

rodrigom
(usa Debian)

Enviado em 31/10/2010 - 12:34h

Vc ai novamente, sempre disposto :)

Se eu tenho um FW com as politicas DROP e algumas maquinas atras, na rede interna, quero liberar o diferentes acessos a elas para sairem para a internet, (supondo que ja tenha mascarado as conexoes, habilitado NAT etc) eu uso o FORWARD somente na tabela filter (já que ela só vai passar pelo FW?

tlaloc
(usa Gentoo)

Enviado em 31/10/2010 - 13:01h

É, sempre eu. =)

Rodrigo, é o seguinte: qual regra tu vai criar depende do ambiente.

Vamos ambientar desta maneira, para questão de estudo:

Firewall = um servidor com 2 placas de rede, eth0 e eth1
o firewall recebe conexão pela eth0 e compartilha pela eth1 para um switch de 48 portas que vai fornecer 48 conexões de rede, sendo 44 para computadores (quatro salas de 11 micros) e 4 impressoras de rede.

Neste firewall você terá de trabalhar todas as regras de permissão de rede (se pode acessar HTTP, POP e SMTP e etc) com a tabela filter nas políticas INPUT e OUTPUT. Mas você vai trabalhar estas regras na eth1, que é a interface da rede interna.
Por quê?
Porque o seu firewall não precisa de acesso a internet, POP e SMTP. Ele só precisa saber que conexões saindo dele e voltando para ele estão liberadas e mais nada. =)

Logo, você faz suas regras de permissão na eth1. Mas Tlaloc, minha rede interna não tá acessando a rede externa, como eu arrumo?
Simples, pequeno gafanhoto, você cria uma regra na tabela filter, política FORWARD, empurrando todo o tráfego da eth1 para a eth0.
Assim, quando alguém da rede interna mandar um pacote que bater na eth1 do firewall, este pacote será redirecionado para a eth0 e a eth0 poderá mandar o pacote para a rede externa.

Consegui tirar tua dúvida?

rodrigom
(usa Debian)

Enviado em 31/10/2010 - 13:52h

Então, INPUT e OUTPUT (na tabela filter), são somente quando o acesso é a maquina FW em específico, sempre quando passar por ela será tratado com um FORWARD ?

tlaloc
(usa Gentoo)

Enviado em 31/10/2010 - 14:22h

Não foi isso que eu quis dizer. :P

Vamos a definição de INPUT, OUTPUT e FORWARD.

INPUT: quando se trata um pacote que entra por uma interface do firewall
OUTPUT: quando se trata um pacote que sai por uma interface do firewall
FORWARD quando se trata um pacote que entra por uma interface do firewall e saí por outra

Vamos exemplificar:

INPUT:

O firewall recebe um pacote TCP vindo pela eth0 e aceita o pacote.
iptables -I INPUT -p tcp -i eth0 -j ACCEPT
-I: adiciona a regra. Deve ser usado quando a política padrão da chain é DROP. Quando é ACCEPT, usa-se -A
-p: especifica protocolo
-i: --in-interface, ou na interface, especifica interface de rede de entrada do pacote.
-j: --jump, define o que acontece com o pacote.

OUTPUT:

O firewall precisa ser atualizado via HTTP.
iptables -I OUTPUT -p tcp -o eth0 -j ACCEPT
-o: --out-interface, ou da interface, especifica interface de rede de saída do pacote.

FORWARD:

O firewall recebe pacotes vindos da rede interna que devem ser repassados a rede externa.

iptables -I FORWARD -i eth1 -o eth0 -j ACCEPT

Se tu ainda assim não entender, tenho uma coisa que vai te fazer entender bem fácil. Um desenho que fiz uma vez para explicar a mesma coisa para um "aluno". Deu certo. (Y)

rodrigom
(usa Debian)

Enviado em 31/10/2010 - 14:41h

Entendi, mas sempre que tiver que fazer um FORWARD, precisa ter um INPUT ou um OUTPUT antes do FORWARD ?

tlaloc
(usa Gentoo)

Enviado em 31/10/2010 - 14:48h

Não precisa ter.
Veja por exemplo na situação em que você quer redirecionar todo o tráfego da porta 80 para a porta 3128, que é a porta do proxy.
Você não precisa necessariamente de um INPUT ou OUTPUT em qualquer canto, só um FORWARD da porta 80 para a 3128.
Porém, para que de fato teus micros tenham internet, você vai precisar permitir um INPUT e OUTPUT para a rede externa, seguindo algumas regras. ;)

Ó o desenho:

http://img833.imageshack.us/img833/8647/moto0231.jpg

rodrigom
(usa Debian)

Enviado em 31/10/2010 - 15:16h

Isso ai teacher show de explicações..

Outra dúvida, se eu usar o comando iptables -t filter -nvL eles mostra quantos pacotes "tentaram" sair pelas correntes, mas as conexões não aconteceram, então digamos que se eu tentei fazer uma conexão que usar a tabela filter/OUTPUT ai usei o comando iptables -t filter -nvL e os pacotes alterados foram da FORWARD, isso quer dizer que devo tratar a FORWARD e não a OUTPUT?

tlaloc
(usa Gentoo)

Enviado em 31/10/2010 - 15:36h

Não entendi esta tua dúvida.

Isso aí só vai mostrar as regras que estão em execução, não pacotes que trafegam por onde e para onde.
Diz aí o que você deseja fazer e como está tentando fazer.

rodrigom
(usa Debian)

Enviado em 31/10/2010 - 16:02h

Certo, ele mostra as regras, mas se vc usar esse comando, na tabela filter por exemplo e navegar um pouco na internet e executar o comando novamente, verá que os pacotes alteraram, certo? esses pacotes nao são os que entraram ou sairam ou tentaram sair ou entrar ?

tlaloc
(usa Gentoo)

Enviado em 31/10/2010 - 16:06h

O que este comando faz é mostrar quantos pacotes foram tratados por cada regra e quantos bytes/kbytes/Mbytes foram computados por cada regra.

Mesmo você não navegando, você faz transferências, ok?
Por exemplo, se você tem uma página da internet como o VOL aberta, você trafega alguns pacotes enquanto os banners da direita da página mudam.

Seu MSN também trafega pacotes, mesmo quando não está conversando, para monitorar o estado dos seus contatos.