Professional Documents
Culture Documents
Programao
Firewall + Proxy
Treinamento prtico para administradores de redes , analistas de segurana da informao.
Introduo a segurana Entendendo uma DMZ Erros comuns de implementao Case use Netfilter/Iptables - Conhecendo a fera Aula_01Pasta Firewall IptablesLio Aula_1Recurso
Estrutura para scripts de firewall Stateless vs Statefull Regras de repasse nas redes internas, DMZ, LAN, WAN
Instalao do Linux customizado para firewall + proxy Atualizando pacotes e instalando programas Segmentao fsica da rede, criando DMZ Construindo script de configurao do firewall Testes prticos no laboratrio Realizando troubleshooting com tcpdump Script de Firewall - EstruturaPasta Trabalhando com tcpdumpLio
Trabalhando com SNAT e DNAT Servios Pblicos em Ips privados KNOCKD - Batendo na porta do Cu Introduo ao Squid
10
Dicas
Galera, conforme prometido vamos estudar algumas coisas sobre o Linux. Primeiramente iremos configurar a rede para podermos trabalhar, atualizar pacotes, instalar programas e tudo mais. Faa login como usurio root e digite os seguintes comandos para configurar a rede. Lembrando que no Debian o arquivo de configurao da rede fica em /etc/network/interfaces. As informaes que sero passadas so da rede interna da Nw Web. No seu ambiente, bvio, dever ser alterado: # nano /etc/network/interfaces iface eth0 inet static address 192.168.2.100 netmask 255.255.255.0 gateway 192.168.2.1 auto eth0
Salve o arquivo e depois reinicie as interfaces de rede: # /etc/init.d/networking restart Visualize as informaes com o comando ifconfig: # ifconfig eth0 Faa um teste de conectividade com o gateway: # ping -c 3 192.168.2.1 Se tudo der certo vai funcionar. Agora iremos configurar o DNS, para resoluo de nomes. O arquivo se chama /etc/resolv.conf: # nano /etc/resolv.conf
nameserver 192.168.2.1 Agora iremos dar um "ping" fora da rede, ou seja, para a internet: # ping -c3 www.nwweb.com.br Tudo dever estar ok. Seno temos que verificar se tudo esta certo. Lembrando que 90% dos problemas de redes esto no meio fsico, cabos, links , tomadas e etc. Mas como voc j deve ter verificado isso (eu acredito em voc), vamos visualizar as configuraes atravs dos comandos de diagnstico. # ifconfig Veja se os IPs, mscara de rede esto corretos. # route -n Para visualizar o gateway da rede. # cat /etc/resolv.conf Para visualizar o DNS da rede. Agora iremos editar o arquivo de configurao do repositrio, que fica em /etc/apt/sources.list: # nano /etc/apt/sources.list deb http://ftp.us.debian.org/debian lenny main deb-src http://ftp.us.debian.org/debian lenny main Salve o arquivo e atualize a relao de pacotes disponveis: # aptitude update Para atualizar o seu sistema: # aptitude safe-upgrade Para instalar um pacote, um programa: # aptitude install nmap Pode-se instalar vrios de uma vez, separado por espao: # aptitude install -y mtr tcpdump lynx ssh hping3 Ok, agora se quiser pegar os comandos digitados, digite o comando history. # history Para jogar para dentro de um arquivo faa: # history > comandos.txt At a prxima!!!
Introduo ao Netfilter/Iptables
Introduo
O Firewall um programa que tem como objetivo proteger a mquina contra acessos indesejados, trfego indesejado, proteger servios que estejam rodando na mquina e bloquear a passagem de coisas que voc no deseja receber (como conexes vindas da Internet para sua segura rede local, evitando acesso aos dados corporativos de uma empresa ou a seus dados pessoais). O firewall iptables (tambm chamado de netfilter) que substitui o ipchains dos kernels da srie 2.2. Este novo firewall tem como vantagem ser muito estvel (assim como o ipchains e ipfwadm ), confivel, permite muita flexibilidade na programao de regras pelo administrador do sistema, mais opes disponveis ao administrador para controle de trfego, controle independente do trfego da rede local/entre redes/interfaces devido a nova organizao das etapas de roteamento de pacotes. O iptables um firewall em nvel de pacotes e funciona baseado no endereo/porta de origem/destino do pacote, prioridade, etc. Ele funciona atravs da comparao de regras para saber se um pacote tem ou no permisso para passar. Em firewalls mais restritivos, o pacote bloqueado e registrado para que o administrador do sistema tenha conhecimento sobre o que est acontecendo em seu sistema. Ele tambm pode ser usado para modificar e monitorar o trfego da rede, fazer NAT (masquerading, source nat, destination nat), redirecionamento de pacotes, marcao de pacotes, modificar a prioridade de pacotes que chegam/saem do seu sistema, contagem de bytes, dividir trfego entre mquinas, criar protees antispoofing, contra syn flood, DoS, etc. O trfego vindo de mquinas desconhecidas da rede pode tambm ser bloqueado/registrado atravs do uso de simples regras. As possibilidades oferecidas pelos recursos de filtragem iptables como todas as ferramentas UNIX maduras dependem de sua imaginao, pois ele garante uma grande flexibilidade na manipulao das regras de acesso ao sistema, precisando apenas conhecer quais interfaces o sistema possui, o que deseja bloquear, o que tem acesso garantido, quais servios devem estar acessveis para cada rede, e iniciar a construo de seu firewall. O iptables ainda tem a vantagem de ser modularizvel, funes podem ser adicionadas ao firewall ampliando as possibilidades oferecidas. Um firewall no funciona de forma automtica (instalando e esperar que ele faa as coisas por voc), necessrio pelo menos conhecimentos bsicos de rede tcp/ip, roteamento e portas para criar as regras que faro a segurana de seu sistema. A segurana do sistema depende do controle das regras que sero criadas por voc, as falhas humanas so garantia de mais de 95% de sucesso nas invases. Enfim o iptables um firewall que agradar tanto a pessoas que desejam uma segurana bsica em seu sistema, quando administradores de grandes redes que querem ter um controle minucioso sobre o trfego que passam entre suas interfaces de rede (controlando tudo o que pode passar de uma rede a outra), controlar o uso de trfego, monitorao, etc. O iptables um cdigo de firewall das verses 2.4 e 2.6 do kernel, que substituiu o ipchains (presente nas sries 2.2 do kernel). Ele foi includo no kernel da srie 2.4 em meados de Junho/Julho de 1999.
Caractersticas do Iptables
Caractersticas do firewall iptables Especificao de portas/endereo de origem/destino Suporte a protocolos TCP/UDP/ICMP (incluindo tipos de mensagens icmp) Suporte a interfaces de origem/destino de pacotes Manipula servios de proxy na rede Tratamento de trfego dividido em chains (para melhor controle do trfego que entra/sai da mquina e trfego redirecionado. Permite um nmero ilimitado de regras por chain Muito rpido, estvel e seguro Possui mecanismos internos para rejeitar automaticamente pacotes duvidosos ou mal formados. Suporte a mdulos externos para expanso das funcionalidades padres oferecidas pelo cdigo de firewall
Suporte completo a roteamento de pacotes, tratadas em uma rea diferente de trfegos padres. Suporte a especificao de tipo de servio para priorizar o trfego de determinados tipos de pacotes. Permite especificar excees para as regras ou parte das regras Suporte a deteco de fragmentos Permite enviar alertas personalizados ao syslog sobre o trfego aceito/bloqueado. Redirecionamento de portas Masquerading Suporte a SNAT (modificao do endereo de origem das mquinas para um nico IP ou faixa de IP's). Suporte a DNAT (modificao do endereo de destino das mquinas para um nico IP ou fixa de IP's) Contagem de pacotes que atravessaram uma interface/regra Limitao de passagem de pacotes/conferncia de regra (muito til para criar protees contra, syn flood, ping flood, DoS, etc).
Instalao do Iptables
Ele j vem instalado na maioria das distribuies Linux. Alguns comandos importantes.
Ficha tcnica Pacote: iptables iptables - Sistema de controle principal para protocolos ipv4 ip6tables - Sistema de controle principal para protocolos ipv6 iptables-save - Salva as regras atuais em um arquivo especificado como argumento. Este utilitrio pode ser dispensado por um shell script contendo as regras executado na inicializao da mquina. iptables-restore - Restaura regras salvas pelo utilitrio iptables-save . Arquivos de logs criados pelo iptables Todo trfego que for registrado pelo iptables registrado por padro no arquivo /var/log/kern.log .
Instalao
# apt-get install iptables O pacote iptables contm o utilitrio iptables (e ip6tables para redes ipv6) necessrios para inserir suas regras no kernel. Se voc no sabe o que ipv6, no precisar se preocupar com o utilitrio ip6tables por enquanto.
Tipos de Firewall
Existem basicamente dois tipos de firewalls: nvel de aplicao - Este tipo de firewall analisam o contedo do pacote para tomar suas decises de filtragem. Firewalls deste tipo so mais intrusivos (pois analisam o contedo de tudo que passa por ele) e permitem um controle relacionado com o contedo do trfego. Alguns firewalls em nvel de aplicao combinam recursos bsicos existentes em firewalls em nvel de pacotes combinando as funcionalidade de
controle de trfego/controle de acesso em uma s ferramenta. Servidores proxy, como o squid , so um exemplo deste tipo de firewall. nvel de pacotes - Este tipo de firewall toma as decises baseadas nos parmetros do pacote, como porta/endereo de origem/destino, estado da conexo, e outros parmetros do pacote. O firewall ento pode negar o pacote (DROP) ou deixar o pacote passar (ACCEPT). O iptables um excelente firewall que se encaixa nesta categoria. Os dois tipos de firewalls podem ser usados em conjunto para fornecer uma camada dupla de segurana no acesso as suas mquinas/mquinas clientes.
O que proteger?
Antes de iniciar a construo do firewall bom pensar nos seguintes pontos: Quais servios precisa proteger. Servios que devem ter acesso garantido a usurios externos e quais sero bloqueados a todas/determinadas mquinas. recomendvel bloquear o acesso a todas portas menores que 1024 por executarem servios que rodam com privilgio de usurio root , e autorizar somente o acesso as portas que realmente deseja (configurao restritiva nesta faixa de portas). Que tipo de conexes eu posso deixar passar e quais bloquear. Servios com autenticao em texto plano e potencialmente inseguros como rlogin, telnet, ftp, NFS, DNS, LDAP, SMTP RCP, X-Window so servios que devem ser ter acesso garantido somente para mquinas/redes que voc confia. Estes servios podem no ser s usados para tentativa de acesso ao seu sistema, mas tambm como forma de atacar outras pessoas aproveitando-se de problemas de configurao. A configurao do firewall ajuda a prevenir isso, mesmo se um servio estiver mal configurado e tentando enviar seus pacotes para fora, ser impedido. Da mesma forma se uma mquina Windows de sua rede for infectada por um trojan no haver pnico: o firewall poder estar configurado para bloquear qualquer tentativa de conexo vinda da internet (cracker) para as mquinas de sua rede. Para cpia de arquivos via rede insegura (como atravs da Internet), recomendado o uso de servios que utilizam criptografia para login e transferncia de arquivos ou a configurao de uma VPN. Que mquinas tero acesso livre e quais sero restritas. Que servios devero ter prioridade no processamento. Que mquinas/redes NUNCA devero ter acesso a certas/todas mquinas. O volume de trfego que o servidor manipular. Atravs disso voc pode ter que balancear o trfego entre outras mquinas, configurar protees contra DoS, syn flood, etc. O que tem permisso de passar de uma rede para outra (em mquinas que atuam como roteadores/gateways de uma rede interna). Etc. A anlise destes pontos pode determinar a complexidade do firewall, custos de implementao, prazo de desenvolvimento e tempo de maturidade do cdigo para implementao. Existem muitos outros pontos que podem entrar na questo de desenvolvimento de um sistema de firewall, eles dependem do tipo de firewall que est desenvolvendo e das polticas de segurana de sua rede.
O que so regras?
As regras so como comandos passados ao iptables para que ele realize uma determinada ao (como bloquear ou deixar passar um pacote) de acordo com o endereo/porta de origem/destino, interface de origem/destino, etc. As regras so armazenadas dentro dos chains e processadas na ordem que so inseridas. As regras so armazenadas no kernel, o que significa que quando o computador for reiniciado tudo o que fez ser perdido. Por este motivo elas devero ser gravadas em um arquivo para serem carregadas a cada inicializao.
O que so chains?
Os Chains so locais onde as regras do firewall definidas pelo usurio so armazenadas para operao do firewall. Existem dois tipos de chains: os embutidos (como os chains INPUT, OUTPUT e FORWARD) e os criados pelo usurio. Os nomes dos chains embutidos devem ser especificados sempre em maisculas (note que os nomes dos chains so case-sensitive, ou seja, o chain input completamente diferente de INPUT ).
O que so tabelas?
Tabelas so os locais usados para armazenar os chains e conjunto de regras com uma determinada caracterstica em comum. As tabelas podem ser referenciadas com a opo -t tabela e existem 3 tabelas disponveis no iptables : filter - Esta a tabela padro, contm 3 chains padres: INPUT - Consultado para dados que chegam a mquina OUTPUT - Consultado para dados que saem da mquina FORWARD - Consultado para dados que so redirecionados para outra interface de rede ou outra mquina. Os chains INPUT e OUTPUT somente so atravessados por conexes indo/se originando de localhost. OBS: Para conexes locais, somente os chains INPUT e OUTPUT so consultados na tabela filter. nat - Usada para dados que gera outra conexo (masquerading, source nat, destination nat, port forwarding, proxy transparente so alguns exemplos). Possui 3 chains padres: PREROUTING - Consultado quando os pacotes precisam ser modificados logo que chegam. o chain ideal para realizao de DNAT e redirecionamento de portas. OUTPUT - Consultado quando os pacotes gerados localmente precisam ser modificados antes de serem roteados. Este chain somente consultado para conexes que se originam de IPs de interfaces locais. POSTROUTING - Consultado quando os pacotes precisam ser modificados aps o tratamento de roteamento. o chain ideal para realizao de SNAT e IP Masquerading. mangle - Utilizada para alteraes especiais de pacotes (como modificar o tipo de servio (TOS) ou outros detalhes que sero explicados no decorrer do captulo. Possui 2 chains padres: INPUT - Consultado quando os pacotes precisam ser modificados antes de serem enviados para o chain INPUTda tabela filter. FORWARD - Consultado quando os pacotes precisam ser modificados antes de serem enviados para o chainFORWARD da tabela filter. PREROUTING - Consultado quando os pacotes precisam ser modificados antes de ser enviados para o chainPREROUTING da tabela nat. POSTROUTING - Consultado quando os pacotes precisam ser modificados antes de serem enviados para o chainPOSTROUTING da tabela nat. OUTPUT - Consultado quando os pacotes precisam ser modificados antes de serem enviados para o chainOUTPUT da tabela nat.
As opes passadas ao iptables usadas para manipular os chains so SEMPRE em maisculas. As seguintes operaes podem ser realizadas:
Adicionando regras - A
Como exemplo vamos criar uma regra que bloqueia o acesso a nosso prpria mquina (127.0.0.1 - loopback). Primeiro daremos um ping para verificar seu funcionamento: #ping 127.0.0.1 PING 127.0.0.1 (127.0.0.1): 56 data bytes 64 bytes from 127.0.0.1: icmp_seq=0 ttl=255 time=0.6 ms 64 bytes from 127.0.0.1: icmp_seq=1 ttl=255 time=0.5 ms --- 127.0.0.1 ping statistics --2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max = 0.5/0.5/0.6 ms A mquina responde, agora vamos incluir uma regra no chain INPUT (-A INPUT) que bloqueie (-j DROP) qualquer acesso indo ao endereo 127.0.0.1 (-d 127.0.0.1): iptables -t filter -A INPUT -d 127.0.0.1 -j DROP Agora verificamos um novo ping: #ping 127.0.0.1 PING 127.0.0.1 (127.0.0.1): 56 data bytes --- 127.0.0.1 ping statistics --2 packets transmitted, 0 packets received, 100% packet loss Desta vez a mquina 127.0.0.1 no respondeu, pois todos os pacotes com o destino 127.0.0.1 (-d 127.0.0.1) so rejeitados (-j DROP). A opo -A usada para adicionar novas regras no final do chain. Alm de -j DROP que serve para rejeitar os pacotes, podemos tambm usar -j ACCEPT para aceitar pacotes. A opo -j chamada dealvo da regra ou somente alvo pois define o destino do pacote que atravessa a regra. Bem vindo a base de um sistema de firewall. OBS1: - O acesso a interface loopback no deve ser de forma alguma bloqueado, pois muitos aplicativos utilizam soquetes tcp para realizarem conexes, mesmo que voc no possua uma rede interna. OBS2: - A tabela filter ser usada como padro caso nenhuma tabela seja especificada atravs da opo -t .
Listando regras - L
Listando Regras
A seguinte sintaxe usada para listar as regras criadas: iptables [-t tabela] -L [chain] [opes] Onde: tabela uma das tabelas usadas pelo iptables . Se a tabela no for especificada, a tabela filter ser usada como padro. chain
Caso o chain no seja especificado, todos os chains da tabela sero mostrados. opes As seguintes opes podem ser usadas para listar o contedo de chains: -v - Exibe mais detalhes sobre as regras criadas nos chains. -n - Exibe endereos de mquinas/portas como nmeros ao invs de tentar a resoluo DNS e consulta ao /etc/services . A resoluo de nomes pode tomar muito tempo dependendo da quantidade de regras que suas tabelas possuem e velocidade de sua conexo. -x - Exibe nmeros exatos ao invs de nmeros redondos. Tambm mostra a faixa de portas de uma regra de firewall. --line-numbers - Exibe o nmero da posio da regra na primeira coluna da listagem. Para listar a regra criada anteriormente usamos o comando: #iptables -t filter -L INPUT Chain INPUT (policy ACCEPT) target prot opt source destination DROP all -- anywhere localhost O comando iptables -L INPUT -n tem o mesmo efeito, a diferena que so mostrados nmeros ao invs de nomes: #iptables -L INPUT -n Chain INPUT (policy ACCEPT) target prot opt source destination DROP all -- 0.0.0.0/0 127.0.0.1 #iptables -L INPUT -n --line-numbers Chain INPUT (policy ACCEPT) num target prot opt source destination 1 DROP all -- 0.0.0.0/0 127.0.0.1 #iptables -L INPUT -n -v Chain INPUT (policy ACCEPT 78 packets, 5820 bytes) pkts bytes target prot opt in out source destination 2 194 DROP icmp -- * * 0.0.0.0/0 127.0.0.1 Os campos assim possuem o seguinte significado: Chain INPUT Nome do chain listado (policy ACCEPT 78 packets, 5820 bytes)
Policiamento padro do chain. pkts Quantidade de pacotes que atravessaram a regra. bytes Quantidade de bytes que atravessaram a regra. Pode ser referenciado com K (Kilobytes), M (Megabytes), G (Gigabytes). target O alvo da regra, o destino do pacote. Pode ser ACCEPT, DROP ou outro chain. prot Protocolo especificado pela regra. Pode ser udp, tcp, icmp ou all. opt Opes extras passadas a regra. Normalmente "!" ou "f". in Interface de entrada (de onde os dados chegam). out Interface de sada (para onde os dados vo). source Endereo de origem. destination Endereo de destino. outras opes Estas opes normalmente aparecem quando so usadas a opo -x: dpt ou dpts - Especifica a porta ou faixa de portas de destino. reject-with icmp-port-unreachable - Significa que foi usado o alvo REJECT naquela regra.
Para apagar um chain, existem duas alternativas: 1. Quando sabemos qual o nmero da regra no chain (listado com a opo -L ) podemos referenciar o nmero diretamente. Por exemplo, para apagar a regra criada acima: iptables -t filter -D INPUT 1 Esta opo no boa quando temos um firewall complexo com um grande nmero de regras por chains, neste caso a segunda opo a mais apropriada. 2. Usamos a mesma sintaxe para criar a regra no chain, mas trocamos -A por -D :
iptables -t filter -D INPUT -d 127.0.0.1 -j DROP Ento a regra correspondentes no chain INPUT ser automaticamente apagada (confira listando o chain com a opo "-L"). Caso o chain possua vrias regras semelhantes, somente a primeira ser apagada. OBS: No possvel apagar os chains defaults do iptables (INPUT, OUTPUT...).
Em firewalls organizados com um grande nmero de regras, interessante criar chains individuais para organizar regras de um mesmo tipo ou que tenha por objetivo analisar um trfego de uma mesma categoria (interface, endereo de origem, destino, protocolo, etc) pois podem consumir muitas linhas e tornar o gerenciamento do firewall confuso (e conseqentemente causar srios riscos de segurana). O tamanho mximo de um nome de chain de 31 caracteres e podem conter tanto letras maisculas quanto minsculas. iptables [ -t tabela ] [ -N novochain ] Para criar o chain internet (que pode ser usado para agrupar as regras de internet) usamos o seguinte comando: iptables -t filter -N internet Para inserir regras no chain internet basta especifica-lo aps a opo -A: iptables -t filter -A internet -s 200.200.200.200 -j DROP E ento criamos um pulo (-j) do chain INPUT para o chain internet: iptables -t filter -A INPUT -j internet OBS: O chain criando pelo usurio pode ter seu nome tanto em maisculas como minsculas. Se uma mquina do endereo 200.200.200.200 tentar acessar sua mquina, o iptables consultar as seguintes regras: `INPUT' `internet'
---------------------------- ----------------------------| Regra1: -s 192.168.1.15 | | Regra1: -s 200.200.200.200| |--------------------------| |---------------------------| | Regra2: -s 192.168.1.1 | | Regra2: -d 192.168.1.1 | |--------------------------| ----------------------------| Regra3: -j DROP | ---------------------------O pacote tem o endereo de origem 200.200.200.200, ele passa pela primeira e segunda regras do chain INPUT, a terceira regra direciona para o chain internet. _______________________________________ v/v /-------------------------|-\ / /-------------------------------------|-\ | Regra1: -s 192.168.1.15 | | / | Regra1: -s 200.200.200.200 -j DROP \_____\ |-------------------------|-| / |---------------------------------------| / | Regra2: -s 192.168.1.1 | | / | Regra2: -d 200.200.200.202 -j DROP | |-------------------------|-|/ \---------------------------------------/ | Regra3: -j internet /| |---------------------------| No chain internet, a primeira regra confere | Regra4: -j DROP | com o endereo de origem 200.200.200.200 e \---------------------------/ o pacote bloqueado. Se uma mquina com o endereo de origem 200.200.200.201 tentar acessar a mquina, ento as regras consultadas sero as seguintes: O pacote tem o endereo de origem 200.200.200.201, ele passa pela primeira e segunda regras do chain INPUT, a terceira regra direciona para o chain internet ______________________________________ v/v /-------------------------|-\ / /-------------------------------------|-\ | Regra1: -s 192.168.1.15 | | / | Regra1: -s 200.200.200.200 -j DROP | | |-------------------------|-| / |-------------------------------------|-| | Regra2: -s 192.168.1.1 | | / | Regra2: -s 200.200.200.202 -j DROP | | |-------------------------|-|/ \-------------------------------------|-/ | Regra3: -j internet /| v |---------------------------| / | Regra4: -j DROP --+-------------------------------------------
\------------------------/-/ O pacote passa pelas regras 1 e 2 do chain | internet, como ele no confere com nenhuma v das 2 regras ele retorna ao chain INPUT e Esta regra a nmero 4 analisado pela regra seguinte. Que diz para rejeitar o pacote.
Se por algum motivo precisar renomear um chain criado por voc na tabela filter, nat ou mangle, isto poder ser feito usando a opo -E do iptables : iptables -t filter -E chain-antigo novo-chain Note que no possvel renomear os chains defaults do iptables .
O poltica padro determina o que acontecer com um pacote quando ele chegar ao final das regras contidas em um chain. O policiamento padro do iptables "ACCEPT" mas isto pode ser alterado com o comando: iptables [ -t tabela ] [ -P chain ] [ ACCEPT/DROP ] Onde: tabela Tabela que contm o chain que desejamos modificar o policiamento padro. chain Define o chain que ter o policiamento modificado. O chain deve ser especificado. ACCEPT/DROP ACCEPT aceita os pacotes caso nenhuma regra do chain conferir (usado em regras permissivas). DROP rejeita os pacotes caso nenhuma regra do chain conferir (usado em regras restritivas). O policiamento padro de um chain mostrado com o comando iptables -L : # iptables -L INPUT Chain INPUT (policy ACCEPT) target prot opt source destination DROP icmp -- anywhere localhost No exemplo acima, o policiamento padro de INPUT ACCEPT (policy ACCEPT), o que significa que qualquer pacote que no seja rejeitado pela regra do chain, ser aceito. Para alterar o policiamento padro deste chain usamos o comando:
iptables -t filter -P INPUT DROP NOTA: Os policiamentos PERMISSIVOS (ACCEPT) normalmente so usados em conjunto com regras restritivas no chain correspondentes (tudo bloqueado e o que sobrar liberado) e policiamentos RESTRITIVOS (DROP) so usados em conjunto com regras permissivas no chain correspondente (tudo liberado e o que sobrar bloqueado pelo policiamento padro).
Endereo de Origem/Destino
As opes -s (ou --src/--source)e -d (ou --dst/--destination) servem para especificar endereos de origem e destino respectivamente. permitido usar um endereo IP completo (como 192.168.1.1), um hostname (debian), um endereo fqdn (www.debian.org) ou um par rede/mscara (como 200.200.200.0/255.255.255.0 ou 200.200.200.0/24). Caso um endereo/mscara no sejam especificados, assumido 0/0 como padro (todos as mquinas de todas as redes). A interpretao dos endereos de origem/destino dependem do chain que est sendo especificado (como INPUT e OUTPUT por exemplo). OBS: Caso seja especificado um endereo fqdn e este resolver mais de um endereo IP, sero criadas vrias regras, cada uma se aplicando a este endereo IP especfico. recomendvel sempre que possvel a especificao de endereos IP's nas regras, pois alm de serem muito rpidos (pois no precisar de resoluo DNS) so mais seguros para evitar que nosso firewall seja enganado por um ataque de IP spoofing. # Bloqueia o trfego vindo da rede 200.200.200.*: iptables -A INPUT -s 200.200.200.0/24 -j DROP # Bloqueia conexes com o destino 10.1.2.3: iptables -A OUTPUT -d 10.1.2.3 -j DROP # Bloqueia o trfego da mquina www.dominio.teste.org a rede 210.21.1.3 # nossa mquina possui o endereo 210.21.1.3 iptables -A INPUT -s www.dominio.teste.org -d 210.21.1.3 -j DROP
As opes -i (ou --in-interface) e -o (ou --out-interface) especificam as interfaces de origem/destino de pacotes. Nem todos as chains aceitam as interfaces de origem/destino simultaneamente, a interface de entrada (-i) nunca poder ser especificada em um chain OUTPUT e a interface de sada (-o) nunca poder ser especificada em um chain INPUT. Abaixo uma rpida referncia: +---------------------+--------------------------------+ TABELA | CHAIN | INTERFACE | | +----------------+---------------+ | | ENTRADA (-i) | SADA (-o) | +---------+---------------------+----------------+---------------+ | | INPUT | SIM | NO | | filter | OUTPUT | NO | SIM | | | FORWARD | SIM | SIM | +---------+---------------------+----------------+---------------+
| | PREROUTING | SIM | NO | | nat | OUTPUT | NO | SIM | | | POSTROUTING | NO | SIM | +---------+---------------------+----------------+---------------+ | | PREROUTING | SIM | NO | | mangle | | | | | | OUTPUT | NO | SIM | +---------+---------------------+----------------+---------------+ O caminho do pacote na interface ser determinado pelo tipo da interface e pela posio dos chains nas etapas de seu roteamento. O chain OUTPUT da tabela filter somente poder conter a interface de sada (veja a tabela acima). O chain FORWARD da tabela filter o nico que aceita a especificao de ambas as interfaces, este um timo chain para controlar o trfego que passa entre interfaces do firewall. Por exemplo para bloquear o acesso do trfego de qualquer mquina com o endereo 200.123.123.10 vinda da interface ppp0 (uma placa de fax-modem): iptables -A INPUT -s 200.123.123.10 -i ppp0 -j DROP A mesma regra pode ser especificada como iptables -A INPUT -s 200.123.123.10 -i ppp+ -j DROP O sinal de "+" funciona como um coringa, assim a regra ter efeito em qualquer interface de ppp0 a ppp9. As interfaces ativas no momento podem ser listadas com o comando ifconfig , mas permitido especificar uma regra que faz referncia a uma interface que ainda no existe, isto interessante para conexes intermitentes como o PPP. Para bloquear qualquer trfego local para a Internet: iptables -A OUTPUT -o ppp+ -j DROP Para bloquear a passagem de trfego da interface ppp0 para a interface eth1 (de uma de nossas redes internas): iptables -A FORWARD -i ppp0 -o eth1 -j DROP
Especificando um protocolo
Especificando um protocolo
A opo -p (ou --protocol) usada para especificar protocolos no iptables . Podem ser especificados os protocolos tcp, udp e icmp. Por exemplo, para rejeitar todos os pacotes UDP vindos de 200.200.200.200: iptables -A INPUT -s 200.200.200.200 -p udp -j DROP OBS1: Tanto faz especificar os nomes de protocolos em maisculas ou minsculas.
# Bloqueia qualquer pacote indo para 200.200.200.200 na faixa de # portas 0 a 1023 iptables -A OUTPUT -d 200.200.200.200 -p tcp --dport :1023 -j DROP Caso a PortaOrigem de uma faixa de portas no seja especificada, 0 assumida como padro, caso a Porta Destino no seja especificada, 65535 assumida como padro.
network-redirect host-redirect TOS-network-redirect TOS-host-redirect echo-request (ping) router-advertisement router-solicitation time-exceeded (ttl-exceeded) ttl-zero-during-transit ttl-zero-during-reassembly parameter-problem ip-header-bad required-option-missing timestamp-request timestamp-reply address-mask-request address-mask-reply OBS1: No bloqueie mensagens do tipo "host-unreachable" e "source-quench", pois ter srios problemas no controle de suas conexes. A primeira diz que o destino est inalcanavel e a segunda que o host est sobrecarregado, assim os pacotes devem ser enviados mais lentamente.
Outra alternativa segura configurar as regras de firewall antes das interfaces de rede se tornarem ativas (usando a opo "pre-up comando_firewall" no arquivo de configurao /etc/network/interfaces em sistemas Debian .
Especificando fragmentos
A opo "-f" (ou --fragment) permite especificar regras que confiram com fragmentos. Fragmentos so simplesmente um pacote maior dividido em pedaos para poder ser transmitido via rede TCP/IP para remontagem do pacote pela mquina de destino. Somente o primeiro fragmento possui detalhes de cabealho para ser processado, os segundos e seguintes somente possuem alguns cabealhos necessrios para dar continuidade ao processo de remontagem do pacote no destino. Uma regra como iptables -A INPUT -s 200.200.200.1 -f -j DROP derrubar os fragmentos de 200.200.200.1 derrubar o segundo pacote e pacotes seguintes enviados por 200.200.200.1 at ns. OBS1: Note que se o cabealho do pacote no tiver detalhes suficientes para checagem de regras no iptables , a regra simplesmente no ira conferir. OBS2: No preciso especificar a opo "-f" para conexes NAT, pois os pacotes so remontados antes de entrarem no cdigo de filtragem. OBS3: A opo "-f" tambm pode ser usada para evitar o flood por fragmentos (bomba de fragmentos) que, dependendo da intensidade, podem at travar a mquina.
Especificando um alvo
Especificando um alvo
O alvo (-j) o destino que um pacote ter quando conferir com as condies de uma regra, um alvo pode dizer para bloquear a passagem do pacote (-j DROP), aceitar a passagem do pacote (-j ACCEPT), registrar o pacote no sistema de log (-j LOG), rejeitar o pacote (-j REJECT), redirecionar um pacote -j REDIRECT, retornar ao chain anterior sem completar o processamento no chain atual (-j RETURN), passar para processamento de programas externos (-j QUEUE), fazer source nat (-j SNAT), destination nat (-j DNAT), etc. Podem existir mais alvos, pois o iptables modularizvel, e mdulos que acrescentam mais funes podem ser carregados em adio aos j existentes no kernel. Nos exemplos anteriores vimos o uso de diversos alvos como o DROP e o ACCEPT . Apenas farei uma breve referncia sobre os alvos mais usados em operaes comuns dos chains. Os alvos REDIRECT, SNAT e DNAT sero explicados em uma seo seguinte:
ACCEPT O pacote ACEITO e o processamento das regras daquele chains concludo. Pode ser usado como alvo em todos os chains de todas as tabelas do iptables e tambm pode ser especificado no policiamento padro das regras do firewall. DROP Rejeita o pacote e o processamento das regras daquele chain concludo. Pode ser usado como alvo em todos os chains de todas as tabelas do iptables e tambm pode ser especificado no policiamento padro das regras do firewall. REJECT Este um mdulo opcional que faz a mesma funo do alvo DROP com a diferena de que uma mensagem ICMP do tipo "icmp-port-unreachable" (TCP/UDP) ou "host-unreachable" (ICMP) retornada para a mquina de origem. Pode ser usado como alvo somente nos chains da tabela (no como policiamento padro). LOG Este mdulo envia uma mensagem ao syslog caso a regra confira, o processamento continua normalmente para a prxima regra (o pacote no nem considerado ACEITO ou REJEITADO). RETURN Retorna o processamento do chain anterior sem processar o resto do chain atual. QUEUE Passa o processamento para um programa a nvel de usurio.
Alvo REJECT
Para ser usado, o mdulo ipt_REJECT deve ser compilado no kernel ou como mdulo. Este alvo rejeita o pacote (como o DROP) e envia uma mensagem ICMP do tipo "icmp-port-unreachable" como padro para a mquina de origem. um alvo interessante para bloqueio de portas TCP, pois em alguns casos da a impresso que a mquina no dispe de um sistema de firewall (o alvo DROP causa uma parada de muito tempo em alguns portscanners e tentativas de conexo de servios, revelando imediatamente o uso de um sistema de firewall pela mquina). O alvo REJECT vem dos tempos do ipchains e somente pode ser usado na tabela filter. Quando um pacote confere, ele rejeitado com a mensagem ICMP do tipo "port unreachable", possvel especificar outro tipo de mensagem ICMP com a opo --reject-with tipo_icmp. OBS: REJECT pode ser usado somente como alvo na tabela filter e no possvel especifica-lo como policiamento padro do chain filter (como acontecia no ipchains . Uma forma alternativa inserir como ltima regra uma que pegue todos os pacotes restantes daquele chain e tenha como alvo REJECT (como iptables -A INPUT -j REJECT ), desta forma ele nunca atingir o policiamento padro do chain. # Rejeita pacotes vindos de 200.200.200.1 pela interface ppp0: iptables -A INPUT -s 200.200.200.1 -i ppp+ -j REJECT
iptables -A INPUT -s 200.200.200.1 -i ppp+ -j LOG # Para efetuar o bloqueio iptables -A INPUT -s 200.200.200.1 -i ppp+ -j REJECT Note que no exemplo anterior a regra que registra o pacote (-j LOG) deve aparecer antes da regra que REJEITA (-j REJECT), caso contrrio a regra de LOG nunca funcionar. A regra que REJEITA poderia tambm ser trocada por uma regra que ACEITA, caso queira registrar um pacote que deve ser aceito (se o policiamento padro do seu firewall for restritivo (-P DROP). A nica coisa que muda nas regras de log o alvo da regra, isto facilita a implementao de grandes conjuntos de regras de firewall. A regra acima mostrar a seguinte sada no syslog do sistema: Aug 25 10:08:01 debian kernel: IN=ppp0 OUT= MAC=10:20:30:40:50:60:70:80:90:00:00:00:08:00 SRC=200.200.200.1 DST=200.210.10.10 LEN=61 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=1031 DPT=53 LEN=41 Os campos possuem o seguinte significado: Aug 25 10:08:01 Ms, dia e hora do registro do pacote. debian Nome do computador que registrou o pacote. kernel: Daemon que registrou a mensagem, no caso o iptables faz parte do prprio kernel. IN=ppp0 Especifica a interface de entrada (de onde o pacote veio). OUT= Especifica a interface de sada (para onde o pacote foi). MAC=10:20:30:40:50:60:70:80:90:00:00:00:08:00 Endereo mac da interface de rede (pode ser obtido com arp interface ). SRC=200.200.200.1 Endereo de origem do pacote. DST=200.210.10.10 Endereo de destino do pacote. SEQ=234234343 Nmero de seqncia da recepo. ativado com a opo --log-tcp-sequence. LEN=61 Tamanho em bytes do pacote IP. TOS=0x00
Prioridade do cabealho TOS (Tipo). PREC=0x00 Prioridade do cabealho TOS (Precedncia). TTL=64 Tempo de vida do pacote. No exemplo, 64 roteadores (hops). ID=0 Identificao nica destes datagrama. Esta identificao tambm usada pelos fragmentos seguintes deste pacote. DF Opo "Don't fragment" (no fragmentar) do pacote. Usada quando o pacote pequeno o bastante para no precisar ser fragmentado. MF Opo "More Fragments" (mais fragmentos) esto para ser recebidos. FRAG=100 Tamanho do fragmento especificado em pacotes de 8 bits. No exemplo acima, o pacote tem o tamanho de 800 bytes (100*8). PROTO=UDP Nome do protocolo. Pode ser TCP, UDP ou ICMP SPT=1031 Porta de origem da requisio. DPT=53 Porta de destino da requisio. LEN=41 Tamanho do pacote. O log acima mostra uma consulta DNS (porta destino 53) para nossa mquina (INPUT) de 200.200.200.1 para 200.210.10.10. O problema que em um grande nmero de regras ser difcil saber qual regra conferiu (pois teramos que analisar o endereo/porta origem/destino) e o destino do pacote (se ele foi ACEITO ou BLOQUEADO) pois voc pode ter regras para ambas as situaes. Por este motivo existem algumas opes teis que podemos usar com o alvo LOG: --log-prefix "descrio" Permite especificar uma descrio para a regra do firewall de at 29 caracteres. Caso tiver espaos, devem ser usadas "aspas". --log-level nvel Especifica o nvel da mensagem no syslog .
--log-tcp-options Registra campos do cabealho TCP nos logs do sistema. --log-ip-options Registra campos do cabealho IP nos logs do sistema --log-tcp-sequence Registra os nmeros de seqencia TCP. Evite ao mximo o uso desta opo, pois a seqencia de nmeros TCP pode ser a chave para um seqestro de seo ou IP spoofing em seu sistema caso algum usurio tenha acesso a estes logs. Caso utilize tcp/ip em servidores pblicos, o uso desta opo ajudar a entender bem os ataques DoS causados por syn-flood e porque ativar os SynCookies. OBS1:Lembre-se que estas opes so referentes ao alvo LOG e devem ser usadas aps este, caso contrrio voc ter um pouco de trabalho para analisar e consertar erros em suas regras do firewall. OBS2:Caso esteja usando o firewall em um servidor pblico, recomenda-se associar um limite a regra de log, pois um ataque poderia causar um DoS enchendo sua partio. # Complementando o exemplo anterior: # Para registrar o bloqueio de pacotes vindos de 200.200.200.1 pela interface ppp0 iptables -A INPUT -s 200.200.200.1 -i ppp+ -j LOG --log-prefix "FIREWALL: Derrubado " # Para efetuar o bloqueio iptables -A INPUT -s 200.200.200.1 -i ppp+ -j REJECT Retornar a seguinte mensagem no syslog: Aug 25 10:08:01 debian kernel: FIREWALL: Derrubado IN=ppp0 OUT= MAC=10:20:30:40:50:60:70:80:90:00:00:00:08:00 SRC=200.200.200.1 DST=200.210.10.10 LEN=61 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=1031 DPT=53 LEN=41 Agora voc sabe o que aconteceu com o pacote (Rejeitado). A padronizao de mensagens de firewall tambm importante para a criao de scripts de anlise que podero fazer a anlise dos logs do seu firewall (para criao de estatsticas que podem servir como base para a criao de novas regras de firewall ou eliminao de outras). OBS: Se voc sente falta da funo "-l" do ipchains que combina o alvo e log na mesma regra voc pode criar um alvo como o seguinte: iptables -N log-drop iptables -A log-drop -j LOG iptables -A log-drop -j DROP E usar "log-drop" como alvo em suas regras. Mesmo assim esta soluo "limitada" em relao a "-l" do ipchains porque o iptables no inclui detalhes de qual chain bloqueou o pacote/qual pacote foi bloqueado, assim necessrio a especificao da opo --log-prefix para as mensagens se tornarem mais compreensveis. Esta limitao pode ser contornada utilizando um firewall feito em linguagem shell script, desta forma voc ter um controle maior sobre o seu programa usando funes e integrao com outros utilitrios.
O alvo Return
Especificando RETURN como alvo
O alvo RETURN diz ao iptables interromper o processamento no chain atual e retornar o processamento ao chain anterior. Ele til quando criamos um chain que faz um determinado tratamento de pacotes, por
exemplo bloquear conexes vindas da internet para portas baixas, exceto para um endereo IP especfico. Como segue: 1-) iptables -t filter -A INPUT -i ppp0 -j internet 2-) iptables -t filter -j ACCEPT 3-) iptables -t filter -N internet 4-) iptables -t filter -A internet -s www.debian.org -p tcp --dport 80 -j RETURN 5-) iptables -t filter -A internet -p tcp --dport 21 -j DROP 6-) iptables -t filter -A internet -p tcp --dport 23 -j DROP 7-) iptables -t filter -A internet -p tcp --dport 25 -j DROP 8-) iptables -t filter -A internet -p tcp --dport 80 -j DROP Quando um pacote com o endereo www.debian.org tentando acessar a porta www (80) de nossa mquina atravs da internet (via interface ppp0), o chain nmero 1 confere, ento o processamento continua no chain nmero 4, o chain nmero 4 confere ento o processamento volta para a regra nmero 2, que diz para aceitar o pacote. Agora se um pacote vem com o endereo www.dominio.com.br tentando acessar a porta www *80) de nossa mquina atravs da internet (via interface ppp0), o chain nmero 1 confere, ento o processamento continua no chain nmero 4, que no confere. O mesmo acontece com os chains 5, 6 e 7. O chain nmero 8 confere, ento o acesso bloqueado. Como pode notou, o alvo RETURN facilita bastante a construo das regras do seu firewall, caso existam mquinas/redes que sejam excees as suas regras. Se ela no existisse, seria necessrio especificar diversas opes -s, -d, etc para poder garantir o acesso livre a determinadas mquinas.
As regras que voc est trabalhosamente criando e testando manualmente enquanto manipula o iptables podem ser salvas de 2 formas; uma delas escrevendo um shell script que tenha todos os comandos, um por linha. Isto recomendado quando tem um firewall grande e que exige uma boa padronizao de regras, bem como sua leitura, comentrios. O script shell tambm permite o uso de funes presente no interpretador de comando, portanto se voc uma pessoa que gosta de interagir com as funes do shell e deixar as coisas mais flexveis, prefira esta opo. A outra forma usando as ferramentas iptables-save e iptables-restore baseada na idia do ipchains-save e ipchains-restore . O iptables-save deve ser usado sempre que modificar regras no firewall iptables da seguinte forma: iptables-save >/dir/iptables-regras Uma das vantagens do uso do iptables-save ele tambm salvar os contadores de chains, ou seja, a quantidade de pacotes que conferiram com a regra. Isto tambm pode ser feito com algumas regras adicionais em seu shell script, caso tenha interesse nesses contadores para estatsticas ou outros tipos de relatrios. Para restaurar as regras salvas, utilize o comando: iptables-restore </dir/iptables-regras
A tabela nat serve para controlar a traduo dos endereos que atravessam o cdigo de roteamento da mquina Linux . Existem 3 chains na tabelanat: PREROUTING, OUTPUT e POSTROUTING. A traduo de endereos tem inmeras utilidades, uma delas o Masquerading, onde mquinas de uma rede interna podem acessar a Internet atravs de uma mquina Linux , redirecionamento de porta, proxy transparente, etc. Esta seo abordar os tipos de NAT, exemplos de como criar rapidamente uma conexo IP masquerading e entender como a traduo de endereos funciona no iptables . Se sua inteno ligar sua rede a Internet existem duas opes: Voc possui uma conexo que lhe oferece um endereo IP dinmico (a cada conexo dado um endereo IP como uma conexo PPP) ento o IP masquerading o que precisa. Voc tem uma conexo que lhe oferece um endereo IP permanente (ADSL, por exemplo) ento o SNAT o que precisa.
Fazendo SNAT
SNAT (source nat - nat no endereo de origem) consiste em modificar o endereo de origem das mquinas clientes antes dos pacotes serem enviados. A mquina roteadora inteligente o bastante para lembrar dos pacotes modificados e reescrever os endereos assim que obter a resposta da mquina de destino, direcionando os pacotes ao destino correto. Toda operao de SNAT feita no chain POSTROUTING. permitido especificar endereos de origem/destino, protocolos, portas de origem/destino, interface de entrada/sada (dependendo do chain), alvos, etc. desnecessrio especificar fragmentos na tabela nat, pois eles sero remontados antes de entrar no cdigo de roteamento. O SNAT a soluo quando voc tem acesso a internet atravs de um nico IP e deseja fazer que sua rede tenha acesso a Internet atravs da mquina Linux . Nenhuma mquina da Internet poder ter acesso direto as mquinas de sua rede interna via SNAT. OBS: A observao acima no leva em conta o controle de acesso externo configurado na mquina que estiver configurando o iptables , uma configurao mau realizada pode expor sua mquina a acessos externos indesejados e comprometer sua rede interna caso algum consiga acesso direto ao servidor. necessrio especificar SNAT como alvo (-j SNAT) quando desejar que as mquinas de sua rede interna tenha acesso a Internet atravs do IP fixo da mquina Linux . O parmetro --to IP:portas deve ser usado aps o alvo
SNAT. Ele serve para especificar um endereo IP, faixa de endereos e opcionalmente uma porta ou faixa de portas que ser substituda. Toda a operao de SNAT realizada atravs do chain POSTROUTING: # Modifica o endereo IP dos pacotes vindos da mquina 192.168.1.2 da rede interna # que tem como destino a interface eth1 para 200.200.217.40 (que o nosso endereo # IP da interface ligada a Internet). iptables -t nat -A POSTROUTING -s 192.168.1.2 -o eth1 -j SNAT --to 200.200.217.40 Os pacotes indo para a Internet (nossa conexo feita via eth1, nossa interface externa) vindo do endereo 192.168.1.2, so substitudos por 200.241.200.40 e enviados para fora. Quando a resposta a requisio retornada, a mquina com iptables recebe os pacotes e faz a operao inversa, modificando o endereo 200.241.200.40 novamente para 192.168.1.2 e enviando a resposta a mquina de nossa rede interna. Aps definir suas regras de NAT, execute o comando echo "1" >/proc/sys/net/ipv4/ip_forward para habilitar o suporte a redirecionamento de pacotes no kernel. Tambm possvel especificar faixas de endereos e portas que sero substitudas: iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 200.200.217.40-200.200.217.50 Modifica o endereo IP de origem de todas as mquinas da rede 192.168.1.0/24 que tem o destino a interface eth0 para 200.241.200.40 a 200.241.200.50. O endereo IP selecionado escolhido de acordo com o ltimo IP alocado. iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 200.200.217.40-200.200.217.50:1-1023 Idntico ao anterior, mas faz somente substituies na faixa de portas de origem de 1 a 1023. iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 200.200.217.40-200.200.217.50 --to 200.200.217.70-200.200.217.73 Faz o mapeamento para a faixa de portas 200.200.217.40 a 200.200.217.50 e de 200.200.217.70 a 200.200.217.73. OBS1: Se por algum motivo no for possvel mapear uma conexo NAT, ela ser derrubada. OBS2: Tenha certeza que as respostas podem chegar at a mquina que fez o NAT. Se estiver fazendo SNAT em um endereo livre em sua rede (como 200.200.217.73). OBS3: Como notou acima, o SNAT usado quando temos uma conexo externa com um ou mais IP's fixos. O Masquerading uma forma especial de SNAT usada para funcionar em conexes que recebem endereos IP aleatrios (PPP). OBS4: No se esquea de habilitar o redirecionamento de pacotes aps fazer suas regra de NAT com o comando: echo "1" >/proc/sys/net/ipv4/ip_forward , caso contrrio o redirecionamento de pacotes no funcionar.
Fazendo IP Masquerading
O IP Masquerading um tipo especial de SNAT usado para conectar a sua rede interna a internet quando voc recebe um IP dinmico de seu provedor (como em conexes ppp). Todas as operaes de IP Masquerading so realizadas no chain POSTROUTING. Para fazer IP Masquerading de uma mquina com o IP 192.168.1.2 para ter acesso a Internet, use o comando: iptables -t nat -A POSTROUTING -s 192.168.1.2/32 -o ppp0 -j MASQUERADE A diferena que o alvo -j MASQUERADE. O comando acima faz IP Masquerading de todo o trfego de 192.168.1.2 indo para a interface ppp0: O endereo IP dos pacotes vindos de 192.168.1.2 so substitudos pelo IP oferecido pelo seu provedor de acesso no momento da conexo, quando a resposta retornada a operao
inversa realizada para garantir que a resposta chegue ao destino. Nenhuma mquina da internet poder ter acesso direto a sua mquina conectava via Masquerading. Para fazer o IP Masquerading de todas as mquinas da rede 192.168.1.*: iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE Aps definir a regra para fazer Masquerading (SNAT), execute o comando echo "1" >/proc/sys/net/ipv4/ip_forward para habilitar o suporte a redirecionamento de pacotes no kernel.
Fazendo DNAT
DNAT (Destination nat - nat no endereo de destino) consiste em modificar o endereo de destino das mquinas clientes. O destination nat muito usado para fazer redirecionamento de pacotes, proxyes transparentes e balanceamento de carga. Toda operao de DNAT feita no chain PREROUTING. As demais opes e observaes do SNAT so tambm vlidas para DNAT (com exceo que somente permitido especificar a interface de origem no chain PREROUTING). # Modifica o endereo IP destino dos pacotes de 200.200.217.40 vindo da interface eth0 # para 192.168.1.2. iptables -t nat -A PREROUTING -s 200.200.217.40 -i eth0 -j DNAT --to 192.168.1.2 Tambm possvel especificar faixas de endereos e portas que sero substitudas no DNAT: iptables -t nat -A PREROUTING -i eth0 -s 192.168.1.0/24 -j DNAT --to 200.200.217.40-200.200.217.50 Modifica o endereo IP de destino do trfego vindos da interface 192.168.1.0/24 para um IP de 200.241.200.40 a 200.241.200.50. Este um excelente mtodo para fazer o balanceamento de carga entre servidores. O endereo IP selecionado escolhido de acordo com o ltimo IP alocado. iptables -t nat -A PREROUTING -i eth0 -s 192.168.1.0/24 -j DNAT --to 200.200.217.40200.200.217.50:1024:5000 Idntico ao anterior, mas faz somente substituies na faixa de portas de destino de 1024 a 5000. A operao acima a mesma realizada pelo ipmasqadm dos kernels da srie 2.2. OBS1: Se por algum motivo no for possvel mapear uma conexo NAT, ela ser derrubada. OBS2: No se esquea de conferir se o ip_forward est ajustado para 1 : echo "1" >/proc/sys/net/ipv4/ip_forward .
Redirecionamento de portas
O redirecionamento de portas permite a voc repassar conexes com destino a uma porta para outra porta na mesma mquina. O alvo REDIRECT usado para fazer esta operao, junto com o argumento --toport especificando a porta que ser redirecionada. Este o mtodo DNAT especfico para se para fazer proxy transparente. Todas as operaes de redirecionamento de portas realizada no chain PREROUTING e OUTPUT da tabelanat. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 81 Redireciona as conexes indo para a porta 80 para a porta 81 (rodando squid ) no firewall. ATENO: O squid possui suporte a proxy transparente, e poder atender as requisies acima da regra acima.
Caso seja necessrio especificar mais de uma opes estas devem ser separadas por vrgulas. iptables -A INPUT -m state --state NEW -i ppp0 -j DROP Bloqueia qualquer tentativa de nova conexo vindo da interface ppp0. iptables -A INPUT -m state --state NEW,INVALID -i ppp0 -j LOG Permite registrar novas conexes e pacotes invlidos vindos da interface ppp0.
Esta regra limita o atendimento de requisies de conexes a 2 por segundo. Outra forma de aumentar a segurana contra syn-floods atravs do prprio kernel ativando a opo "TCP Synflood" na compilao e depois executando: echo "1" >/proc/sys/net/ipv4/tcp_synflood . No entanto, utilize estas opes com cautela em servidores que possuem um grande nmero de acessos para no ter problemas que afetem seu clientes. ATENO: Os exemplos acima devem so somente exemplos para criao de suas prprias regras com limitaes, caso um pacote no confira com a regra ele ser bloqueado pela prxima regra. Se uma regra como esta for colocada no chain INPUT sem modificaes, ela no ter o efeito desejado, podendo colocar em risco a sua instalao pela falsa impresso de segurana. Portanto, recomendvel sempre testar as modificaes para ter certeza que elas tem efeito.
O mdulo ttl pode ser usado junto com as seguintes opes para conferir com o tempo de vida (TTL) de um pacote: --ttl-eq [num] --ttl-lt [num] --ttl-gq [num] Veja alguns exemplos: # Confere com todos os pacotes que tem o TTL maior que 100 iptables -A INPUT -m ttl --ttl-gt 100 -j LOG --log-prefix "TTL alto" # Confere com todos os pacotes que tem o TTL igual a 1 iptables -A INPUT -m ttl --ttl-eq 1 -j DROP OBS: Tenha um especial cuidado durante a programao de regras que usem TTL, como elas esto especialmente associadas com o estado da comunicao estabelecida entre as duas pontas e o tipo de protocolo, cuidados especiais devem ser tomados para que seu firewall no manipule de forma incorreta trfego vlido.
# Bloqueia a passagem de pacotes multicast de uma rede para outra iptables -A FORWARD -i eth0 -o eth0 -m pkttype --pkt-type multicast -j DROP # Como deve ter notado, possvel fazer a associao com diversas especificaes # de mdulos, bastando apenas especificar uma opo "-m" para cada mdulo # adicional: # Permite a passagem de pacotes broadcast de uma rede para outra com # limitao de 5/s. iptables -A FORWARD -i eth0 -o eth0 -m pkttype --pkt-type broadcast -m limit --limit 5/s -j ACCEPT
Caminho percorrido pelos pacotes nas tabelas e chains Caminho percorrido pelos pacotes nas tabelas e chains
MUITO importante entender a funo de cada filtro e a ordem de acesso dos chains de acordo com o tipo de conexo e interface de origem/destino. Esta seo explica a ordem que as regra so atravessadas, isso lhe permitir planejar a distribuio das regras nos chains, e evitar erros de localizao de regras que poderia deixar seu firewall com srios problemas de segurana, ou um sistema de firewall totalmente confuso e sem lgica. Nos exemplos abaixo assumirei a seguinte configurao: A mquina do firewall com iptables possui o endereo IP 192.168.1.1 e conecta a rede interna ligada via interface eth0 a internet via a interface ppp0 . Rede interna com a faixa de endereos 192.168.1.0 conectada ao firewall via interface eth0 Interface ppp0 fazendo conexo com a Internet com o endereo IP 200.217.29.67 . A conexo das mquinas da rede interna ( eth0 ) com a rede externa ( ppp0 ) feita via Masquerading. Tambm utilizarei a sintaxe CHAIN-tabela para fazer referncia aos chains e tabelas dos blocos ASCII: INPUTfilter - chain INPUT da tabela filter. ATENO: A ordem de processamento das regras do iptables , diferente do ipchains devido a incluso do novo sistema de nat e da tabela mangle.
Interface de Sada: lo Protocolo: ICMP Descrio: Ping para o prprio firewall SADA DE PACOTES (envio do ping para 192.168.1.1): +-------------+ +----------+ +-------------+ +------------------+ +----------------+ |OUTPUT-mangle| => |OUTPUT-nat| => |OUTPUT-filter| =>|POSTROUTING-mangle|=>|POSTROUTING-nat | +-------------+ +----------+ +-------------+ +------------------+ +----------------+ ENTRADA DOS PACOTES (Retorno da resposta ping acima): +-----------------+ +------------+ +------------+ |PREROUTING-mangle| =>|INPUT-mangle|=>|INPUT-filter| +-----------------+ +------------+ +------------+ Quando damos o ping (echo request) os pacotes seguem o caminho em SADA DE PACOTES percorrendo os chains na ordem especificada e retornam via ENTRADA DOS PACOTES (echo reply). No envio da resposta da requisio de ping, o caminho de sada do pacote ignora os chains OUTPUT-nat e POSTROUTING-nat (j que no necessrio nat) mas sempre processa os chains correspondentes da tabela mangle na ordem indicada acima. OBS1: Para conexes com destinos na prpria mquina usando um endereo IP das interfaces locais, a interface ser ajustada sempre para lo (loopback). OBS2: Em qualquer operao de entrada/sada de pacotes, os dois chains da tabela mangle so sempre os primeiros a serem acessados. Isto necessrio para definir a prioridade e controlar outros aspectos especiais dos pacotes que atravessam os filtros. OBS3: O chain OUTPUT da tabela filter consultado sempre quando existem conexes se originando em endereos de interfaces locais.
ENTRADA DE PACOTES (respostas da requisio vindas de 192.168.1.1): +-----------------+ +------------+ +------------+ |PREROUTING-mangle| => |INPUT-mangle| => |INPUT-filter| +-----------------+ +------------+ +------------+ A requisio ftp passa atravs dos chains especificados em SADA DOS PACOTES e retorna por ENTRADA DE PACOTES. Aps a conexo ser estabelecida, o caminho de SADA DE PACOTES ser: +-------------+ +-------------+ +------------------+ |OUTPUT-mangle| => |OUTPUT-filter| => |POSTROUTING-mangle| +-------------+ +-------------+ +------------------+ pois os dados de entrada que vem da interface externa, so passados diretamente a mquina do firewall, no necessitando de tratamento SNAT (os chains OUTPUT-nat e POSTROUTING-nat so processado somente uma vez a procura de regras que conferem, principalmente para fazer SNAT). Note novamente que mesmo no sendo necessrio NAT, o chain POSTROUTING-mangle checado. OBS1: Para conexes com destinos na prpria mquina usando um endereo IP das interfaces locais, a interface ser ajustada sempre para lo (loopback). OBS2: Em qualquer operao de entrada/sada de pacotes, os dois chains da tabela mangle so sempre os primeiros a serem acessados. Isto necessrio para definir a prioridade e controlar outros aspectos especiais dos pacotes que atravessam os filtros.
Conexes FTP
Descrio: Conexo ftp (at o prompt de login, sem transferncia de arquivos). SADA DOS PACOTES (envio da requisio para 192.168.1.4): +-------------+ +----------+ +-------------+ +------------------+ +---------------+ |OUTPUT-mangle| => |OUTPUT-nat| => |OUTPUT-filter| => +POSTROUTING-mangle| => |POSTROUTING-nat| +-------------+ +----------+ +-------------+ +------------------+ +---------------+ ENTRADA DE PACOTES (respostas da requisio de 192.168.1.4): +-----------------+ +------------+ +------------+ |PREROUTING-mangle| => |INPUT-mangle| => |INPUT-filter|
+-----------------+ +------------+ +------------+ A requisio ftp passa atravs dos chains especificados em SADA DOS PACOTES com o destino 192.168.1.4 porta 21 e retorna por ENTRADA DE PACOTES para 192.168.1.1 porta 1405 . Aps a conexo ser estabelecida, o caminho de SADA DE PACOTES ser: +-------------+ +-------------+ +------------------+ |OUTPUT-mangle| => |OUTPUT-filter| => |POSTROUTING-mangle| +-------------+ +-------------+ +------------------+ pois os dados no precisam de tratamento SNAT (os chains OUTPUT-nat e POSTROUTING-nat so processado somente uma vez a procura de regras que conferem, principalmente para fazer SNAT). OBS: Em qualquer operao de entrada/sada de pacotes, os dois chains da tabela mangle so sempre os primeiros a serem acessados. Isto necessrio para definir a prioridade e controlar outros aspectos especiais dos pacotes que atravessam os filtros.
pois os dados no precisam de tratamento SNAT (os chains OUTPUT-nat e POSTROUTING-nat so processado somente uma vez a procura de regras que conferem, principalmente para fazer SNAT). E aps a conexo estabelecida, o caminho de entrada de pacotes passa a ser: +-----------------+ +------------+ +------------+ |PREROUTING-mangle| => |INPUT-mangle| => |INPUT-filter| +-----------------+ +------------+ +------------+ pois os dados no precisam de tratamento DNAT (o chain PREROUTING-nat processado somente uma vez a procura de regras que conferem, principalmente para fazer DNAT). OBS: Para qualquer operao de entrada/sada de pacotes, os dois chains da tabela mangle so sempre os primeiros a serem acessados. Isto necessrio para definir a prioridade e controlar outros aspectos especiais dos pacotes que atravessam os filtros.
Interface de Destino: eth0 Porta Origem: 1030 Porta Destino: 21 Protocolo: TCP Descrio: Conexo ftp (at o prompt de login, sem transferncia de dados). ENTRADA DOS PACOTES (envio da requisio vindas de 192.168.1.4): +-----------------+ +--------------+ +------------+ +------------+ |PREROUTING-mangle| => |PREROUTING-nat| => |INPUT-mangle| => |INPUT-filter| +-----------------+ +--------------+ +------------+ +------------+ SADA DE PACOTES (respostas da requisio acima para 192.168.1.4): +-------------+ +-------------+ +------------------+ |OUTPUT-mangle| => |OUTPUT-filter| => |POSTROUTING-mangle| +-------------+ +-------------+ +------------------+ A requisio ftp passa atravs dos chains especificados em ENTRADA DOS PACOTES com o destino 192.168.1.1 porta 21 e retorna por SADA DE PACOTES para 192.168.1.4 porta 1030 . Aps a conexo ser estabelecida, o caminho de entrada de pacotes : +-----------------+ +------------+ +------------+ |PREROUTING-mangle| => |INPUT-mangle| => |INPUT-filter| +-----------------+ +------------+ +------------+ pois os dados no precisam de tratamento DNAT (o chain PREROUTING-nat processado somente uma vez a procura de regras que conferem, principalmente para fazer DNAT). OBS: O roteamento sempre realizado aps o processamento do chain PREROUTING da tabela nat.
Conexes FTP - II
Descrio: Conexo ftp (at o prompt de login, sem transferncia de dados). SADA DOS PACOTES (requisio vindas de 192.168.1.4):
+-----------------+ +--------------+ +--------------+ |PREROUTING-mangle| => |PREROUTING-nat| => |FORWARD-mangle| => (continua abaixo) +-----------------+ +--------------+ +--------------+ +--------------+ +------------------+ +---------------+ |FORWARD-filter| => |POSTROUTING-mangle| => |POSTROUTING-nat| +--------------+ +------------------+ +---------------+ ENTRADA DE PACOTES (respostas da requisio acima, enviadas para 192.168.1.4): +-----------------+ +--------------+ +--------------+ +------------------+ |PREROUTING-mangle| => |FORWARD-mangle| => |FORWARD-filter| => |POSTROUTING-mangle| +-----------------+ +--------------+ +--------------+ +------------------+ A requisio ftp passa atravs dos chains especificados em SADA DOS PACOTES com o destino 200.198.129.162 porta 21 (aps a resoluo DNS de ftp.debian.org.br ) e retorna por ENTRADA DE PACOTES para 192.168.1.4 porta 1032 . Note que o Masquerading regrava os pacotes; para a mquina 200.198.129.162 a conexo est sendo feita para 200.217.29.67 . As respostas de conexes vindas de 200.198.129.162 e indo para 200.217.29.67 so regravadas no firewall com o destino 192.168.1.4 e enviadas para a mquina correspondente. Aps a conexo ser estabelecida, o caminho de sada de pacotes para 200.198.129.163 : +-----------------+ +--------------+ +--------------+ +------------------+ |PREROUTING-mangle| => |FORWARD-mangle| => |FORWARD-filter| => |POSTROUTING-mangle| +-----------------+ +--------------+ +--------------+ +------------------+ Aps a conexo estabelecida, o caminho da entrada de pacotes vindos de 200.198.129.163 : +-----------------+ +--------------+ +--------------+ +------------------+ |PREROUTING-mangle| => |FORWARD-mangle| => |FORWARD-filter| => |POSTROUTING-mangle| +-----------------+ +--------------+ +--------------+ +------------------+ Isto acontece porque aps feita a conexo Masquerading (via PREROUTING-nat), o firewall j sabe como reescrever os pacotes para realizar a operao de Masquerading, reescrevendo todos os pacotes que chegam de www.debian.org.br para 192.168.1.4 . OBS: As conexes Masquerading feitas atravs da rede interna, so enviadas para 200.198.129.162 tem o endereo de origem ajustado para 200.217.29.67 que o IP de nossa interface ppp0 . Quando as respostas atravessam o firewall, os pacotes so checados pra saber se so uma resposta a uma conexo masquerading e far a regravao dos pacotes substituindo o endereo de destino para 192.168.1.4 . Caso uma operao de Masquerading falhe, os pacotes sero Bloqueados.
Porta Origem: 3716 Porta Destino: 21 Protocolo: TCP Descrio: Conexo ao servio ftp do firewall ENTRADA DOS PACOTES (requisio vinda de 200.198.129.162): +-----------------+ +--------------+ +-------------+ +------------+ |PREROUTING-mangle| => |PREROUTING-nat| => |INPUT-mangle | => |INPUT-filter| +-----------------+ +--------------+ +-------------+ +------------+ SADA DE PACOTES (respostas da requisio de 200.198.129.162): +-------------+ +-------------+ +------------------+ |OUTPUT-mangle| => |OUTPUT-filter| => |POSTROUTING-mangle| +-------------+ +-------------+ +------------------+ A requisio ftp passa atravs dos chains especificados em ENTRADA DOS PACOTES com o destino 200.217.29.67 (nossa interface ppp0 local) porta 21 e retorna por SADA DE PACOTES para 200.198.129.162 porta 3716 (tambm via ppp0 ). Aps a conexo ser estabelecida, o caminho de entrada de pacotes : +-----------------+ +------------+ +------------+ |PREROUTING-mangle| => |INPUT-mangle| => |INPUT-filter| +-----------------+ +------------+ +------------+ Isto acontece porque aps feita a anlise do chain PREROUTING (para necessidade de DNAT), a mquina j saber tomar a deciso apropriada para gerenciar aquela conexo.
Muitas das portas especificadas na varivel TROJAN_PORTS so antigas conhecidas de quem j brincou ou sofreram com o Back Orifice , Win Crack , NetBus (quem nunca passou pela fase de ter uma lista com mais de 100 netmasks e conseguir encontrar centenas de mquinas por dia infectadas pelo BO? :-). No cdigo acima a nica coisa que precisa fazer para adicionar mais portas inseri-las na varivel TROJAN_PORTS e executar o programa. O lao do for executar as 2 regras para cada porta processada (economizando linhas e linhas de regras, me livrando de uma LER e poupando muitos bytes neste guia. Dependendo do nmero de portas alvo, este cdigo pode ser muito simplificado usando o recurso multiport do iptables.
# ipt_conntrack # ipt_mangle # ipt_TOS # ipt_MASQUERADE # ipt_LOG # Se voc tem um kernel modularizado que no utiliza o kmod, ser necessrio # carregar estes mdulos via modprobe, insmod ou iptables --modprobe=modulo ##### Definio de Policiamento ##### # Tabela filter iptables -t filter -P INPUT DROP iptables -t filter -P OUTPUT ACCEPT iptables -t filter -P FORWARD DROP # Tabela nat iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT iptables -t nat -P POSTROUTING DROP # Tabela mangle iptables -t mangle -P PREROUTING ACCEPT iptables -t mangle -P OUTPUT ACCEPT ##### Proteo contra IP Spoofing ##### for i in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 >$i done ##### Ativamos o redirecionamento de pacotes (requerido para NAT) ##### echo "1" >/proc/sys/net/ipv4/ip_forward # O iptables define automaticamente o nmero mximo de conexes simultneas # com base na memria do sistema. Para 32MB = 2048, 64MB = 4096, 128MB = 8192, # sendo que so usados 350 bytes de memria residente para controlar # cada conexo. # Quando este limite excedido a seguinte mensagem mostrada: # "ip_conntrack: maximum limit of XXX entries exceed"
# # Como temos uma rede simples, vamos abaixar este limite. Por outro lado isto # criar uma certa limitao de trfego para evitar a sobrecarga do servidor. echo "2048" > /proc/sys/net/ipv4/ip_conntrack_max ############################################################### # Tabela filter # ############################################################### ##### Chain INPUT ##### # Criamos um chain que ser usado para tratar o trfego vindo da Internet e iptables -N ppp-input # Aceita todo o trfego vindo do loopback e indo pro loopback iptables -A INPUT -i lo -j ACCEPT # Todo trfego vindo da rede interna tambm aceito iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT # Conexes vindas da interface ppp0 so tratadas pelo chain ppp-input iptables -A INPUT -i ppp+ -j ppp-input # Qualquer outra conexo desconhecida imediatamente registrada e derrubada iptables -A INPUT -j LOG --log-prefix "FIREWALL: INPUT " iptables -A INPUT -j DROP ##### Chain FORWARD #### # Permite redirecionamento de conexes entre as interfaces locais # especificadas abaixo. Qualquer trfego vindo/indo para outras # interfaces ser bloqueado neste passo iptables -A FORWARD -d 192.168.1.0/24 -i ppp+ -o eth0 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o ppp+ -j ACCEPT iptables -A FORWARD -j LOG --log-prefix "FIREWALL: FORWARD " iptables -A FORWARD -j DROP ##### Chain ppp-input #### # Aceitamos todas as mensagens icmp vindas de ppp0 com certa limitao # O trfego de pacotes icmp que superar este limite ser bloqueado # pela regra "...! ESTABLISHED,RELATED -j DROP" no final do
# chain ppp-input # iptables -A ppp-input -p icmp -m limit --limit 2/s -j ACCEPT # Primeiro aceitamos o trfego vindo da Internet para o servio www (porta 80) iptables -A ppp-input -p tcp --dport 80 -j ACCEPT # A tentativa de acesso externo a estes servios sero registrados no syslog # do sistema e sero bloqueados pela ltima regra abaixo. iptables -A ppp-input -p tcp --dport 21 -j LOG --log-prefix "FIREWALL: ftp " iptables -A ppp-input -p tcp --dport 25 -j LOG --log-prefix "FIREWALL: smtp " iptables -A ppp-input -p udp --dport 53 -j LOG --log-prefix "FIREWALL: dns " iptables -A ppp-input -p tcp --dport 110 -j LOG --log-prefix "FIREWALL: pop3 " iptables -A ppp-input -p tcp --dport 113 -j LOG --log-prefix "FIREWALL: identd " iptables -A ppp-input -p udp --dport 111 -j LOG --log-prefix "FIREWALL: rpc" iptables -A ppp-input -p tcp --dport 111 -j LOG --log-prefix "FIREWALL: rpc" iptables -A ppp-input -p tcp --dport 137:139 -j LOG --log-prefix "FIREWALL: samba " iptables -A ppp-input -p udp --dport 137:139 -j LOG --log-prefix "FIREWALL: samba " # Bloqueia qualquer tentativa de nova conexo de fora para esta mquina iptables -A ppp-input -m state --state ! ESTABLISHED,RELATED -j LOG --log-prefix "FIREWALL: ppp-in " iptables -A ppp-input -m state --state ! ESTABLISHED,RELATED -j DROP # Qualquer outro tipo de trfego aceito iptables -A ppp-input -j ACCEPT ####################################################### # Tabela nat # ####################################################### ##### Chain POSTROUTING ##### # Permite qualquer conexo vinda com destino a lo e rede local para eth0 iptables -t nat -A POSTROUTING -o lo -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j ACCEPT # No queremos que usurios tenham acesso direto a www e smtp da rede externa, o # squid e smtpd do firewall devem ser obrigatoriamente usados. Tambm registramos # as tentativas para monitorarmos qual mquina est tentando conectar-se diretamente.
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp+ -p tcp --dport 80 -j LOG --log-prefix "FIREWALL: SNAT-www " iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp+ -p tcp --dport 25 -j LOG --log-prefix "FIREWALL: SNAT-smtp " iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp+ -p tcp --dport 25 -j DROP iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp+ -p tcp --dport 80 -j DROP # feito masquerading dos outros servios da rede interna indo para a interface # ppp0 iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp+ -j MASQUERADE # Qualquer outra origem de trfego desconhecida indo para eth0 (conexes vindas # de ppp+) so bloqueadas aqui iptables -t nat -A POSTROUTING -o eth0 -d 192.168.1.0/24 -j LOG --log-prefix "FIREWALL: SNAT unknown" iptables -t nat -A POSTROUTING -o eth0 -d 192.168.1.0/24 -j DROP # Quando iniciamos uma conexo ppp, obtermos um endereo classe A (10.x.x.x) e aps # estabelecida a conexo real, este endereo modificado. O trfego indo para # a interface ppp no dever ser bloqueado. Os bloqueios sero feitos no # chain INPUT da tabela filter iptables -t nat -A POSTROUTING -o ppp+ -j ACCEPT # Registra e bloqueia qualquer outro tipo de trfego desconhecido iptables -t nat -A POSTROUTING -j LOG --log-prefix "FIREWALL: SNAT " iptables -t nat -A POSTROUTING -j DROP ############################################### # Tabela mangle # ############################################### ##### Chain OUTPUT ##### # Define mnimo de espera para os servios ftp, telnet, irc e DNS, isto # dar uma melhor sensao de conexo em tempo real e diminuir o tempo # de espera para conexes que requerem resoluo de nomes. iptables -t mangle -A OUTPUT -o ppp+ -p tcp --dport 21 -j TOS --set-tos 0x10 iptables -t mangle -A OUTPUT -o ppp+ -p tcp --dport 23 -j TOS --set-tos 0x10 iptables -t mangle -A OUTPUT -o ppp+ -p tcp --dport 6665:6668 -j TOS --set-tos 0x10 iptables -t mangle -A OUTPUT -o ppp+ -p udp --dport 53 -j TOS --set-tos 0x10
Aula 2 Scripts
Scripts utilizados na aula 2
drop.sh flags.s h icmp.sh limpa.s h loop.sh mtr.sh ping.sh portas_tcp.sh regras.sh sshserver.sh ssh_client.sh web.sh
Aula 5
-n: no ir tentar resolver nomes, fica mais rpido. icmp: ir capturar apenas pacotes com protocolo icmp and host 192.168.1.200: ir capturar pacotes apenas desse host. Voc conseguir verificar o pacote icmp com a opo echo-request, mas sem obter uma resposta do firewall. Agora para resolver, voc dever adicionar a regra correspondente no firewall.
Ex13: Capturar pacotes menores que o tamanho especficado: # tcpdump -pi eth0 less 512
Trabalhando com grupos de usurios: acl admins proxy_auth "/etc/squid/admins" http_access allow admins Incluir os usurios no arquivo admins.
acl diretoria proxy_auth -i "/etc/squid/diretores" acl gerencia proxy_auth -i "/etc/squid/gerentes" acl usuarios proxy_auth -i "/etc/squid/usuarios"
http_access allow diretoria http_access allow gerencia !downloads !sitesbloqueados http_access deny usuarios !sitesliberados
Alterando a senha de usurios pelo browser Existe um script que permite alterar as senhas do usurios via browser, para facilitar a administrao. Primeiro devemos instalar o apache2: # aptitude install apache2 Baixar o o software CHPASSWD em http://sarg.sourceforge.net/chpasswd.php Localizar o diretrio onde voc baixou o mesmo e extrair dentro de /usr/local # tar -xzvf chpasswd-2.2.4.tar.gz -C /usr/local # cd /usr/local/chpasswd-2.2.4/ # ./configure --prefix=/etc/squid --enable-language=Portuguese --enable-cgidir=/usr/lib/cgi-bin # make # make install Entrar no diretrio do squid e conceder a permisso total para o arquivo de senhas: # cd /etc/squid # chmod 777 senhas Editar o arquivo de configurao chpasswd.conf
Trabalhando com o squidGuard Bloquear algun tipos de pginas iria deixar voc louco, devido a grande quantidade de URL's a serem inseridas na sua blacklist. Existem algumas comunidades que desenvolvem blacklists especficas.A lista mais usada provavelmente a MESD blacklists, que a indicada pela equipe do SquidGuard, por ser completamente livre e utilizvel para qualquer fim. Ela tem pouco mais de 1 milho de links e pode ser baixada no: http://squidguard.mesd.k12.or.us/blacklists.tgz. Outra lista muito usada a Shalla's Blacklists, disponvel no: http://www.shallalist.de/. A lista livre para uso pessoal ou no comercial e mais completa que a lista do MESD, com mais de 1.5 milhes de URLs. Uso comercial permitido desde que voc preencha um contrato de uso, sem custo. O processo de configurao consiste em 3 fases:
1. 2.
Configurar o arquivo "/etc/squid/squidGuard.conf". Especificando os arquivos de listas que sero usados e o comportamento do squidGuard ao bloquear acessos. 3. Editar o squid.conf adicionando a linha que ativa o squidGuard. Instalar o squidGuard: # aptitude install squidguard Baixar as listas: # cd /tmp # wget -c http://squidguard.mesd.k12.or.us/blacklists.tgz # wget -c http://www.shallalist.de/Downloads/shallalist.tar.gz Mover os arquivos para o squidguard: # cp blacklists.tgz shallalist.tar.gz /var/lib/squidguard/db Entrar no diretrio onde ficam as listas e extrair: # cd /var/lib/squidguard/db/ # tar -xzvf blacklists.tgz # tar -xzvf shallalist.tar.gz Editar o squidguard para um configurao minma: # vim /etc/squid/squidGuard.conf dbhome /var/lib/squidguard/db/blacklists logdir /var/log/squid dest porno { domainlist porn/domains urllist porn/urls } dest proxy { domainlist proxy/domains urllist proxy/urls }
Converter as listas para o formato Berkeley DB, que permite um acesso muito mais rpido do que seria possvel ao manipular diretamente os arquivos em texto. # squidGuard -C all Alterar o dono das listas para o usurio do proxy: # chown -R proxy:proxy /var/lib/squidguard/db/* Editar o squid.conf para fazer o redirecionamento para o squidguard. # vim /etc/squid/squid.conf http_access deny CONNECT !SSL_ports redirect_program /usr/bin/squidGuard Basta agora reiniciar o squid. # /etc/init.d/squid restart
Aula 10
Arquivo msn.txt
Arquivo /etc/squid/sites_msn_bloqueados
Segue lista do msn bloqueado.
Arquivo /etc/squid/msn.txt
Arquivo msn.txt
passport.com msn.com.br msn.com sc.msn.com www.msn.be 207.46.110.11 207.46.111.73 messenger.msn.com.br http.msn.yahoo.com nickname.msn.com.br chat.msn.com chat.msn.com.br msgr.hotmail.com gateway.messenger.hotmail.com http1.msgr.hotmail.com http2.msgr.hotmail.com http3.msgr.hotmail.com http4.msgr.hotmail.com http5.msgr.hotmail.com http6.msgr.hotmail.com http7.msgr.hotmail.com http8.msgr.hotmail.com http9.msgr.hotmail.com http10.msgr.hotmail.com http11.msgr.hotmail.com http12.msgr.hotmail.com http13.msgr.hotmail.com http14.msgr.hotmail.com http15.msgr.hotmail.com http16.msgr.hotmail.com http17.msgr.hotmail.com http18.msgr.hotmail.com http19.msgr.hotmail.com http20.msgr.hotmail.com
Arquivo /etc/squid/msn2.txt
Arquivo msn2.
x-msn