Professional Documents
Culture Documents
$ Whoami
Wairisson M. Gomes
Ps-Graduado em Redes de Computadores Graduado em Tecnologia em Redes de Computadores Cisco Certified Network Associate - CCNA Linux Professional Institute Certified 1 LPIC1 Novell Certified Linux Administrator - NCLA ITIL v3 Foundation Certified
Redes de computadores
uma coleo de dispositivos interconectados por gateways
Redes de computadores
Componentes da comunicao
receptor
transmissor
Bl bl bl mensagem
Redes de computadores
Componentes da comunicao
IMPORTANTE!!!! Nas redes de computadores as informaes so fragmentadas em pedaos geralmente chamados de pacotes e sempre tem um endereo de ORIGEM e DESTINO
Redes de computadores
Modelo OSI x Modelo TCP/IP
Portas e Conexes
Os servios/protocolos rodam escutando em suas portas especficas
134.88.2.1 200.0.0.1
SOCKET: 44334
SOCKET: 80
Portas e protocolos
Um firewall pode atuar controlando o fluxo com base nas portas para identificao dos protocolos e aplicaes
Lista de protocolos/portas
Pacote IP
Contedo
Segmento TCP
Contedo
As informaes mais relevantes neste momento so: Porta de origem Porta de destino Flags de estado
Mini Curso Firewall Linux Wairisson Gomes
Segmento UDP
Contedo
As informaes mais relevantes neste momento so: Porta de origem Porta de destino Flags de estado
Mini Curso Firewall Linux Wairisson Gomes
Estados da conexo
Endereamento de rede
Roteamento IP
Endereamento de rede
Classe Faixa 1 Oct Numero de rede vlidas Nmeros total para esta classe 27 2 = 126 214 = 16.384 221 = 2.097,152 Nmero de hosts por rede 224 2 = 16.777,214 216 - 2 = 65.534 28 - 2 = 254
A B C
Endereamento de rede
O endereo IP sempre vem acompanhado da mscara de sub rede.
Classe A B C Parte da rede 8 16 24 Parte do host 24 16 8 Mk Padro 255.0.0.0 255.255.0.0 255.255.255.0
Endereamento de rede
O endereo IP sempre vem acompanhado da mscara de sub rede.
IP MK
IP MK IP MK
21 255
130 255 200 255
73 0
92 255 4 255
42 0
34 0 8 255
2 0
45 0 9 0
Endereamento de rede
Os endereos privados nunca sero atribudos
pela ICANN a nenhuma entidade Os roteadores da internet so configurados para descartar Os endereos definidos pela RFC 1918
Rede IP privadas
10.0.0.0 172.16.0.0 172.31.0.0 192.168.0.0 192.168.255.0
Classes de redes
A B C
Nmero de redes
1 16 256
cenrio
Firewall
um componente ou um conjunto de
componentes que restrigem o acesso entre uma rede protegida e a Internet, ou entre redes protegidas e Internet como um todo.
Firewall pessoal
Firewall de permetro
Estrutura do Iptables
Tabelas Cadeias
Sintaxe do Iptables
iptables -t [tabela] <ordem> <chain> [condies] -j <ao>
Tabelas Filter - Regras relacionadas a um firewall filtro de pacotes Nat - Regras relacionadas a um firewall filtro NAT Mangle Implementa alteraes em nveis mais complexo
Sintaxe do Iptables
iptables -t [tabela] <comando> <chain> [condies] -j <ao>
Comando
- A : adiciona regras a uma ao final de uma cadeia - I : insere regras no inicio de uma cadeia -D : deleta regras de uma cadeia - F : remove todas as regras de uma cadeia - R : Substitui uma regra - N : cria nova cadeia - X : deleta cadeia - E : renomeia uma cadeia
Mini Curso Firewall Linux Wairisson Gomes
Sintaxe do Iptables
iptables -t [tabela] <ordem> <chain> [condies] -j <ao>
Cadeias Filter : INPUT, OUTPUT e FORWARD Nat: PREROUTING, OUTPUT e POSTROUTING Mangle : INPUT, OUTPUT, FORWARD, PREROUTING, e
POSTROUTING
Sintaxe do Iptables
iptables -t [tabela] <ordem> <chain> [condies] -j <ao>
Condies
-p : especifica o protocolo (ex: -p icmp) -i : especifica uma interface de entrada (ex: -i eth0) -o : especifica uma interface de saida (ex: -o eth0) -s : especifica um endereo/rede de origem (ex: -s 10.0.0.1 ou 10.0.0.0/8) -d : especifica um endereo/rede de destino (ex: -d 10.0.0.1 ou 10.0.0.0/8) ! : especifica uma excluso (ex: -d ! 10.0.0.1 ou ! 10.0.0.0/8)
Mini Curso Firewall Linux Wairisson Gomes
Sintaxe do Iptables
iptables -t [tabela] <ordem> <chain> [condies] -j <ao>
Condies
-j : especifica um alvo (ex: -j ACCEPT) -sport : especifica porta de origem (ex: -p tcp --sport 80) -dport : especifica porta de destino (ex: -p udp --dport 53)
Sintaxe do Iptables
iptables -t [tabela] <ordem> <chain> [condies] -j <ao>
Ao
ACCEPT : aceita ou permite a passagem de um pacote DROP : descarta um pacote ou impede sua passagem REJECT : descarta/impede a passagem de um pacote retornando uma mensagem LOG: registra a passagem do pacote em /var/log/messages SNAT: altera o endereo de origem do pacote DNAT: altera o endereo de destino do pacote REDIRECT: faz o redirecionamento de portas
Mini Curso Firewall Linux Wairisson Gomes
12 - Liberar o ping a partir da rede local para internet # ida lan > internet iptables -t filter -A FORWARD -p icmp -s 192.168.0.0/24 -j ACCEPT # volta internet > lan iptables -t filter -A FORWARD -p icmp -m state -state ESTABLISHED,RELATED -j ACCEPT
Mini Curso Firewall Linux Wairisson Gomes
Request 200.100.10.1:3389
request 192.168.0.2:3389
reply 200.100.10.1:3389
reply 192.168.0.2:3389
Ativando no boot
# adicionar a linha abaixo no arquivo /etc/network/interfaces
pre-up iptables-restore < /home/aluno/firewall.save
Referncias
FILHO, Mota. Eriberto. Firewall com iptables. Disponvel em: <http://eriberto.pro.br/iptables/3.html> acesso em: 23 set 12 NETO, Urubatan. Dominando Linux Firewall Iptables. 2004, Ciencia Moderna. MENDES, Wagner. Firewall no Linux Curso On line. Disponvel em: < http://www.devmedia.com.br/curso/firewall-no-linux/121 > acesso em: 23 set 12