Prof: Wairisson Gomes
$ Whoami             Wairisson M. Gomes     Pós-Graduado em Redes de Computadores Graduado em Tecnologia em Redes de Compu...
Redes de computadores• É uma coleção de dispositivos interconectados  por gateways                Mini Curso Firewall Linu...
Redes de computadores• Componentes da comunicação                                                                    recep...
Redes de computadores• Componentes da comunicação                                                         IMPORTANTE!!!!  ...
Redes de computadores• Modelo OSI x Modelo TCP/IP       Em uma rede são os protocolos que fornecem os serviços !!!        ...
Portas e Conexões• Os serviços/protocolos rodam “escutando” em  suas portas específicas           134.88.2.1              ...
Portas e protocolos• Um firewall pode atuar controlando o fluxo  com base nas portas para identificação dos  protocolos e ...
Pacote IP• Conteúdo             Mini Curso Firewall Linux – Wairisson Gomes
Segmento TCP• ConteúdoAs informações mais relevantes neste momento são:   • Porta de origem   • Porta de destino   • Flags...
Segmento UDP• ConteúdoAs informações mais relevantes neste momento são:   • Porta de origem   • Porta de destino   • Flags...
Estados da conexão   Mini Curso Firewall Linux – Wairisson Gomes
Endereçamento de rede     Mini Curso Firewall Linux – Wairisson Gomes
Roteamento IP Mini Curso Firewall Linux – Wairisson Gomes
Endereçamento de redeClasse   Faixa 1º Oct   Numero de rede válidas                  Números total      Número de         ...
Endereçamento de rede• O endereço IP sempre vem acompanhado da  máscara de sub rede.    Classe     Parte da rede          ...
Endereçamento de rede• O endereço IP sempre vem acompanhado da  máscara de sub rede.      IP     21                73     ...
Endereçamento de rede Os endereços privados nunca serão atribuídos  pela ICANN a nenhuma entidade Os roteadores da inter...
cenárioMini Curso Firewall Linux – Wairisson Gomes
Firewall   É um componente ou um conjunto de     componentes que restrigem o acesso entre     uma rede protegida e a Inte...
Estrutura do Iptables Tabelas Cadeias                Mini Curso Firewall Linux – Wairisson Gomes
Mini Curso Firewall Linux – Wairisson Gomes
Sintaxe do Iptablesiptables -t [tabela] <ordem> <chain> [condições] -j <ação>• Tabelas      Filter - Regras relacionadas a...
Sintaxe do Iptablesiptables -t [tabela] <comando> <chain> [condições] -j <ação>• Comando      - A : adiciona regras a uma ...
Sintaxe do Iptablesiptables -t [tabela] <ordem> <chain> [condições] -j <ação>• Cadeias      Filter : INPUT, OUTPUT e FORWA...
Sintaxe do Iptablesiptables -t [tabela] <ordem> <chain> [condições] -j <ação>• Condições       -p : especifica o protocolo...
Sintaxe do Iptablesiptables -t [tabela] <ordem> <chain> [condições] -j <ação>• Condições      -j : especifica um alvo (ex:...
Sintaxe do Iptablesiptables -t [tabela] <ordem> <chain> [condições] -j <ação>• Ação     ACCEPT : aceita ou permite a passa...
Hand´s On - Tabela filter1º CENÁRIO               Mini Curso Firewall Linux – Wairisson Gomes
Hand´s On - Tabela filterTarefas:      1 - No FIREWALL Habilitar o encaminhamento      2 - No XP efetuar um ping parafw.mi...
Hand´s On - Tabela filterTarefas:      5 - No FIREWALL definir as políticas padrão emDROP            5.1 – iptables –P INP...
Hand´s On - Tabela filterTarefas:8 - Liberar as conexões a seguir na chain INPUT       8.1 – tudo origem loopback        i...
Hand´s On - Tabela filterTarefas:10 - Liberar as conexões a seguir na chain INPUT      10.1 – protocolo ICMP a partir da L...
Hand´s On - Tabela filterTarefas:10 - Liberar as conexões a seguir na chain INPUT       10.3 – apenas a porta 80 do FIREWA...
Hand´s On - Tabela filter2º CENÁRIO               Mini Curso Firewall Linux – Wairisson Gomes
Hand´s On - Tabela filterTarefas:11 – Habilitar o NAT      iptables -t nat -A POSTROUTING -s 192.168.0.0/24-j MASQUERADE12...
Hand´s On - Tabela filterTarefas:12 - Liberar as conexões LAN > INTERNET nas portas 80, 443,22 e 53       # ida lan > inte...
Hand´s On - Tabela filterTarefas:13 - Liberar as conexões LAN > INTERNET nas portas 20, 21,4000 e 4001       # ida lan > i...
Hand´s On - Tabela nat2º CENÁRIO      Request 200.100.10.1:3389                                    request 192.168.0.2:338...
Hand´s On - Tabela natTarefas:14 - O redirecionamento de portas é útil para publicarservidores na web que estão dentro da ...
Salvando, Limpando e restaurando as regras# salvandoiptables-save > firewall.save# visualizandocat firewall.save# limpando...
Ativando no boot# adicionar a linha abaixo no arquivo/etc/network/interfacespre-up iptables-restore < /home/aluno/firewall...
ReferênciasFILHO, Mota. Eriberto. Firewall com iptables. Disponível em:<http://eriberto.pro.br/iptables/3.html> acesso em:...
Upcoming SlideShare
Loading in …5
×

Slilde mini curso_iptables

904 views

Published on

Slide minicurso firewall iptables. Por Wairisson Gomes.

Published in: Technology
  • Be the first to comment

Slilde mini curso_iptables

  1. 1. Prof: Wairisson Gomes
  2. 2. $ Whoami Wairisson M. Gomes Pós-Graduado em Redes de Computadores Graduado em Tecnologia em Redes de Computadores Cisco Certified Network Associate - CCNA Linux Professional Institute Certified 1 – LPIC1 Novell Certified Linux Administrator - NCLA ITIL v3 – Foundation Certified
  3. 3. Redes de computadores• É uma coleção de dispositivos interconectados por gateways Mini Curso Firewall Linux – Wairisson Gomes
  4. 4. Redes de computadores• Componentes da comunicação receptor transmissor Blá blá blá mensagem Lingua portuguesa protocolo Mini Curso Firewall Linux – Wairisson Gomes
  5. 5. Redes de computadores• Componentes da comunicação IMPORTANTE!!!! Nas redes de computadores as informações são fragmentadas em pedaços geralmente chamados de pacotes e sempre tem um endereço de ORIGEM e DESTINO Mini Curso Firewall Linux – Wairisson Gomes
  6. 6. Redes de computadores• Modelo OSI x Modelo TCP/IP Em uma rede são os protocolos que fornecem os serviços !!! Mini Curso Firewall Linux – Wairisson Gomes
  7. 7. Portas e Conexões• Os serviços/protocolos rodam “escutando” em suas portas específicas 134.88.2.1 200.0.0.1 SOCKET: SOCKET: 44334 Solicitação http para 200.0.0.1 resposta http para 134.88.2.1 80 Mini Curso Firewall Linux – Wairisson Gomes
  8. 8. Portas e protocolos• Um firewall pode atuar controlando o fluxo com base nas portas para identificação dos protocolos e aplicações Lista de protocolos/portas Mini Curso Firewall Linux – Wairisson Gomes
  9. 9. Pacote IP• Conteúdo Mini Curso Firewall Linux – Wairisson Gomes
  10. 10. Segmento TCP• ConteúdoAs informações mais relevantes neste momento são: • Porta de origem • Porta de destino • Flags de estado Mini Curso Firewall Linux – Wairisson Gomes
  11. 11. Segmento UDP• ConteúdoAs informações mais relevantes neste momento são: • Porta de origem • Porta de destino • Flags de estado Mini Curso Firewall Linux – Wairisson Gomes
  12. 12. Estados da conexão Mini Curso Firewall Linux – Wairisson Gomes
  13. 13. Endereçamento de rede Mini Curso Firewall Linux – Wairisson Gomes
  14. 14. Roteamento IP Mini Curso Firewall Linux – Wairisson Gomes
  15. 15. Endereçamento de redeClasse Faixa 1º Oct Numero de rede válidas Números total Número de para esta hosts por rede classe A 1 - 126 1.0.0.0 - 126.0.0.0 27 – 2 = 126 224 – 2 = 16.777,214 B 128 - 191 128.0.0.0 – 191.0.0.0 214 = 16.384 216 - 2 = 65.534 C 192 - 223 192.168.0.0 – 221 = 2.097,152 28 - 2 = 254 223.255.255.0 Mini Curso Firewall Linux – Wairisson Gomes
  16. 16. Endereçamento de rede• O endereço IP sempre vem acompanhado da máscara de sub rede. Classe Parte da rede Parte do host Mk Padrão A 8 24 255.0.0.0 B 16 16 255.255.0.0 C 24 8 255.255.255.0 Mini Curso Firewall Linux – Wairisson Gomes
  17. 17. Endereçamento de rede• O endereço IP sempre vem acompanhado da máscara de sub rede. IP 21 73 42 2 MK 255 0 0 0 IP 130 92 34 45 MK 255 255 0 0 IP 200 4 8 9 MK 255 255 255 0 Mini Curso Firewall Linux – Wairisson Gomes
  18. 18. Endereçamento de rede Os endereços privados nunca serão atribuídos pela ICANN a nenhuma entidade Os roteadores da internet são configurados para descartar Os endereços definidos pela RFC 1918 Rede IP privadas Classes de Número de redes redes 10.0.0.0 A 1 172.16.0.0 – 172.31.0.0 B 16 192.168.0.0 – 192.168.255.0 C 256 Mini Curso Firewall Linux – Wairisson Gomes
  19. 19. cenárioMini Curso Firewall Linux – Wairisson Gomes
  20. 20. Firewall  É um componente ou um conjunto de componentes que restrigem o acesso entre uma rede protegida e a Internet, ou entre redes protegidas e à Internet como um todo.Firewall pessoalFirewall deperímetro Mini Curso Firewall Linux – Wairisson Gomes
  21. 21. Estrutura do Iptables Tabelas Cadeias Mini Curso Firewall Linux – Wairisson Gomes
  22. 22. Mini Curso Firewall Linux – Wairisson Gomes
  23. 23. Sintaxe do Iptablesiptables -t [tabela] <ordem> <chain> [condições] -j <ação>• Tabelas Filter - Regras relacionadas a um firewall filtro de pacotes Nat - Regras relacionadas a um firewall filtro NAT Mangle – Implementa alterações em níveis mais complexo Mini Curso Firewall Linux – Wairisson Gomes
  24. 24. Sintaxe do Iptablesiptables -t [tabela] <comando> <chain> [condições] -j <ação>• Comando - A : adiciona regras a uma ao final de uma cadeia - I : insere regras no inicio de uma cadeia -D : deleta regras de uma cadeia - F : remove todas as regras de uma cadeia - R : Substitui uma regra - N : cria nova cadeia - X : deleta cadeia - E : renomeia uma cadeia Mini Curso Firewall Linux – Wairisson Gomes
  25. 25. Sintaxe do Iptablesiptables -t [tabela] <ordem> <chain> [condições] -j <ação>• Cadeias Filter : INPUT, OUTPUT e FORWARD Nat: PREROUTING, OUTPUT e POSTROUTING Mangle : INPUT, OUTPUT, FORWARD, PREROUTING, ePOSTROUTING Mini Curso Firewall Linux – Wairisson Gomes
  26. 26. Sintaxe do Iptablesiptables -t [tabela] <ordem> <chain> [condições] -j <ação>• Condições -p : especifica o protocolo (ex: -p icmp) -i : especifica uma interface de entrada (ex: -i eth0) -o : especifica uma interface de saida (ex: -o eth0) -s : especifica um endereço/rede de origem (ex: -s 10.0.0.1 ou10.0.0.0/8) -d : especifica um endereço/rede de destino (ex: -d 10.0.0.1 ou10.0.0.0/8) ! : especifica uma exclusão (ex: -d ! 10.0.0.1 ou ! 10.0.0.0/8) Mini Curso Firewall Linux – Wairisson Gomes
  27. 27. Sintaxe do Iptablesiptables -t [tabela] <ordem> <chain> [condições] -j <ação>• Condições -j : especifica um alvo (ex: -j ACCEPT) -sport : especifica porta de origem (ex: -p tcp --sport 80) -dport : especifica porta de destino (ex: -p udp --dport 53) Mini Curso Firewall Linux – Wairisson Gomes
  28. 28. Sintaxe do Iptablesiptables -t [tabela] <ordem> <chain> [condições] -j <ação>• Ação ACCEPT : aceita ou permite a passagem de um pacote DROP : descarta um pacote ou impede sua passagem REJECT : descarta/impede a passagem de um pacote retornandouma mensagem LOG: registra a passagem do pacote em /var/log/messages SNAT: altera o endereço de origem do pacote DNAT: altera o endereço de destino do pacote REDIRECT: faz o redirecionamento de portas Mini Curso Firewall Linux – Wairisson Gomes
  29. 29. Hand´s On - Tabela filter1º CENÁRIO Mini Curso Firewall Linux – Wairisson Gomes
  30. 30. Hand´s On - Tabela filterTarefas: 1 - No FIREWALL Habilitar o encaminhamento 2 - No XP efetuar um ping parafw.minicurso.com.br 3 - No XP Acessar http://fw.minicurso.com.br 4 - No XP Usando o putty acessar remotamentefw.minicurso.com.br Mini Curso Firewall Linux – Wairisson Gomes
  31. 31. Hand´s On - Tabela filterTarefas: 5 - No FIREWALL definir as políticas padrão emDROP 5.1 – iptables –P INPUT DROP 5.2 – iptables –P FORWARD DROP 5.3 – iptables –P OUTPUT DROP 6 - repetir os testes dos itens 1 a 4 7 - No FIREWALL tentar pingar para 200.100.10.2,192.168.0.2 e 127.0.0.1 Mini Curso Firewall Linux – Wairisson Gomes
  32. 32. Hand´s On - Tabela filterTarefas:8 - Liberar as conexões a seguir na chain INPUT 8.1 – tudo origem loopback iptables -t filter –A INPUT –i lo –j ACCEPT 8.2 – todas as conexões originadas do própriofirewall iptables -P OUTPUT ACCEPT 8.3 Libera recepção da resposta de ping originadospelo firewall iptables -t filter -A INPUT -p icmp -m state --stateESTABLISHED,RELATED -j ACCEPT9 - repetir os testes do item 7 Mini Curso Firewall Linux – Wairisson Gomes
  33. 33. Hand´s On - Tabela filterTarefas:10 - Liberar as conexões a seguir na chain INPUT 10.1 – protocolo ICMP a partir da LAN iptables -t filter -A INPUT -s 192.168.0.0/24 -picmp -j ACCEPT 10.2 – portas 22 e 80 do FIREWALL para a redelocal iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp-m multiport --dport 22,80 -j ACCEPT Mini Curso Firewall Linux – Wairisson Gomes
  34. 34. Hand´s On - Tabela filterTarefas:10 - Liberar as conexões a seguir na chain INPUT 10.3 – apenas a porta 80 do FIREWALL para ainterface conectada à internet iptables -t filter -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT 10.4 – acesso ssh para o ip 200.100.10.2 iptables -t filter -A INPUT -s 200.100.10.2 -p tcp --dport 22 -j ACCEPT Mini Curso Firewall Linux – Wairisson Gomes
  35. 35. Hand´s On - Tabela filter2º CENÁRIO Mini Curso Firewall Linux – Wairisson Gomes
  36. 36. Hand´s On - Tabela filterTarefas:11 – Habilitar o NAT iptables -t nat -A POSTROUTING -s 192.168.0.0/24-j MASQUERADE12 - Liberar o ping a partir da rede local para internet # ida lan > internet iptables -t filter -A FORWARD -p icmp -s192.168.0.0/24 -j ACCEPT # volta internet > lan iptables -t filter -A FORWARD -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT Mini Curso Firewall Linux – Wairisson Gomes
  37. 37. Hand´s On - Tabela filterTarefas:12 - Liberar as conexões LAN > INTERNET nas portas 80, 443,22 e 53 # ida lan > internet iptables -t filter -A FORWARD -p tcp -m multiport--dport 80,443,22,53 -j ACCEPT iptables -t filter -A FORWARD -p udp --dport 53 -jACCEPT # volta internet > lan iptables -t filter -A FORWARD -p tcp -m multiport--sport 80,443,22,53 -m state --state ESTABLISHED,RELATED -jACCEPT iptables -t filter -A FORWARD -p udp --sport 53 -jACCEPT Mini Curso Firewall Linux – Wairisson Gomes
  38. 38. Hand´s On - Tabela filterTarefas:13 - Liberar as conexões LAN > INTERNET nas portas 20, 21,4000 e 4001 # ida lan > internet iptables -A FORWARD -s 192.168.0.0/24 -p tcp -mmultiport --dports 20,21,4000,40001 -j ACCEPT # volta internet > lan iptables -A FORWARD -p tcp -m multiport --sports20,21,4000,40001 -m state --state RELATED,ESTABLISHED -jACCEPT Mini Curso Firewall Linux – Wairisson Gomes
  39. 39. Hand´s On - Tabela nat2º CENÁRIO Request 200.100.10.1:3389 request 192.168.0.2:3389 reply 200.100.10.1:3389 reply 192.168.0.2:3389 Mini Curso Firewall Linux – Wairisson Gomes
  40. 40. Hand´s On - Tabela natTarefas:14 - O redirecionamento de portas é útil para publicarservidores na web que estão dentro da LAN # redireciona pacotes com destino a porta 3389 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport3389 -j DNAT --to 192.168.0.2:3389 # libera conexões com destino a 192.168.0.2 iptables -t filter -A FORWARD -d 192.168.0.2 -p tcp --dport 3389 -j ACCEPT # libera a resposta de 192.168.0.2 iptables -t filter -A FORWARD -s 192.168.0.2 -p tcp --sport 3389 -j ACCEPT Mini Curso Firewall Linux – Wairisson Gomes
  41. 41. Salvando, Limpando e restaurando as regras# salvandoiptables-save > firewall.save# visualizandocat firewall.save# limpando todas as tabelasiptables -t filter -Fiptables -t nat -Fiptables -t magle –F# restaurandoiptables-restore < firewall.save Mini Curso Firewall Linux – Wairisson Gomes
  42. 42. Ativando no boot# adicionar a linha abaixo no arquivo/etc/network/interfacespre-up iptables-restore < /home/aluno/firewall.save Mini Curso Firewall Linux – Wairisson Gomes
  43. 43. ReferênciasFILHO, Mota. Eriberto. Firewall com iptables. Disponível em:<http://eriberto.pro.br/iptables/3.html> acesso em: 23 set 12NETO, Urubatan. Dominando Linux Firewall Iptables. 2004,Ciencia Moderna.MENDES, Wagner. Firewall no Linux – Curso On line. Disponívelem: < http://www.devmedia.com.br/curso/firewall-no-linux/121> acesso em: 23 set 12 Mini Curso Firewall Linux – Wairisson Gomes

×