Documente Academic
Documente Profesional
Documente Cultură
Firewall p. 1/23
Firewall
Usado para fazer o controle de trfego entre as redes Nele so denidas as polticas de segurana da rede Baseado nas polticas, so geradas regras de ltragem de pacotes Tambm pode ser usado localmente na mquina do usurio
Firewall p. 2/23
Firewall - Perguntas
O que voc est tentando proteger ? De quem ? O que um rewall pode fazer ? O que um rewall no pode fazer ? Qual mquina usar ? Onde coloc-lo sicamente ?
Firewall p. 3/23
Firewall p. 4/23
Firewall p. 5/23
Firewall
Congurao bsica (2 redes):
Internet
Firewall
Firewall p. 6/23
Firewall
Congurao melhorada (3 redes):
Internet
Rede Wireless
Firewall
Firewall p. 7/23
Firewall p. 8/23
Firewall p. 9/23
o pacote chega e modicado, isso acontece antes do roteamento do pacote. usado em regras de Redirecionamento de porta
POSTROUTING:
Firewall p. 10/23
Firewall p. 11/23
Firewall p. 12/23
Firewall p. 13/23
Firewall p. 14/23
Firewall p. 15/23
Firewall p. 16/23
Firewall p. 17/23
Firewall p. 18/23
Firewall - Exemplos
Monitorar o trfego na interface eth0: tcpdump -i eth0 Habilitar IP forwarding: sysctl net.ipv4.conf.all.forwarding=1 ou echo 1 >
/proc/sys/net/ipv4/ip forward
Listar as regras: iptables -L Habilitar encaminhamento de porta: iptables -P FORWARD ACCEPT Habilitar NAT: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE Liberar porta para servio: iptables -A INPUT -p tcp -i eth0 --dport 80 -j
ACCEPT
Liberar trfego na interface lo: iptables -I INPUT 2 -i lo -j ACCEPT Redirecionar portas: iptables -t nat -A PREROUTING -p tcp -i eth0 -d
192.168.2.X --dport 22 -j DNAT --to 10.0.0.2:22
Firewall p. 19/23
Firewall - Exemplos
Redirecionar portas (regra): iptables -A FORWARD -p tcp -i eth0 -d 10.0.0.2
--dport 22 -j ACCEPT
Bloquear o resto: iptables -A INPUT -j DROP Evitar ataques Syn-ood (limita a um pedido de conexo por segundo): iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT Remover a regra 2 da cadeira INPUT: iptables -D INPUT 2 Poltica padro: iptables -P INPUT DROP Poltica padro: iptables -P FORWARD ACCEPT Poltica padro: iptables -P OUTPUT ACCEPT Salvar as regras: iptables-save > /etc/iptables.up.rules Desativar as regras da cadeia INPUT: iptables -F INPUT
Firewall p. 20/23
Firewall
Para carregar as regras no boot (arquivo /etc/network/interfaces):
auto eth0 iface eth0 inet dhcp pre-up iptables-restore < /etc/iptables.up.rules
Firewall p. 21/23
Exerccios
1. Repetir a congurao da ltima aula.
eth0
Servidor SSH
eth0 eth1
eth0
2. Criar regras no servidor SSH, permitindo acesso apenas ao ssh. 3. Criar regras no rewall, permitindo acesso externo apenas aos servios ssh e web. 4. Criar regras no rewall, liberando o trfego de sada da rede LAN1 para os protocolos tcp e udp e bloqueando o resto. 5. Criar regras no rewall, limitando o acesso ao mesmo apenas por ssh.
Firewall p. 22/23
Referncias
http://www.guiaubuntupt.org/wiki/index.php?title=Iptables
http://www.linuxforums.org/forum/networking/36934-port-forwarding-iptables.htm
Firewall p. 23/23