• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Slilde mini curso_iptables
 

Slilde mini curso_iptables

on

  • 637 views

Slide minicurso firewall iptables. Por Wairisson Gomes.

Slide minicurso firewall iptables. Por Wairisson Gomes.

Statistics

Views

Total Views
637
Views on SlideShare
637
Embed Views
0

Actions

Likes
2
Downloads
75
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Slilde mini curso_iptables Slilde mini curso_iptables Presentation Transcript

    • Prof: Wairisson Gomes
    • $ Whoami Wairisson M. Gomes Pós-Graduado em Redes de Computadores Graduado em Tecnologia em Redes de Computadores Cisco Certified Network Associate - CCNA Linux Professional Institute Certified 1 – LPIC1 Novell Certified Linux Administrator - NCLA ITIL v3 – Foundation Certified
    • Redes de computadores• É uma coleção de dispositivos interconectados por gateways Mini Curso Firewall Linux – Wairisson Gomes
    • Redes de computadores• Componentes da comunicação receptor transmissor Blá blá blá mensagem Lingua portuguesa protocolo Mini Curso Firewall Linux – Wairisson Gomes
    • Redes de computadores• Componentes da comunicação IMPORTANTE!!!! Nas redes de computadores as informações são fragmentadas em pedaços geralmente chamados de pacotes e sempre tem um endereço de ORIGEM e DESTINO Mini Curso Firewall Linux – Wairisson Gomes
    • Redes de computadores• Modelo OSI x Modelo TCP/IP Em uma rede são os protocolos que fornecem os serviços !!! Mini Curso Firewall Linux – Wairisson Gomes
    • Portas e Conexões• Os serviços/protocolos rodam “escutando” em suas portas específicas 134.88.2.1 200.0.0.1 SOCKET: SOCKET: 44334 Solicitação http para 200.0.0.1 resposta http para 134.88.2.1 80 Mini Curso Firewall Linux – Wairisson Gomes
    • Portas e protocolos• Um firewall pode atuar controlando o fluxo com base nas portas para identificação dos protocolos e aplicações Lista de protocolos/portas Mini Curso Firewall Linux – Wairisson Gomes
    • Pacote IP• Conteúdo Mini Curso Firewall Linux – Wairisson Gomes
    • Segmento TCP• ConteúdoAs informações mais relevantes neste momento são: • Porta de origem • Porta de destino • Flags de estado Mini Curso Firewall Linux – Wairisson Gomes
    • Segmento UDP• ConteúdoAs informações mais relevantes neste momento são: • Porta de origem • Porta de destino • Flags de estado Mini Curso Firewall Linux – Wairisson Gomes
    • Estados da conexão Mini Curso Firewall Linux – Wairisson Gomes
    • Endereçamento de rede Mini Curso Firewall Linux – Wairisson Gomes
    • Roteamento IP Mini Curso Firewall Linux – Wairisson Gomes
    • Endereçamento de redeClasse Faixa 1º Oct Numero de rede válidas Números total Número de para esta hosts por rede classe A 1 - 126 1.0.0.0 - 126.0.0.0 27 – 2 = 126 224 – 2 = 16.777,214 B 128 - 191 128.0.0.0 – 191.0.0.0 214 = 16.384 216 - 2 = 65.534 C 192 - 223 192.168.0.0 – 221 = 2.097,152 28 - 2 = 254 223.255.255.0 Mini Curso Firewall Linux – Wairisson Gomes
    • Endereçamento de rede• O endereço IP sempre vem acompanhado da máscara de sub rede. Classe Parte da rede Parte do host Mk Padrão A 8 24 255.0.0.0 B 16 16 255.255.0.0 C 24 8 255.255.255.0 Mini Curso Firewall Linux – Wairisson Gomes
    • Endereçamento de rede• O endereço IP sempre vem acompanhado da máscara de sub rede. IP 21 73 42 2 MK 255 0 0 0 IP 130 92 34 45 MK 255 255 0 0 IP 200 4 8 9 MK 255 255 255 0 Mini Curso Firewall Linux – Wairisson Gomes
    • Endereçamento de rede Os endereços privados nunca serão atribuídos pela ICANN a nenhuma entidade Os roteadores da internet são configurados para descartar Os endereços definidos pela RFC 1918 Rede IP privadas Classes de Número de redes redes 10.0.0.0 A 1 172.16.0.0 – 172.31.0.0 B 16 192.168.0.0 – 192.168.255.0 C 256 Mini Curso Firewall Linux – Wairisson Gomes
    • cenárioMini Curso Firewall Linux – Wairisson Gomes
    • Firewall  É um componente ou um conjunto de componentes que restrigem o acesso entre uma rede protegida e a Internet, ou entre redes protegidas e à Internet como um todo.Firewall pessoalFirewall deperímetro Mini Curso Firewall Linux – Wairisson Gomes
    • Estrutura do Iptables Tabelas Cadeias Mini Curso Firewall Linux – Wairisson Gomes
    • Mini Curso Firewall Linux – Wairisson Gomes
    • Sintaxe do Iptablesiptables -t [tabela] <ordem> <chain> [condições] -j <ação>• Tabelas Filter - Regras relacionadas a um firewall filtro de pacotes Nat - Regras relacionadas a um firewall filtro NAT Mangle – Implementa alterações em níveis mais complexo Mini Curso Firewall Linux – Wairisson Gomes
    • Sintaxe do Iptablesiptables -t [tabela] <comando> <chain> [condições] -j <ação>• Comando - A : adiciona regras a uma ao final de uma cadeia - I : insere regras no inicio de uma cadeia -D : deleta regras de uma cadeia - F : remove todas as regras de uma cadeia - R : Substitui uma regra - N : cria nova cadeia - X : deleta cadeia - E : renomeia uma cadeia Mini Curso Firewall Linux – Wairisson Gomes
    • Sintaxe do Iptablesiptables -t [tabela] <ordem> <chain> [condições] -j <ação>• Cadeias Filter : INPUT, OUTPUT e FORWARD Nat: PREROUTING, OUTPUT e POSTROUTING Mangle : INPUT, OUTPUT, FORWARD, PREROUTING, ePOSTROUTING Mini Curso Firewall Linux – Wairisson Gomes
    • Sintaxe do Iptablesiptables -t [tabela] <ordem> <chain> [condições] -j <ação>• Condições -p : especifica o protocolo (ex: -p icmp) -i : especifica uma interface de entrada (ex: -i eth0) -o : especifica uma interface de saida (ex: -o eth0) -s : especifica um endereço/rede de origem (ex: -s 10.0.0.1 ou10.0.0.0/8) -d : especifica um endereço/rede de destino (ex: -d 10.0.0.1 ou10.0.0.0/8) ! : especifica uma exclusão (ex: -d ! 10.0.0.1 ou ! 10.0.0.0/8) Mini Curso Firewall Linux – Wairisson Gomes
    • Sintaxe do Iptablesiptables -t [tabela] <ordem> <chain> [condições] -j <ação>• Condições -j : especifica um alvo (ex: -j ACCEPT) -sport : especifica porta de origem (ex: -p tcp --sport 80) -dport : especifica porta de destino (ex: -p udp --dport 53) Mini Curso Firewall Linux – Wairisson Gomes
    • Sintaxe do Iptablesiptables -t [tabela] <ordem> <chain> [condições] -j <ação>• Ação ACCEPT : aceita ou permite a passagem de um pacote DROP : descarta um pacote ou impede sua passagem REJECT : descarta/impede a passagem de um pacote retornandouma mensagem LOG: registra a passagem do pacote em /var/log/messages SNAT: altera o endereço de origem do pacote DNAT: altera o endereço de destino do pacote REDIRECT: faz o redirecionamento de portas Mini Curso Firewall Linux – Wairisson Gomes
    • Hand´s On - Tabela filter1º CENÁRIO Mini Curso Firewall Linux – Wairisson Gomes
    • Hand´s On - Tabela filterTarefas: 1 - No FIREWALL Habilitar o encaminhamento 2 - No XP efetuar um ping parafw.minicurso.com.br 3 - No XP Acessar http://fw.minicurso.com.br 4 - No XP Usando o putty acessar remotamentefw.minicurso.com.br Mini Curso Firewall Linux – Wairisson Gomes
    • Hand´s On - Tabela filterTarefas: 5 - No FIREWALL definir as políticas padrão emDROP 5.1 – iptables –P INPUT DROP 5.2 – iptables –P FORWARD DROP 5.3 – iptables –P OUTPUT DROP 6 - repetir os testes dos itens 1 a 4 7 - No FIREWALL tentar pingar para 200.100.10.2,192.168.0.2 e 127.0.0.1 Mini Curso Firewall Linux – Wairisson Gomes
    • Hand´s On - Tabela filterTarefas:8 - Liberar as conexões a seguir na chain INPUT 8.1 – tudo origem loopback iptables -t filter –A INPUT –i lo –j ACCEPT 8.2 – todas as conexões originadas do própriofirewall iptables -P OUTPUT ACCEPT 8.3 Libera recepção da resposta de ping originadospelo firewall iptables -t filter -A INPUT -p icmp -m state --stateESTABLISHED,RELATED -j ACCEPT9 - repetir os testes do item 7 Mini Curso Firewall Linux – Wairisson Gomes
    • Hand´s On - Tabela filterTarefas:10 - Liberar as conexões a seguir na chain INPUT 10.1 – protocolo ICMP a partir da LAN iptables -t filter -A INPUT -s 192.168.0.0/24 -picmp -j ACCEPT 10.2 – portas 22 e 80 do FIREWALL para a redelocal iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp-m multiport --dport 22,80 -j ACCEPT Mini Curso Firewall Linux – Wairisson Gomes
    • Hand´s On - Tabela filterTarefas:10 - Liberar as conexões a seguir na chain INPUT 10.3 – apenas a porta 80 do FIREWALL para ainterface conectada à internet iptables -t filter -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT 10.4 – acesso ssh para o ip 200.100.10.2 iptables -t filter -A INPUT -s 200.100.10.2 -p tcp --dport 22 -j ACCEPT Mini Curso Firewall Linux – Wairisson Gomes
    • Hand´s On - Tabela filter2º CENÁRIO Mini Curso Firewall Linux – Wairisson Gomes
    • Hand´s On - Tabela filterTarefas:11 – Habilitar o NAT iptables -t nat -A POSTROUTING -s 192.168.0.0/24-j MASQUERADE12 - Liberar o ping a partir da rede local para internet # ida lan > internet iptables -t filter -A FORWARD -p icmp -s192.168.0.0/24 -j ACCEPT # volta internet > lan iptables -t filter -A FORWARD -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT Mini Curso Firewall Linux – Wairisson Gomes
    • Hand´s On - Tabela filterTarefas:12 - Liberar as conexões LAN > INTERNET nas portas 80, 443,22 e 53 # ida lan > internet iptables -t filter -A FORWARD -p tcp -m multiport--dport 80,443,22,53 -j ACCEPT iptables -t filter -A FORWARD -p udp --dport 53 -jACCEPT # volta internet > lan iptables -t filter -A FORWARD -p tcp -m multiport--sport 80,443,22,53 -m state --state ESTABLISHED,RELATED -jACCEPT iptables -t filter -A FORWARD -p udp --sport 53 -jACCEPT Mini Curso Firewall Linux – Wairisson Gomes
    • Hand´s On - Tabela filterTarefas:13 - Liberar as conexões LAN > INTERNET nas portas 20, 21,4000 e 4001 # ida lan > internet iptables -A FORWARD -s 192.168.0.0/24 -p tcp -mmultiport --dports 20,21,4000,40001 -j ACCEPT # volta internet > lan iptables -A FORWARD -p tcp -m multiport --sports20,21,4000,40001 -m state --state RELATED,ESTABLISHED -jACCEPT Mini Curso Firewall Linux – Wairisson Gomes
    • Hand´s On - Tabela nat2º CENÁRIO Request 200.100.10.1:3389 request 192.168.0.2:3389 reply 200.100.10.1:3389 reply 192.168.0.2:3389 Mini Curso Firewall Linux – Wairisson Gomes
    • Hand´s On - Tabela natTarefas:14 - O redirecionamento de portas é útil para publicarservidores na web que estão dentro da LAN # redireciona pacotes com destino a porta 3389 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport3389 -j DNAT --to 192.168.0.2:3389 # libera conexões com destino a 192.168.0.2 iptables -t filter -A FORWARD -d 192.168.0.2 -p tcp --dport 3389 -j ACCEPT # libera a resposta de 192.168.0.2 iptables -t filter -A FORWARD -s 192.168.0.2 -p tcp --sport 3389 -j ACCEPT Mini Curso Firewall Linux – Wairisson Gomes
    • Salvando, Limpando e restaurando as regras# salvandoiptables-save > firewall.save# visualizandocat firewall.save# limpando todas as tabelasiptables -t filter -Fiptables -t nat -Fiptables -t magle –F# restaurandoiptables-restore < firewall.save Mini Curso Firewall Linux – Wairisson Gomes
    • Ativando no boot# adicionar a linha abaixo no arquivo/etc/network/interfacespre-up iptables-restore < /home/aluno/firewall.save Mini Curso Firewall Linux – Wairisson Gomes
    • ReferênciasFILHO, Mota. Eriberto. Firewall com iptables. Disponível em:<http://eriberto.pro.br/iptables/3.html> acesso em: 23 set 12NETO, Urubatan. Dominando Linux Firewall Iptables. 2004,Ciencia Moderna.MENDES, Wagner. Firewall no Linux – Curso On line. Disponívelem: < http://www.devmedia.com.br/curso/firewall-no-linux/121> acesso em: 23 set 12 Mini Curso Firewall Linux – Wairisson Gomes