Pesquisar por palavra-chave:

terça-feira, 18 de setembro de 2012

iptables, o firewall do Linux (Parte 2 do tutorial)

Agora que já conhece os conceitos básicos do iptables, podemos avançar um pouco mais. Para quem não leu a primeira parte deste tutorial, clique aqui.


  • Como abrir portas no iptables:


iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Analizando detalhadamente:

iptables -A = anexar uma regra a chain
INPUT = de entrada de dados
-p tcp = do protocolo tcp
--dport 80 = a porta de destino 80
ACCEPT = está aceita

Porém somente este comando não abriu a porta totalmente, pois está aberta somente para entrada de dados, logo, precisa da regra a seguir para abrir a porta para saída também:

iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT

A diferença está na chain OUTPUT que especifica saída de dados.


  • Para abrir várias portas ao mesmo tempo, por exemplo tcp 80, tcp 443 e tcp 21 (porta do HTTP, HTTPS e FTP respecticamente) usamos o -m multiport no comando:


iptables -A INPUT -m multiport -p tcp --dport 80,443,21 -j ACCEPT

Obs: não podemos abrir portas de diferentes protocolos no mesmo comando, não esqueça disso :)


  • Como abir um conjunto de portas sequenciais:


iptables -A INPUT -p tcp --dport 27000:27015 -j ACCEPT

Basta digitar a porta inicial e a porta final com " : " no meio


  • Bloqueando pings
Bloquear ping pode ser útil para evitar ataques com o "ping da morte" ou evitar "nuke ip death", que são técnicas hacker para "derrubar" rede.

iptables -a OUTPUT -p icmp --icmp-type echo-request -j DROP

  • Desbloqueando interface loopback
Muitos programas do Linux como SWAT (Samba Web Administration Tool) ou Webmim entre outros, são acessados via browser, usando o endereço 127.0.0.1:901 (ip do localhost e porta), mas para que funcionem, é preciso desbloquear a interface loopback, que é uma interface virtual que permite acessar seu próprio computador via browser, essencial para vários aplicativos e ferramentas:

iptables -a INPUT -i lo -j ACCEPT

a opção "-i" especifica interface, e "lo" especifica loop´back

  • negando todas as novas conexões
Este comando permite negar todas as novas conexões exceto as digitadas anteriormente,  bloqueando acesso externo

iptables -A INPUT -p tcp --syn -j DROP

Leia a terceira e última parte deste artigo clicando aqui
 
Com este tutorial, você aprendeu novos comandos iptables úteis, mas ainda não é tudo, continue acompanhado este tutorial, a parte 3 vem aí! comentem se gostaram!





3 comentários:

Obrigado por comentar, será publicado em breve!

Assinar: Postar comentários (Atom)
google-site-verification: google53a8eb0bc7dc474a.html