Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
nat
PREROUTING
nat OUTPUT
filter OUTPUT
mangle
POSTROUTING
nat
POSTROUTING
Roteamento
SIM
mangle
INPUT
filter
INPUT
Destino
=
Firewall
Processamento Local
Roteamento
mangle
OUTPUT
NO
mangle
FORWARD
filter
FORWARD
mangle
POSTROUTING
nat
POSTROUTING
Rede B
PREROUTING
Rede A
da
e
mangle
Iptables
Mdulos
Iptables
Mdulos
Iptables
imit
Limita o numero de vezes que uma regra ser executada antes de passar para a prxima regra.
mac
tate
multiport
tring
owner
Observa o estado da conexo. Estes podem ser (NEW, ESTABLISHED, RELATED e INVALID).
Permite que sejam especificadas at 15 porta a uma regra de uma s vez.
Observa o contedo do pacote para somente ento aplicar a regra.
Observa o usurio que criou o pacote.
Mdulos
Limit
Iptables
Regras sob o modulo limit especificam exatamente quantas vezes as mesmas devem ser
executadas em um intervalo de tempo especifico, e, se isso acontecer, ela
automaticamente deve executar a regra seguinte.
# iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# iptables -A INPUT -p icmp -j DROP
Mdulos
LAG
Limit
Flags do TCP
Descrio
Iptables
SH
Push. Informa ao TCP que ele deve enviar todos os pacotes que estejam no buffer ao seu
destinatrio.
YN
Syncronize. Este flag utilizado para realizar a sincronizao dos nmeros sequenciais.
RG
CK
IN
Urgent. Todos os pacotes marcados com tal flag tero prioridade em seu envio.
Acknowledgement number. Esta flag tem como utilidade informa ao receptor o prximo nmero de
sequencia que o emissor deseja receber.
Finalizao. Esta flag indica a finalizao de uma conexo.
Mdulos
Iptables
Limit
Protegendo de ataques SYN-Cookies.
# echo 0 > /proc/sys/net/ipv4/tcp_syncookies
# iptables -N syn-flood
# iptables -A INPUT -i eth0 -p tcp --syn -j syn-flood
# iptables -A syn-flood -m limit --limit 1/s -j RETURN
# iptables -A syn-flood -j DROP
Protegendo de ataques IP-Spoofing.
for i in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $i
done
Protegendo de scanner ocultos.
# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
Mdulos
state
Iptables
Mdulos
state
Iptables
Analisemos
# iptables -A INPUT -m state --state NEW -i eth0 -j DROP
# iptables -A INPUT -m state --state INVALID -i eth0 -j DROP
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
mac
Media access control a identificao de mais baixo nvel que um computador pode
ter, teoricamente inacessvel, pois trata-se de endereo embutido no hardware
ainda pelo fabricante, para ser mais especifico, em seu dispositivo de rede.
Analisemos
# iptables -A INPUT -m mac --mac-source 40:F0:B2:8F:0C:01 -j DROP
Mdulos
multiport
Iptables
Este mdulo permite que especifiquemos mltiplas porta a um determinado alvo sob o
limite Maximo de 15.
# iptables -A INPUT -p tcp -i eth0 -m multiport --dport 80,25,53,110 -j DROP
es
Iptables
Mdulos
string
O mdulo string extremamente til quando precisamos realizar um controle de trfego
baseado no contedo de um pacote.
# iptables -A INPUT -m string --string sexo --algo bm -j LOG --log-prefix ATENCAO: Site de Sexo
# iptables -A INPUT -m string --string sexo --algo bm -j DROP
Bloqueando Kazaa
# iptables -A INPUT -m string --string X-Kazaa --algo bm -j DROP
# iptables -A INPUT -m string --string GET /.hash= --algo bm -j DROP
o bm|kmp
m offset
offset
ing pattern
x-string pattern
Descrio
Definir o deslocamento a partir do qual comea a olhar para qualquer correspondncia.Se nada for passado o padro 0.
Definir o deslocamento a partir do qual comea a olhar para qualquer correspondncia. Se nada for passado o default o
tamanho do pacote.
Mdulos
owner
Iptables
Mdulos
es
owner
Descrio
Iptables
id-owner
Controla e executa a regra se o pacote fora criado por um usurio sob o userid especificado.
id-owner
Controla e executa a regra se o pacote fora criado por um nmero de processo especificado.
id-owner
id-owner
nclean
Controla e executa a regra se o pacote fora criado por um usurio sob o groupid especificad
Controle e executa a regra se o pacote fora criado por processo concebido por session group
Mdulos
owner
Iptables
Analisemos
# iptables -A OUTPUT -m owner --uid-owner 42 -p tcp -j ACCEPT
# iptables -A OUTPUT -p tcp -j DROP
# iptables -A OUTPUT -m owner --gid-owner 50 -d www.sexo.com.br -j ACCEPT
# iptables -A OUTPUT -d www.sexo.com.br -j DROP
cote de entrada
reRouting
angle
AT
Roteamento
INPUT
Mangle
Filter
Iptables
Forward
Mangle
Filter
Processamento
local
Pacote de sada
OUTPUT
Mangle
NAT
Filter
Roteamento
PostRouting
Mangle
NAT