Trabalho de iptables

Disponível somente no TrabalhosFeitos
  • Páginas : 6 (1417 palavras )
  • Download(s) : 0
  • Publicado : 27 de novembro de 2012
Ler documento completo
Amostra do texto
Anotações Trabalho Administração de Redes
Tabela FILTER - É a tabela responsável pelos filtros dos pacotes. Ela se divide em 3 chains padrão.
* INPUT - A chain INPUT é responsável por filtrar todo o tráfego que entra no firewall.
* FORWARD - A chain FORWARD é responsável por filtrar todo o tráfego que passará pelo firewall, ou seja, todos os pacotes onde o NAT será aplicado.
*OUTPUT - A chain OUTPUT é responsável por filtrar todo o tráfego que sairá pelo firewall.
Tabela NAT - É a tabela responsável pelo redirecionamento de pacotes. Ela também se divide em 3 chains.
* PREROUTING - A chain PREROUTING é utilizada para alterar pacotes antes que os mesmos sejam roteados.
* OUTPUT - A chain OUTPUT é utilizada para alterar os pacotes que se originam no firewall.* POSTROUTING - A chain POSTROUTING é utilizada pala alterar pacotes que já sofreram roteamento.
Tabela MANGLE
É a tabela responsável pela alteração de prioridade na entrada e saída de pacotes, baseando-se no tipo de serviço (TOS). É dividida em 2 chains.
* PREROUTING - A chain PREROUTING trata a prioridade de pacotes antes de passarem por roteamento.
* OUTPUT - A chain OUTPUT tratapacotes originados localmente no firewall antes que sejam roteados.
Quando temos um pacote que combinou com todas as opções da regra, necessitamos especificar um destino para o mesmo, como vimos anteriormente podemos especificar os seguintes alvos / destinos:

ACCEPT - Aceita a entrada ou passagem do pacote.

DROP - Descarta o pacote.

REJECT - Descarta o pacote, porém diferente de DROP,ele retorna uma mensagem ao emissor informando o que houve com o pacote.

LOG - Gera um log no sistema.

RETURN - Retorna o processamento da chain anterior.

QUEUE - Encarrega um programa de administrar o fluxo atribuído ao mesmo.

SNAT - Altera o endereço de origem do pacote.

DNAT - Altera o endereço de destino do pacote.

REDIRECT - Redireciona a porta do pacote juntamente com aopção --to-port.

TOS - Prioriza a entrada e saída de pacotes baseado em seu tipo de serviço. 

#limpa todas as regras
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F

#exclui chains criadas
iptables -t filter -X
iptables -t nat -X
iptables -t mangle -X

#zera contador
iptables -t filter -Z
iptables -t nat -Z
iptables -t mangle -Z

#define política padrão para DROP#se não especificar a tabela com -t, o iptables utilizará a tabela filter
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

#INPUT
#libera entrada para serviços locais do firewall
iptables -A INPUT -i lo -j ACCEPT #libera tráfego local
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT #libera Squid
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT #libera DNS
iptables -AINPUT -m state ESTABLISHED, RELATED -j ACCEPT #libera pacotes sincronizados
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT #libera ping.

#OUTPUT
iptables -A OUTPUT -j ACCEPT #libera toda a saída

#FORWARD
iptables -N INT2EXT #Cria chain INT2EXT para tratar a saída do tráfego
iptables -N EXT2INT #Cria chain EXT2INT para tratar a entrada do tráfego.
iptables -A FORWARD -ieth0 -o eth1 -j EXT2INT #aceita tráfego de entrada especificado em EXT2INT
iptables -A FORWARD -i eth1 -o eth0 -j INT2EXT #aceita tráfego de saída especificado em INT2EXT

iptables -A INT2EXT -p tcp -s 192.168.0.10 -j ACCEPT #libera o host 192.168.0.10 a sair por qualquer porta tcp
iptables -A INT2EXT -p tcp -m multiport --dport 25,110 -j ACCEPT #libera envio e recebimento de email para a redeiptables -A EXT2INT -p tcp --dport 80 -j ACCEPT #libera entrada para serviço web.

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.0.10:80 #direciona tráfego http para para o host 192.168.0.10

iptables -t mangle -A INPUT -p tcp --dport 80 -j TOS --set-tos 16 #prioriza tráfego na porta 80

http://eriberto.pro.br/iptables/filter.jpg
São três, as possíveis chains:...
tracking img