Netfilter/Iptables Cenário 2 Topologia • Neste cenário trabalharemos com um firewall que conecta a LAN de uma empresa à Internet, conforme a figura abaixo. Observe que o PC01 fará o papel da LAN interna. Internet LAN O PC01 deve possuir três endereços IPs: Ifconfig eth0:1 10.0.0.10 Ifconfig eth0:2 10.0.0.20 Ifconfig eth0:3 10.0.0.30 Resolução de nomes • Como vamos utilizar nomes em vez de endereços IP, é necessário um mecanismo de resolução de nomes. • Em /etc/hosts insira as linhas abaixo: 10.0.0.10 www.sexo.com.br 10.0.0.20 www.cracker.com 10.0.0.30 www.filialnossaempresa.com Algumas regras • Inicialmente vamos conhecer mais alguns comandos e criar novas regras usando principalmente a chain FORWARD. Regra 1 • Impede que qualquer máquina de dentro da sua LAN acesse o site www.sexo.com.br. Iptables –A FORWARD –s 172.16.0.0/16 –d www.sexo.com.br –j DROP • A resolução de nomes precisa estar habilitada. Regra 2 • Impede a entrada de qualquer pacote que venha da máquina www.cracker.com. Iptables –A FORWARD –s www.cracker.com –d 172.16.0.0 –j DROP Regra 3 • Todos os pacotes de um determinado site podem entrar em sua rede. iptables –A FORWARD –s www.filialnossaempresa.com –d 10.0.0.0 –j ACCEPT Regra 4 • Rejeitar pacotes que entrem pela interface eth1. iptables -A FORWARD -i eth1 -j REJECT • Descartar pacotes que entram por todas as interfaces menos pela eth0. iptables -A FORWARD -i ! eth0 -j DROP Deletando regras • Deletar a primeira entrada na chain FORWARD. iptables –D FORWARD 1 • Repita o comando para listar as regras e verifique se a entrada foi de fato deletada. Mais comandos... • Experimente os comandos: iptables –L –v iptables –L –v –n • O que eles mostram a mais? Regra 5 • Descarta qualquer pacote vindo da rede 9.0.0.0 destinado ao computador 10.0.0.1. iptables –A FORWARD –s 9.0.0.0 –d 10.0.0.1 –j DROP Regra 6 • Pacotes destinados a porta 80 de nosso firewall serão descartados. iptables -A INPUT -p tcp --dport 80 -j DROP Tarefa • Inicialize um servidor Web em sua rede interna e outro em seu firewall. Permita acesso irrestrito ao servidor em seu firewall e bloqueie em sua rede interna. • Permita acesso ao servidor Web interno somente a partir do seu firewall. • Permita acesso SSH a partir da Internet, somente para o firewall. • Permita acesso SSH, em sua máquina interna somente a partir do firewall.