Académique Documents
Professionnel Documents
Culture Documents
DOMINANDO
Sumrio
Prefcio
Consideraes
iniciais
111
Agradecimentos
VII
1.1
1.5
3
9
11
11
13
2
2.1
2.2
2.3
2.4
Firewalls
Fluxo do
A Tabela
A Tabela
A Tabela
15
19
20
20
21
1.2
1.3
1.4
3
3.1
3.2
em Linux
Kernel VS. Netfilter...
Filter
Nat
Mangle
Firewall Iptables
Conceitos
Sntese e Lgica
3.2.1 - Tabelas
3.2.2 - Comando
3.2.3 - Ao
3.2.4 - Alvo
3.3 - Sntese Didtica
.
.
.
.
.
.
.
.
23
25
27
31
31
35
37
39
4
4.1
4.2
4.3
5
5.1
5.2
5.3
5.4
6
6.1
6.2
6.3
6.4
6.5
6.5
7
7.1
8
8.1
DOMINANDO
LINUX
FIREWALL
!PTABLES
Detalhando NAT
SNAT
DNAT
Transparent Proxy
Detalhando Mangle
Conceitos de TOS
Aplicando o TOS
Regras de TOS
5.3.1 - Trfego de Sada
5.3.2 - Trfego de Entrada
Concluses
.
.
.
.
.
.
:
Mdulos
limit
state
mac
multiport
string
owner
.
.
.
.
.
.
.
.
.
47
49
50
53
55
57
59
60
60
61
61
63
ANALISE
CONCEITUAL
DE
66
72
.
.
.
73
73
74
FIREWALLS
\~
~~)
76
79
81
Sobre
Aspectos de Instalao
95
97
(~
I tl.l
,.I;
'-,:
l,~'~
1
I~
u
~
1.1
Urubatan
DOMINANDO
LINUX FIREWALL
Neto
!PTABLES
observe que o nmero de empresas que divulgaram ter sofrido ataques e invases segundo a pesquisa nacional subiu de
43%, em 2002, para 77%, em 2003.
De fato, quanto mais empresas se unem grande rede, maior
"valor" ela passa a ter, logo, maiores sero as chances de algum pensar em utilizar um computador para tirar proveito de
todo este montante de "valor" agregado.
Existe uma frase que diz tudo: "Quanto mais tempo voc passa conectado a Internet, maiores so as chances de voc ser
invadido!"
Continuemos ento pensando no lado corporativo da histria,
as empresas, pois estas passam 24 horas por dia conectadas
a rede mundial, logo, sem sombra de dvidas, encabeam a
lista dos mais vulnerveis. Junte esta hiptese ao valor agregado das informaes de grandes companhias. Que valor?
Em Julho de 2003, O cracker do Casaquisto Oleg Zezev, 29
anos, foi condenado a passar quase 5 anos na cadeia por ter
invadido o site da Bloomberg. O cracker em questo, aps invadir tais sistemas, fez uma chantagem com o presidente da
empresa, o Sr. Michael Bloomberg, afirmando que, se o mesmo no lhe pagasse 200 mil dlares, veria as informaes confidenciais de sua empresa divulgadas na Internet e na mdia ...
Logo voc pensa: "ah, mas isso foi no Casaquisto ou EUA,
aqui no Brasil no acontece esse tipo de coisa. No possumos este tipo de conhecimento!"
Rio de Janeiro acusado de clonar sites de instituies bancrias do Brasil e do exterior e aplicar golpes em correntistas
pela Internet. Entre os bancos clonados estavam o Bradesco,
a Caixa Econmica Federal e o Banco do Brasil, alm de demais bancos internacionais. O cracker j havia sido preso em
2002 por possuir dados de cartes de crditos de 3.500 clientes das operadoras Mastercard e American Express.
Tambm em 2003 e no mesmo Rio de Janeiro, Ricardo Braz
Damasco fora acusado de fazer compras em lojas virtuais tais
como Lojas Americanas e Ponto Frio com nmeros de carto
de crdito de outras pessoas.
_Vamos ento reformular a colocao: "ah, mas isso foi no
Casaquisto ou EUA, e aqui no Brasil achamos que no acontece esse tipo de coisa por falta de meios de comunicao
que nos mantenham informados sobre os mesmos! Nossas
empresas no possuem este tipo de conhecimento e cultura.
Elas precisam ser invadidas pelo menos uma vez para entenderem que a Internet no e jamais ser segura!"
A pergunta agora : Quanto vale as informaes de sua empresa? Obviamente possuem a seu ver um valor incalculvel,
no mesmo? Este o medo que todas as grandes companhias, sejam elas internacionais ou nacionais, possuem, ou
seja, hingum gosta de ser espionado, invadido, roubado e
extorquido ..
Sim senhores, possumos, e muito! Nossos crackers, por incrvel que parea, so considerados uns dos melhores do
mundo ... Ou voc nunca ouviu falar em cls como cyberlords,
por exemplo?
Este o retrato fiel da Internet. Uma imensa rede descentralizada e no gerenciada, rodando sob uma su te de protocolos
denominada IPV4, que literalmente no foi projetada para assegurar a integridade das informaes e realizar controles de
acesso mais aprimorados, se tornando ento, uma das grandes responsveis pelas invases bem sucedidas!
DOMINANDO
Ur ub at an Neto
Pensemos primeiramente que, embora existam diversas formas de se violar uma rede, apenas uma pequena parte destas possui algum tipo de engenhosidade, e que, mesmo estas, nada mais fazem do que se aproveitar de pequenas falhas em servios de rede e protocolos. Mas o que o Firewall
poder fazer por tais protocolos e servios?
Realmente, pensando por este ponto de vista, pouco ser a utilidade de um Firewall, pois o mesmo no pode corrigir os erros
existentes em servios e protocolos; mas, que tal disponibilizar
todo o tipo de servio que se queira e limitar seu uso apenas a
redes autorizadas ou a certos hosts confiveis? A a perspectiva
comea a melhorar, dito que se preciso utilizar servios NFS para
minha rede interna, no necessariamente preciso disponibilizaIa a todos na Internet. E quem far esta separao? Quem ser
o responsvel por bloquear a passagem de conexes desconhecidas e no autorizadas em minha rede? Sim senhores, esta
uma das utilidades de um Firewall, que no fica restrito a tal.
Um Firewall atuando como o que conhecemos por ponto de
induo, ou seja, sendo o nico computador diretamente conectado a Internet, poder de forma segura levar servios de
inter-conectividade
a sua rede local. J sem um Firewall
intermediando esta comunicao, cada hosts de sua LAN seria o responsvel por sua prpria segurana, e, a menos que
todos os seus usurios sejam especialistas em segurana da
informao, esta no e uma boa idia!
Existem, porm, objetivos no diretamente ligados a Firewalls
que, por desconhecimento de alguns, acabam sendo agregadas ao mesmo. Todos tendem a ampliar a expresso "integridade dos dados" fazendo com que acreditemos que Firewalls
podero, por exemplo, evitar que os hosts de nossa rede sejam infectados por vrus.
Primeiramente, note que a maioria das contaminaes, seja
por simples vrus que apagam informaes de seu HD ou com-
o mximo
I"
I
ll r u b a t a n Neto
Mas, se voc passou pela triagem acima e realmente pretende adquirir conhecimento suficiente para criar solues de
Firewalls baseadas em Iptables, tenha em mente que parte
dos nmeros, agregados pesquisa anual de segurana da
informao e s demais pesquisas do gnero, estar diretamente ligada sua atuao como profissional, pois elas relatam, to somente, o despreparo ou preparo eficiente de ferramentas de segurana.
O que noto nestas pesquisas e nos nmeros agregados a elas
no o fato de que os crackers esto ficando cada vez melhores
e mais espertos, ou que a Internet est cada vez mais insegura.
Observo apenas que nossas empresas conectam-se a Internet
sem qualquer tipo de preparo especfico para este nvel.
Logo, se voc esta lendo este livro porque esta cultura, de
certa forma, comea a se modificar, ou seja, teremos, por via
do Sr.Leitor, menos uma empresa potencialmente vulnervel
a invases (modstia a parte)!
i ~
Enfim, para que venhamos a criar Firewalls, ~ necessrio primeiramente que estejamos por dentro dos aspectos tcnicos
bsicos que envolvem segurana a sistemas e redes. Afinal
de contas, como proteger um servio sem sequer saber se o
mesmo ou no confivel? Que porta devo fechar, se sequer
sei para que serve a 80? Como liberar apenas o que realmente seguro e esperar filtrar palavras chaves em pacotes de
conexes sem nunca ter analisado um por via de um sniffer?
E lembre-se que, nada evitar que tentativas de invases continuem a existir mas, o que definir se estas sero bem sucedidas ou no ser o conhecimento embutido em seu Firewall e
demais ferramentas de segurana. Tudo criado e gerenciado
unicamente por voc. Se a invaso acontecer voc ser o nico
responsvel por ela (Sentiu a presso que envolve a profisso?).
Ainda continua a ler com ateno este livro? Ento voc sabe
realmente o que quer ... Prepare-se para noites mal dormidas
e bem vindo ao mundo da Segurana da Informao!
1.2 - Histrico
Como introduo, podemos afirmar que Firewall um programa que detm autonomia concedida pelo prprio sistema para
i'
I
I,
!:
Urubatan
10
11
Neto
o
I'~
lncia.
.ZtU
Urubatan
12
DOMINANDO
Neto
13
Eth1: 192.153.22.55
Host "Ali
10.0.3.2
INTERNET
o Linux, as funes de Firewall so agregadas prpria arquitetura do Kernel, isso o torna, sem dvida,
muito superior em relao a seus concorrentes. Enquanto a maioria dos "produtos" Firewall pode ser definida como
sub-sistema, o Linux possui a capacidade de transformar o
Firewall no prprio.
Tudo o que chega ou sai de um host processado por seu
Kernel, independente de sistema operacional. O que o Linux
faz de diferente agregar, via Netfilter (software este tnicialmente acoplado ao sistema) funes de controle de fluxo interno em termos de Firewall.
Para compreendermos melhor importante que tenhamos em
mente que o Kernel, possuindo a funo bvia de ncleo do
sistema, deve estar ciente de tudo o que entra e sai de sua
estrutura, tudo o que lido e executado, tudo o que apagado
ou escrito, redirecionado ou encaminhado, ou seja, tudo o que
acontece em seu sistema, independentemente da camada em
questo dever faz-Io mediante a autorizao de execuo e
monitoramento do prprio Kernel.
Sim, sabemos ento que o Kernel, no nvel operacional, deve
estar ciente de tudo o que se passa no sistema, pois sem isso
no h nenhum tipo de controle, como o gerenciamento de
18
Urubatan
Neto
19
~J
:-
C..
c
O"
"I
'O
~
li
20
DOMINANDO
-+
~ OUTPUT
-+ Tudo o que sai do host
IlIill
Urubatan
}>
}>
}>
Neto
21
PREROUTING
-+ Utilizada quando h necessidade de se fazer alteraes
em pacotes antes que os mesmos sejam roteados
OUTPUT
-+ Trata os pacotes emitidos pelo host Firewall
POSTROUTING
-+ Utilizado quando h necessidade de se fazer alteraes
em pacotes aps o tratamento de roteamento
22
FIREWALL
IPTABLES
- IPFWADM
- IPCHAINS
- IPTABLES
Obviamente,
a cada nova verso
melhorias
implementadas tal como possveis falhas corrigidas.
foram
"O pensamento uma idia em trnsito. "(Pitgoras)
3.1
Conceitos
Iptables, conforme sugerido anteriormente, trata-se, na verdade, de uma ferramenta de Front-End para lhe permitir manipular as tabelas do Netfilter, embora o mesmo seja constantemente confundido com um Firewall por si s.
Ele uma verso mais robusta, completa e to estvel quanto
seus antecessores IPFWADM e IPCHAINS, implementados
nos Kernels 2.0 e 2.2 respectivamente.
O Iptables foi concebido por Rusty Russell (que por sinal tambm participou do projeto de desenvolvimento do Netfilter) em
colaborao com Michel Neuling e incorporado a verso 2.4
do Kernel em julho de 1999. O mesmo compe a quarta gerao de sistemas Firewalls no Linux.
Como principais caractersticas, o Iptables (alm de realizar
suas tarefas de forma veloz, segura, eficaz e econmica, tanto no aspecto financeiro quanto no de requerimento
de
hardware) nos d um amplo leque de possibilidades tais como
a implementao desde filtros de pacotes utilizando a tabela
Filter a NAT via tabela NAT e mais controles avanados como
o desenvolvimento de aos sobre o trfego, suporte a SNAT E
DNAT, redirecionamento
de endereamento
e portas,
mascaramento
de conexes, deteco de fragmentos,
monitoramento de trfego, TOS, bloqueio a ataques Spoofing,
Urubatan
26
Ne t o
27
Syn-Flood, DOS, scanners ocultos, pings da morte entre muitos outros. E, se j no fosse o suficiente, ainda temos a opo de utilizar mdulos externos na composio de regras, o
que amplia ainda mais as funcionalidades do mesmo
funcionar.
Mdulos externos podem ser invocados via flag -m tal como -match. Ex:
[root@johann /1# iptables -A INPUT -m string --string
"X-Kazza" -j DROP
Quando se fala de requerimento de hardware, o Iptables
bastante generoso, necessitando apenas de um computador
sobre a arquitetura 386 com aproximadamente 4 MB, e claro, de um kernel 2.4 ou superior. Sim, este o bsico do bsico. lgico que um pouco mais de memria e processamento
s tendem a melhorar o desempenho do software tal como do
prprio sistema.
A princpio, o Iptables composto pelos seguintes aplicativos:
~ iptables
-+ Aplicativo principal do pacote iptables para protocolos
ipv4
~ ip6tables
-+ Aplicativo principal do pacote iptables para protocolos
ipv6
~ iptables-save
-+ Aplicativo que salva todas as regras inseridas na sesso ativa e ainda em memria em um determinado arquivo informado pelo administrador do Firewall.
~ Iptables-restore
-+ Aplicativo que restaura todas as regras salvas pelo
software iptables-save.
Os Softwares Iptables e Netfilter possuem sua poltica de direitos e distribuio sob as regras do GNU conforme publicado pela Free Software Foundation (FSF).
rmmod ipchains
Agora liste os mdulos ativos em seu sistema utilizando o comando "Ismod" (Iistagem dos mdulos do Kernel). A seguir
uma listagem fornecida por meu computador que no necessariamente dever ser igual ao seu:
28
DOMINANDO
LINUX FIREWALL
!PTABLES
Urubatan
Size
2880
4384
25568
55620
3460
20708
Used
1
1
1
1
2
O
by
(autoclean)
(autoclean)
(autoclean)
(autoclean)
(autoclean)
(unused)
Note que o mdulo do Ipchains no consta mais em seu sistema, devemos ento "levantar" o mdulo do Iptables, para isso
basta utiliza-Io uma vez ou digitar o comando a seguir:
[root@johann /l# insmod ip_tables
Using /lib/modules/2.4.18-2cl/kernel/net/ipv4/
netfilter/ip_tables.o
Por estar incorporado diretamente ao Kernel, a configurao
do Iptables no se d por via de arquivos de configurao, ao
contrrio, sua manipulao realizada por sntese digitada
em shell.
Quando inserimos uma regra na shell, ela estar valendo to
somente para aquela sesso "pendurada" em memria, sendo
que uma vez resetado ou desligado o computador Firewall, tais
regras sero perdidas e no mais podero serem resgatadas.
Para compreendermos melhor este conceito estudemos a forma de comportamento de um roteador CISCO com relao
ao arquivamento de suas configuraes:
Quando configuramos o IOS (Interface do Sistema Operacional CISCO) de um roteador CISCO em um determinado
momento, tudo o que estamos a configurar salvo to somente na memria Ram, ou simplesmente um processo conhecido como running-config (a configurao que est rodando
na mquina naquele momento).
Neto
29
Para que tal configurao, at ento salva apenas na memria Ram, seja arquivada para um disco, por exemplo, devemos copi-Ia para o que conhecemos como startup-config (configurao de inicializao).
Para salvar o que fora configurado neste momento e que ainda reside na memria Ram, precisamos utilizar o seguinte
comando (em um roteador CISCO):
Router# copy running-config startup-config
Isso quer dizer, antes de mais nada, que se voc configura um
roteador durante horas e no fim esquece de salvar o que fez
na statup-config, voc estar condenado a perder tudo mediante a um reboot operacional; afinal, no podemos nos esquecer que a memria Ram voltil, e que se esvazia a cada
nova inicializao do dispositivo. Em compensao, se voc
fizer algo de errado durante uma configurao basta no salvar nada e reiniciar o sistema!!
o Iptables
funciona de forma similar citada acima. No momento em que realizamos alguma implementao em nosso
Firewall utilizando o mesmo, ele estar apenas salvando nossas configuraes na Ram do dispositivo.
30
DOMINANDO
Urubatan
Neto
31
[alvo)
3.2.1 - Tabelas
3.2.2 - Comando
-A - Adiciona (anexa) uma nova entrada ao fim da lista de
regras;
32
DOMINANDO
LINUX FIREWALL
[PTABLES
U r u b a ta n N e to
33
32
DOMINANDO
LINUX FIREWALL
IPTABLES
[root@johann /J#
iptables -A INPUT
-o -
iptables -D INPUT
[root@johann /J#
iptables -D FORWARD 2
Ur u ba t a n Neto
[root@johann /J#
33
iptables -L FORWARD
iptables -F
34
DOMINANDO
LINUX FIREWALL
Urubatan
!PTABLES
Mas para que devemos criar uma nova chains? As que temos
em nossas tabelas no nos atendem? Logicamente que sim,
as chains que contam em nossas tabelas so suficientes para
atender a nossas necessidades.
A necessidade de se criar uma nova chain surge apenas para
tornar a organizao de seu Firewall mais simples. Digamos
que seu Firewall tem que gerenciar o trfego de sua LAN com
mais 5 WANs e ainda a Internet.
As regras inseridas seriam tantas que surgiria a necessidade
de se pegar chains como INPUT, por exemplo e dividi-Ias de
forma a facilitar sua administrao. Poderamos criar por exemplo as seguintes chains:
ENTRA_FILIAL 1
ENTRA FILIAL 2
ENTRA=FILlAL 3
ENTRA]ILlAL
ENTRA]ILlAL
INPUT
ENTRA_INTERNET 1
Neto
35
A verdade que a medida que seu fluxo aumenta, naturalmente voc sentir a necessidade de seccionar seu trfego
por via de chains criadas por voc mesmo.
Ao criar uma nova chain escolha um nome sugestivo de preferncia. O Iptables permite criar chains cujo nome contenham
at 31 caracteres sem espaos, tanto em letras minsculas
quanto MAISCULAS.
Criaremos agora uma nova chain denominada entnet, que tratar do trfego entrante da rede
Internet e far o mesmo trabalho da chain INPUT, porm,
direcionado apenas a este tipo especfico de trfego (o da
Internet);
[root@johann /l# iptables -t filter -N entnet
[root@johann /l# iptables -A INPUT -j entnet
# Primeiramente criamos a chain entnet e em segundo criamos
um salto da chain input para a chain entnet. Isso far com que
sua regra no s funcione de forma similar a INPUT chain
como tambm dir a seu Iptables para analisar a chain entnet
logo aps a chain INPUT.
-E - Renomeia uma nova chain (criada por voc)
[root@johann /l# iptables -e entnet ENTNET
# Renomeamos ento a chain entnet para ENTNET.
-X - Apaga uma chain criada pelo administrador do Firewall
[root@johann /l# iptables -x ENTNET
# apagamos ento a chain ENTNET criada anteriormente
3.2.3 - Ao
-p - Especifica o protocolo aplicado a regra. Pode ser qualquer valor numrico especificado no arquivo /etc/protocol
ou o prprio nome doprotocolo (tcp, icmp, udp, etc ...);
Ex. -p icmp
36
-i -
DOMINANDO
Urubatan
Podemos tambm especificar todas as interfaces "eth" de nosso host da seguinte forma:
Ex. -i eth+
-8
37
-j - Define o alvo (target) do pacote caso o mesmo se encaixe a uma regra. As principais aes so ACCEPT, DROP.
REJECT e LOG que sero citadas mais a frente.
---sport - Porta de origem (source port) , com esta regra
possvel aplicar filtros com base na porta de origem
do pacote. S pode ser aplicada a portas 'referentes aos protocolos UDP e TCP;
Ex. --p tcp -sport 80
# Refere-se a porta 80 do protocolo TCP
Ex. -o ethO
Neto
--dport
10.0.10.0/255.0.0.0
3.2.4 -
Alvo
Quando um pacote se adequa a uma regra previamente criada ele deve ser direcionado a um alvo e quem o especifica a
prpria regra. Os alvos (targets) aplicveis so:
Ex. -s www.gnu.org
ACCEPT
Corresponde a aceitar, ou seja, permite a entrada/passagem do pacote em questo.
DROP
Corresponde a descartar; um pacote que conduzido a este
alvo (target) e descartado imediatamente. O Target DROP
38
DOMINANDO
Ur u b at a n Neto
mesmos possuam
roteamento.
a opo
de escolher
39
ou no tal
REDIRECT
Realiza redirecionamento de portas em conjunto com a opo -to-port.
TOS
Prioriza a entrada e sada de pacotes baseado em seu "tipo
de servio", informao esta especificada no header do IPV4.
3.3 - Sntese
Didtica
Convenhamos que, mediante a enxurrada de opes de sntese citadas previamente e, a no ser que voc seja uma mquina (no sentido literal da palavra), torna-se um pouco complicado obter total entendimento e assimilao da composio lgica e prtica das regras do Iptables.
"?'
II
40
Ur u b a t a n Neto
41
MISSO 1
MISSO 2
Antes de comearmos interessante que listemos as regras anexadas a base do Iptables, desta forma tambm
podemos observar a poltica padro de nossas chains (que
provavelmente estaro setadas como ACCEPT por ser este o
padro inicial do iptables). Utilizaremos ento o comando
u_L" que nos fornece uma listagem dos registros de regras
do Iptables;
destination
destination
destination
MISSO 3
Vamos agora liberar totalmente o trafego de entrada de nossa
Interface de Loopback (10). Esta regra deve obrigatoriamente
fazer parte de seu script Firewall para permitir ento que a
comunicao entre processos seja possvel. Lembre-se, esta
regra no opcional!
[root@johann /l# iptab1es -A INPUT -i 10 -j ACCEPT
MISSO 4
Proibiremos ento que qualquer pacote oriundo de nossa LAN
10.0.30.0 possa direcionar-se ao site www.sexo.com.br. A sntese ento basicamente a seguinte:
[root@johann /l# iptab1es -A FORWARD
# Utilizamos o -A para inserir uma regra a tabela filter (padro)
sob a chain FORWARD
[root@johann /l# iptab1es -A FORWARD -s
10.0.30.0/8
42
U r u b a ta n N e t o
43
MISSO 6
Faremos agora com que os pacotes provenientes do Site
www.suaempresa.com penetrem livremente em nossa rede:
[root@johann /l# iptables -A FORWARD -s
www.suaempresa.com -d 10.0.30.0 -j ACCEPT
Note, ento, que especificamos -s como sua empresa pois ela
MISSO 5
Especificaremos agora que qualquer pacote oriundo do host
www.cracker.com no pode penetrar em nossa rede (10.0.30.0);
[root@johann/l# iptables -A FORWARD -s
www.cracker.com -d 10.0.30.0 -j DROP
# Utilizamos ento o -A para inserir uma regra a tabela filter
(padro) sob a chain FORWARO
[root@johann/l# iptables -A FORWARD -s
www.cracker.com
# Logo em seguida dizemos que todos os pacotes que forem
MISSO 7
Agora, todos os pacotes oriundos de qualquer rede que penetrem em nosso Firewall pela interface de rede eth2 sero
redirecionados para o computador 10.0.30.47. Observe que
nesta regra utilizamos a tabela NAT;
[root@johann /l# iptables -t nat -A PREROUTING -i eth2
-j DNAT -to 10.0.30.47
Note que agora utilizamos a tabela nat (-t nat) e sua chain
PREROUTING, que nada mais faz do que aplicar a regra antes do roteamento do pacote.
A ao -i por sua vez indica os pacotes que entram pela interface
eth2 e o -j indica o alvo a ser dado aos mesmos, que neste caso
trata-se do DNAT. Lembre-se de que o papel do alvo DNAT o
44
Urubatan
DOMINANDO
de alterar o endereo de destino das mquinas clientes. Falaremos mais sobre o DNAT e SNAT no decorrer deste livro.
45
MISSO 12
Listaremos agora a segunda regra associada as output chain
[root@johann
MISSO 8
eth2
Neto
1]# iptables
-t nat -A POSTROUTING
-o
1]# iptables
-1 OUTPUT
MISSO 13
Vamos ento
descartar
qualquer
pacote
oriundo
do IP
[root@johann
10.0.30.4
-A FORWARD
-s 10.0.80.32
-d
-j DROP
MISSO 14
Pacotes TCP destinados porta 80 de nosso host firewall devero ser descartados;
MISSO 9
Em nossa nona misso utilizaremos a tabela filter para rejeitar
(REJECT) pacotes entrantes pela interface de rede eth1;
[root@johann
1]# iptables
-A FORWARD
-i eth1
-j REJECT
.J
.:~
..
MISSO 15
Agora faremos com que pacotes destinados a porta 25 de
nosso host Firewall sejam arquivados em log (/var/log/
MISSO 10
Faremos agora com que pacotes que entram por qualquer
interface de rede com excesso da ethO sejam descartados;
[root@johann
[root@johann
1]# iptables
-A FORWARD
-i ! ethO
-j DROP
messages)
[root@johann
Note que diante de tal regra temos a possibilidade de, por exemplo, arquivar tal trfego em Log e logo depois descarta-I o con-
MISSO 11
Agora uma tarefa mais trivial, sim, e porque no? Vamos ento deletar a segunda regra inserida sobre a chain FORWARD;
[root@johann
[root@johann
Il # iptables
DROP
[root@johann
/1#
iptables
-D FORWARD
-A INPUT
-p tcp -dport
25 -j
"."'''
.tJ
4.1
SNAT
/lecho
"1" >/proc/sys/net/ipv4/ip_forward
50
DOMINANDO
Urubatan
-s
Il
[root@johann
10.0.3.0/8
iptables
-t nat -A POSTROUTING
-s
ip disponvel
192.111.22.33
192.11.22.66)
na faixa entre
a 192.11.22.66
(--to 192.111.22.33-
4.2 - DNAT
Outra funo agregada a um Firewall Nat o DNAT, ou "traduo de endere~amento de destin~'~i~nation
nat).
4~~
.(q~
4<:>, - .o~
'''1'~~~
't:-i).
51
Neto
O alvo (Target) DNAT lhe d a possibilidade de alterar os endereos/portas de destino dos pacotes que atravessam seu host
Firewall antes que os mesmos sejam roteados a seu destino
final. Com isso o DNAT nos possibilita o desenvolvimento de
proxys transparentes, balanceamento de carga, entre outros.
As regras do DNAT, ao contrrio do SNAT, utilizam-se to somente da chain PREROUTING. Logo, se DNAT que voc
vai fazer, PREROUTING que voc vai usar!
Nunca demais lembrar que, antes de iniciarmos a manipulao de qualquer regra que se utilize da tabela NAT, importante que habilitemos a funo de redirecionamento de pacotes (forward) em nosso kernel ou tais implementaes no funcionaro. Logo, conforme j fora visto anteriormente e repito,
nunca demais relembrar, habilitamos esta propriedade
(forward) de nosso Kernel atravs do seguinte comando:
[root@johann
Ilecho
\\1" >/proc/sys/net/ipv4/ip_forward
Il
iptables
-t nat -A PREROUTING
-s
52
DOMINANDO
LINUX FIREWALL
[root@johann
!PTABLES
/1 iptables
U r u b a ta n N e to
-t nat -A PREROUTING
-l
53
# Atribuimos ento a tabela nat (-t nat), uma regra sob a chain
PREROUTING.
# Atribuimos ento a tabela nat (-t nat), uma regra sob a chain
PREROUTING.
redirecionado ao host
192.11.22.10, e, independentemente
de quem o
192.11.22.10,192.11.22.11,192.11.22.12
192.11.22.10-192.11.22.13)
e 192.11.22.13 (--to
-i
4.3 - Transparent
Proxy
54
DOMINANDO
via target REDIRECT, esta uma vez utilizada caracteriza ento um modelo de Transparent Proxy.
Acompanhe os exemplos a seguir para uma melhor compreenso deste mtodo de NAT:
[root@johann
/liptables
-t nat -A PREROUTING
80 -j REDIRECT
--to-port
-i
3128
DETALHANDO
MANGLE
porta 80
redirecionado
5.1
Conceitos de TOS
I.,~
I
58
Urubatan
DOMINANDO
LINUX FIREWALL
Neto
59
!PTABLES
at ento, mas, se levarmos em conta que estes usurios possuem uma banda bastante estreita para se conectarem a
Internet, e que esta mesma banda ainda deve estar disponvel
para outros servios que exigem muito mais prioridade do que
"salas de bate papo", como consultas de clientes, fornecedores
e lojistas a nosso imenso banco de dados, por exemplo!
Uma das solues encontradas por mim e minha equipe neste
caso foi a implementao do TOS, tendo em vista que no gostaramos de privar nossos usurios de alguns momentos de lazer
na Internet aplicando regras "cruis" de bloqueio de trfego via
filtragem de pacotes ou controle de palavras chaves via Proxy.
No, este no era o nosso intuito. Experimente voc, em uma
grande rede, proibir seus usurios de enviar e-mails pessoais.
No demorar muito e estaro invadindo sua sala e ameaando voc de agresso, e, se isso no lhe intimidar, pense em
algo como paralisaes, abaixo-assinados e etc ... No faz bem
para a empresa iniciar uma espiral negativa interna ... Contorna-Ia alm de ser extremamente difcil exige muito tempo, um
tempo que ns desenvolvedores, tcnicos de suporte, programadores, gerentes de TI e CSO's no temos sobrando!
Exatamente por isso nossa inteno no era comprar uma
briga. O TOS nos possibilitou que o trfego "podre", que
como o chamamos internamente o pacote que no possui prioridade, continuasse existindo, ao contrrio disso, fizemos com
que o mesmo no mais atrapalhasse o trfego prioritrio simplesmente controlando sua prioridade.
Trfegos partindo de servios prioritrios (como ssh, por exemplo) deveriam ser processados primeiro do que o trfego de
"icq" ou "Kazaa". Na verdade o Kazaa foi o nico que realmente foi extinto de nossa rede por o vermos como uma ameaa
em potencial a contaminao por vrus de nossos computadores. No cr nisso? Acha o Kazaa muito legal? Na casa do
usurio pode at ser que ele seja legal, mas experimente bai-
xar um executvel via Kazaa em uma rede de 500 computadores e depois me conte o resultado!
5.2 - Aplicando
o TOS
Mn~a (Min~~Delay~
16 ou
Mximo Processamento (Maximize-Throughput)8 ou
~xima C~nf1!~a (MXImize-Rel~bility)
4 ou
Custo mnimo (Minimize-Cost)
2 ou
Prioridade~ormal (Normal-ServICl
O ou
Oxl0
Ox08
i4
Ox02
OxOO
60
DOMINANDO
Urubatan
61
Neto
iro sa-
Entendemos trfego de entrada como um conjunto de pacotes que entram por sua interface de rede, logo, no faz sentido, a exemplo das regras de trfego de sada do TOS utilizarmos a chain OUTPUT.
Para o tratamento deste trfego, o de entrada, utilizamos to
somente a chain PREROUTING, e claro, ao especificarmos
a interface, utilizamos a ao -i, o que indica pacotes entrantes
na mesma.
O exemplo a seguir dar prioridade mxima (espera mnima)
_ a pacotes que entrem em seu host/rede sob o protocolo SSH.
-l
5.4 - Concluses
Alm de ser uma excelente forma de controle de trfego, o
TOS tambm uma excelente maneira de compreendermos
62
DOMINANDO
LINUX FIREWALL
[PTABLES
melhor o termo "tratamento especial", que normalmente utilizado para especificar as funes da Tabela Mangle.
Os exemplos demonstrados so apenas uma pequena parte
do poder do TOS. O resto vir de sua necessidade
e
criatividade!
E lembre-se, um TOS jamais substitui um bom trabalho de
aos em sua rede, logo, nem pense em substituir o aos de
seu roteador por regras de TOS, pois estas no agregam qualidade ao trfego, e sim priorizao de forma "curta e grossa"
MDULOS
m mdulo nada mais do que uma forma de se ampliar a funcionalidade da ferramenta Iptables, ou seja,
uma forma de se fugir do convencional aplicando ento regras um pouco mais aprimoradas como por exemplo,
- que trabalhem sob anlise do corpo de um pacote, ou seja, do
contedo propriamente dito do mesmo.
Um mdulo para ser chamado precisa, antes de mais nada, ser
"anunciado"por via da opo -m moulo ou --match -erndulo
e que deve ser integrado sntese clssica do Iptables.
Alguns exemplos de mdulos so:
state
mac
_~
- .......
multiport
string
owner
--
---
--
---
66
DOMINANDO
Urubatan
6.1 - limit
o
til
Neto
67
:1.~1
70
DOMINANDO
U r u b a ta n N e to
for i in Iproc/sys/net/ipv4/conf/*/rp_filter;
echo 1 >$i
done
71
do
O limit tambm
> Iproc/sys/net/ipv4/tcp_syncookies
-N syn-flood
-A INPUT -i ethO -p tcp --A syn-flood -m limit
-j RETURN
-A syn-flood -j DROP
[root@johann Il# iptables -A FORWARD -p tcp --tcpflags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j
ACCEPT
Em uma regra sob limit, podemos especificar os seguintes intervalos de tempo:
s - Segundo
m - Minuto
h - Hora
d - Dia
72
6.2 - state
o mdulo
Ur ub a t a n Neto
73
J a regra acima bloqueia qualquer pacote cujo estado de conexo seja considerado invlido.
[root@johann /l#iptables -A INPUT -m state --state
ESTABLISHED,RELATED -j ACCEPT
Acima aceitamos qualquer pacote sob os estados ESTABLlSHEO
e RELATEO, ou seja, a pacotes que j estabeleceram uma conexo e pacotes no identificados mas que possuem alguma ligao indireta com outros pacotes identificados.
-+
Informa que o pacote pertence a uma conexo j existente, logo, trata-se de um pacote de resposta;
~ RELATED
-+ "Referente
-+
6.3 - mac
Conforme aprendemos em nossas leituras mais bsicas sobre arquitetura de redes, o mac (media access control) a
identificao de mais baixo nvel que um computador pode
ter, teoricamente inacessvel, pois trata-se do endereo embutido no hardware ainda pelo fabricante, para ser mais especfico, em seu(s) dispositivo(s) de rede.
O mdulo mac permite que seu Firewall atue a esse nvel, independente de endereamento de rede. Logo, a checagem da
regra em questo no mais dependeria do endereo IP do host
de origem e sim de seu mac address. Acompanhe o exemplo:
[root@johann /1# iptables -A INPUT -m mac --mac-source
40:FO:B2:8F:OO:Ol -j DROP
6.4 - multiport
74
DOMINANDO
LINUX FIREWALL
[PTABLES
o mdulo
6.5 - string
o mdulo
string extremamente til quando precisamos realizar um controle de trfego baseado no contedo de um pacote.
Anteriormente ao string (que nem to novo assim, apenas
pouco difundido) somente era possvel realizar-se tal gerenciamento de pacotes por via de um Proxy, estes por sua vez,
sempre possibilitaram controlar um trfego mediante a anlise do contedo propriamente dito de um pacote. Note apenas
que o iptables capaz de realizar tal controle de pacotes sob
string de 5 a 10 vezes mais rpido que qualquer Proxy existente na atualidade.
Imagine ento que em sua empresa, a Direo da mesma probe severamente o acesso a sites que contenham sexo como
contedo por seus usurios, e voc no possui um Proxy porque nunca achou necessrio ter um, logo, utiliza NAT para
U r u ba ta n Neto
75
-ID
string --string
-ID
string --string
-ID
string --string
76
DOMINANDO
Urubatan
A utilizao do mdulo string vai muito alm de nossos exemplo e est a merc de sua necessidade, logo, repense sua
poltica de acessos e faa uso do string sempre que necessrio, mas somente se necessrio mesmo, pois criar muitas regras que analisem o contedo de pacotes fatidicamente far
com que seu Firewall/NAT comece a ficar mal das pernas, em
outras palavras, "muito lento" ser a expresso nmero um no
vocabulrio de seus usurios na hora de descrever a velocidade do acesso a Internet em sua empresa, dito que a anlise
de pacotes consome muitos recursos do host Firewall. Lembre-se, um Firewall foi idealizado apenas para proteger redes,
e no para compartilhar acessos a Internet. No faz mal utilizar-se de tal recurso, afinal de contas ele existe justamente
para ser utilizado, mas use-o com cautela, respeitando sempre seus limites, pois sobrecarregando o mesmo voc o tornar extremamente lento tal como seus usurios extremamente
sem pacincia para esperar um minuto de carregamento a
cada Home-Page visitada.
TI
DESCRIO
--uid-owner
--gid-owner
--pid-owner
--sid-owner
--unclean
6.5 - owner
a mdulo owner, embora bem interessante, pouco utilizado
e mencionado em literaturas do gnero. owner capaz de
determinar precisamente algumas informaes valiosas sobre o criador de um determinado pacote definido em regra, de
modo que se tornar possvel identificar o emissor real do pacote (no nvel de usurio). Este mdulo pode ser utilizado to
somente em combinao com a chain aUTPUT conforme vemos no exemplo a seguir, que bloquear a sada de qualquer
pacote UOP que seja criado por um usurio do grupo sob o
GIO 81:
Neto
~d
,:Ii
78
DOMINANDO
LINUX FIREWALL
IPTABLES
viou. Logo, conclumos que o nico usurio da rede que poder enviar seus pacotes tcp pelo Firewall ser o que estiver sob
UID (userid) 40.
Observe que no prximo exemplo faremos algo ainda mais
interessante, pois em uma primeira linha de regra autorizaremos todos os usurios do grupo sob o ID (groupid) 50 a acessar
o site www.sexo.com.br. porm, a prxima linha proibir os
demais usurios de realizarem tal acesso:
[root@johann 1]# iptables -A OUTPUT -fi owner --gidowner 50 -d www.sexo.cofi.br -j ACCEPT
[root@johann 1]# iptables -A OUTPUT -d www.sexo.cofi.br
-j DROP
Isso acontece em casos tais como: "Seu Diretor no quer que
ningum acesse sites de sexo, somente ele e os demais gerentes da elA, todos, amigos de fim de semana!" (isso muito
comum, acreditem. Se voc ainda no viveu um caso assim,
um dia "h de vivenciar!"). Logo, ponha seu diretor e os demais gerentes como membros do grupo 50 (groupid) e execute a regra acima! Simples, no? Ah ... No deixe de cadastrar
seu usurio tambm no grupo "50", pois voc como administrador do Firewall pode, sem consentimento prvio, se dar a
esse luxo, afinal de contas, de frente pro teclado, voc quem
manda!
REGRAS
PARA
FIREWALLS
IPTABLES
7.1
#
#
#
#
Compartilhamento
1nternet via NAT
de
REDEMASQ=10.0.1.0/8
#
#
#
#
#
82
DOMINANDO
Urubatan
iptables -A FORWARD
ESTABLISHED,RELATED
iptables -A FORWARD
iptables -A FORWARD
iptables -A INPUT -j
then
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
fi
#printf "."
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter
for f in /proc/sys/net/ipv4/conf/*/rp_filter;
echo 1 > $f
done
fi
#printf " "
l; then
do
if [ -e /proc/sys/net/ipv4/tcp_syncookies
then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi
#printf "."
iptables -N LDROP
iptables -A LDROP
prefix "DROP"
iptables -A LDROP
prefix "DROP"
iptables -A LDROP
prefix "DROP"
iptables -A LDROP
if [ -e /proc/sys/net/ipv4/ip_dynaddr
83
IF=pppO
LOG="iplog -i $IF -w -d -1 /var/log/iplogs"
#printf " "
#Setando
Neto
-p tcp -j LOG --log-level 3 --log-p udp -j LOG --log-level 3 --log-p icmp -j LOG --log-level 3 --log-f -j LOG --log-level 3 --log-prefix
",
"
84
DOMINANDO
Ur u b a t a n Neto
"DROPH
iptab1es -A LDROP -j DROP
iptab1es -N LREJECT
iptab1es -A LREJECT -p tcp -j LOG --10g-leve1
prefix "REJECTH
iptab1es -A LREJECT -p udp -j LOG --10g-leve1
prefix "REJECTH
iptab1es -A LREJECT
10g-prefix "REJECTH
iptab1es -A LREJECT
prefix "REJECTH
iptab1es -A LREJECT
iptab1es -N LACCEPT
iptab1es -A LACCEPT
prefix "ACCEPTH
-j REJECT
iptab1es
"REJECT
"
-A LTREJECT
3 --log-
3 --log-
-p tcp -j REJECT
tcp-reset
iptab1es -A LTREJECT
-p ! tcp -j REJECT
3 --
3 --
3 --log-
--reject-with
--reject-with
icmp-port-unreachab1e
-f -j LOG --10g-leve1
3 --log-
iptab1es
#printf
-A LTREJECT
-j REJECT
".H
iptab1es -A LACCEPT
prefix "ACCEPTH
iptab1es -A LACCEPT
10g-prefix
"ACCEPTH
iptab1es -A LACCEPT
prefix "ACCEPTH
-f -j LOG --10g-leve1
iptab1es
iptab1es
-j ACCEPT
-A LACCEPT
-N TREJECT
10g-prefix
3 --log3 --log3 --
3 --log-
iptab1es
-I 1NPUT -i 10 -j ACCEPT
iptab1es
-I OUTPUT
iptab1es
-I INPUT -i ! 10 -s 127.0.0.0/255.0.0.0
DROP
#printf
-o 10 -j ACCEPT
-j
".H
-A INPUT
".H
#Anti-Spoofings
iptab1es
-A INPUT
-j DROP -s 10.0.0.0/8
iptab1es
-A INPUT
-j DROP -s 127.0.0.0/8
iptab1es
iptab1es
#printf
"
-i $IF
-i $IF
-i $IF
-i $1F
#Bloqueando Multicast
iptab1es -A INPUT -s 224.0.0.0/8 -d %
iptab1es -A INPUT -s %
-d 224.0.0.0/8
#printf "
H
-j DROP
-j DROP
85
86
Ur u b at a n Neto
DOMINANDO
LINUX
FIREWALL
II'TABLES
87
#Bloqueando NetBus
iptables -A INPUT -p tcp -i $IF --dport 12345:12346 -j
LDROP
iptables -A INPUT -p udp -i $IF --dport 12345:12346 -j
LDROP
#printf "
fi
INPUT
INPUT
INPUT
INPUT
-p
-p
-p
-p
#Bloqueando TrinOO
iptables -A
iptables -A
iptables -A
iptables -A
#printf "
tcp
tcp
udp
udp
-i
-i
-i
-i
$IF
$IF
$IF
$IF
--dport
--dport
--dport
--dport
fi
ACCEPT
#printf "
#iptables -A INPUT -p icmp -i $IF -j LDROP
iptables -A INPUT -p icmp --icmp-type echo-reply -s 01
fi
-i $IF -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destinationunreachable -s 010 -i $IF -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -s
010 -i $IF -j ACCEPT
11
fl
88
DOMINANDO
U r u b a t a n Neto
#Napigator
iptables -A FORWARD
-d 209.25.178.0/24
-j
REJECT
##################################################
#Morpheus
iptables -A FORWARD
-d 206.142.53.0/24
-j
REJECT
iptables
-A FORWARD
-p TCP --dport
#KaZaA
iptables
-A FORWARD
-d 213.248.112.0/24
iptables
-A FORWARD
-p TCP --dport
1214 -j REJECT
#Limewire
iptables -A FORWARD
-p TCP --dport
6346 -j REJECT
#Audiogalaxy
iptables -A FORWARD
-d 64.245.58.0/23
Script
Desenvolvido
www.linuxit.com.br
por wrochal
e 1c3_m4n
#
#
##################################################
#!/bin/bash
echo
LAN=ethO
WAN=eth1
IPLAN=192.168.0.0/24
IP
sleep 1
echo "Bloqueando
NET=192.168.1.0/24
MODP=/sbin/modprobe
$MODP
iptables
-P INPUT ACCEPT
iptables
-P OUTPUT
iptables
-P FORWARD
iptables
-F
iptables
-t nat -A POSTROUTING
iptables
-A FORWARD
-i $LAN -j ACCEPT
iptables
-A FORWARD
-m state --state
ESTABLISHED,RELATED
echo
echo
"Bloqueios
"Bloqueando
#bloqueando
ACCEPT
ACCEPT
-j
-o $LAN -j MASQUERADE
ACCEPT
P2P"
#iMesh
iptables
-A FORWARD
-d 216.35.208.0/24
-j
REJECT
#BearShare
-j
REJECT
REJECT
-d login.oscar.aol.com
-j
5190 -j REJECT
4000 -j REJECT
#iptables
-A FORWARD
-p TCP --dport
#iptables
-A FORWARD
-p TCP --dport
#iptables
-A FORWARD
-d login.icq.com
#bloqueando MSN
iptables -A FORWARD
-p TCP --dport
iptables
-d 64.4.13.0/24
-A FORWARD
Yahoo
-j
REJECT
1863 -j REJEC~
-j REJECT
Messenger
iptables
-A FORWARD
-d cs.yahoo.com
iptables
-A FORWARD
-d scsa.yahoo.com
-j
REJECT
-j REJECT
#Bloqueando
Sites
iptables -A FORWARD
-d www.playboy.com.br
-d www.sexy.com.br
-A FORWARD
-j
-j
-A FORWARD
-p TCP --dport
6346 -j REJECT
iptables
iptables
#WinMX
-A FORWARD
-p TCP --dport
6346 -j REJECT
iptables
-A FORWARD
-d 209.61.186.0/24
iptables
iptables
-A FORWARD
-d 64.49.201.0/24
-j
REJECT
REJECT
# !/bin/bash
echo
"Bloqueando
P2P"
REJECT
REJECT
#ToadNode
-j
REJECT
ICQ
#bloqueando
de Message"
-j
#bloquenado AIM
iptables -A FORWARD
iptable_nat
1214 -j REJECT
89
90
DOMINANDO
Urubatan
#iMesh
iptables
-A FORWARD
-d 216.35.208.0/24
-A FORWARD
-p TCP --dport
6346 -j REJECT
-A FORWARD
-p TCP --dport
6346 -j REJECT
-j
REJECT
#BearShare
iptables
91
Neto
-A INPUT
-s 192.168.22.33
-p tcp --dport
22 -
j ACCEPT
#ToadNode
iptables
#WinMX
iptables
-A FORWARD
-A FORWARD
iptables
-j
-d 209.61.186.0/24
-d 64.49.201.0/24
REJECT
REJECT
-j
iptables
-A INPUT
-p tcp -m multiport
-j
21,22,25,53,80,110.
--dport
ACCEPT
#Napigator
iptables -A FORWARD
#Morpheus
-d 209.25.178.0/24
-j
iptables
-A FORWARD
-d 206.142.53.0/24
-j REJECT
iptables
#KaZaA
-A FORWARD
-p TCP --dport
iptables
-A FORWARD
-d 213.248.112.0/24
1214 -j REJECT
iptables -A FORWARD
#Limewire
-p TCP --dport
iptables -A FORWARD
#Audiogalaxy
-p TCP --dport
iptables
-d 64.245.58.0/23
echo
-A FORWARD
"Bloqueando
#bloquenado
REJECT
-j
REJECT
l/s
1214 -j REJECT
iptables
Msn,
6346 -j REJECT
-j REJECT
-A FORWARD
RST -m limit
-p tcp --tcp-flags
--limit
SYN,ACK,FIN,RST
l/s -j ACCEPT
-A FORWARD
-m unclean
-j
DROP
AIM
iptables -A FORWARD
#bloqueando
ICQ
-d login.oscar.aol.com
iptables
-p TCP --dport
-A FORWARD
iptables -A FORWARD
#bloqueando MSN
-d login.icq.com
iptables
-p TCP --dport
-A FORWARD
-j
REJECT
5190 -j REJECT
-j
REJECT
1863 -j REJECT
-m string
iptables
-m string
iptables
-m
--string
--string
string
"X-Kazaa-Username:"
-j
DROP
"X-Kazaa-Network:"
-j
DROP
--string
"X-Kazaa-IP"
-j
REJECT
iptables
-A FORWARD
-d cs.yahoo.com
-j
REJECT
iptables
-A FORWARD
-d scsa.yahoo.com
-j
REJECT
iptables
-N syn-flood
-j
DROP
-j DROP
92
DOMINANDO
Urubatan
Neto
93
echo
>
>
/proc/sys/net/ipv4/ip_forward
/proc/sys/net/ipv4/icrnp_echo_ignore_a11
-j
LOG --log-
-j
94
DOMINANDO
-A FORWARD
-j ACCEPT
22
SOBRE ...
8.1
Aspectos de Instalao
Bem diferente do que a maioria das pessoas imagina, os procedimentos de instalao de um Firewall, em se tratando do
Iptables, extremamente simples conforme veremos a seguir:
8.1.1 - Apt-get
-+
-+
/l# apt-get
install
iptables
-+
-+
-+
98
DOMINANDO
8.2 - O Projeto
Iptables hoje o maior projeto de Firewall incorporado ao Gnu/
Linux e considerado por muitos a mais complexa e completa
ferramenta a este nvel.
~-------------------~
/
"-
/
I
"l
Mesmo tendo sido criado originalmente por Paul "Rusty" Russell, o projeto Netfiler/lptables hoje fruto de uma imensa mobilizao que envolve centenas de colaboradores independentes
de todas as partes do mundo.
Nome:
Endereo:
Bairro:
Cep:
Cidade:
Estado:
E-mail:
O Iptables regido pelas normas da GNU (General Public License), que pode ser lida na ntegra em http://www.gnu.org/.
Para maiores informaes sobre o projeto Iptables/Netfilter
visite o site www.iptables.org ou www.netfilter.org
(DOBRE E COLE)
Profi~o:
Professor:
Disciplina:
O sim O no
_
I
reas de interesse:
o Didticos
O Inforrncica
O Auto-ajuda
O Sade
O
O
Jogos
Outros
O amigo
O revista
Internet
O jornal
Outros
Sugestes:
~.a
EDITORA
""",
CINCIA MODERNA
L WWW.LCM.COM.BR
DOMINANDO
LINUX
FIREWALL!PTABLES
"tJI
_~