Netfilter/Iptables
Cenário 2
Topologia
• Neste cenário trabalharemos com um firewall
que conecta a LAN de uma empresa à
Internet, conforme a figura abaixo. Observe
que o PC01 fará o papel da LAN interna.
Internet
LAN
O PC01 deve possuir três endereços IPs:
Ifconfig eth0:1 10.0.0.10
Ifconfig eth0:2 10.0.0.20
Ifconfig eth0:3 10.0.0.30
Resolução de nomes
• Como vamos utilizar nomes em vez de
endereços IP, é necessário um mecanismo de
resolução de nomes.
• Em /etc/hosts insira as linhas abaixo:
10.0.0.10 www.sexo.com.br
10.0.0.20 www.cracker.com
10.0.0.30 www.filialnossaempresa.com
Algumas regras
• Inicialmente vamos conhecer mais alguns
comandos e criar novas regras usando
principalmente a chain FORWARD.
Regra 1
• Impede que qualquer máquina de dentro da
sua LAN acesse o site www.sexo.com.br.
Iptables –A FORWARD –s 172.16.0.0/16 –d www.sexo.com.br –j DROP
• A resolução de nomes precisa estar habilitada.
Regra 2
• Impede a entrada de qualquer pacote que
venha da máquina www.cracker.com.
Iptables –A FORWARD –s www.cracker.com –d 172.16.0.0 –j DROP
Regra 3
• Todos os pacotes de um determinado site
podem entrar em sua rede.
iptables –A FORWARD –s www.filialnossaempresa.com –d 10.0.0.0 –j
ACCEPT
Regra 4
• Rejeitar pacotes que entrem pela interface
eth1.
iptables -A FORWARD -i eth1 -j REJECT
• Descartar pacotes que entram por todas as
interfaces menos pela eth0.
iptables -A FORWARD -i ! eth0 -j DROP
Deletando regras
• Deletar a primeira entrada na chain
FORWARD.
iptables –D FORWARD 1
• Repita o comando para listar as regras e
verifique se a entrada foi de fato deletada.
Mais comandos...
• Experimente os comandos:
iptables –L –v
iptables –L –v –n
• O que eles mostram a mais?
Regra 5
• Descarta qualquer pacote vindo da rede
9.0.0.0 destinado ao computador 10.0.0.1.
iptables –A FORWARD –s 9.0.0.0 –d 10.0.0.1 –j DROP
Regra 6
• Pacotes destinados a porta 80 de nosso
firewall serão descartados.
iptables -A INPUT -p tcp --dport 80 -j DROP
Tarefa
• Inicialize um servidor Web em sua rede interna e
outro em seu firewall. Permita acesso irrestrito
ao servidor em seu firewall e bloqueie em sua
rede interna.
• Permita acesso ao servidor Web interno somente
a partir do seu firewall.
• Permita acesso SSH a partir da Internet, somente
para o firewall.
• Permita acesso SSH, em sua máquina interna
somente a partir do firewall.
Download

02 Iptables