Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>APOSTILA</strong> <strong>GNU</strong>/<strong>DEBIAN</strong> <strong>AVANÇADO</strong><br />
enquadre à aquele pacote (usado em regras permissivas). DROP rejeita os pacotes caso<br />
nenhuma regra do chain se enquadre (usado em regras restritivas).<br />
O policiamento padrão de um chain, pode ser exibido através do uso do comando<br />
“iptables -L”, conforme o exemplo abaixo:<br />
# iptables -L INPUT<br />
Chain INPUT (policy ACCEPT)<br />
target prot opt source destination<br />
DROP icmp -- anywhere localhost<br />
No exemplo acima, o policiamento padrão de INPUT é ACCEPT (policy ACCEPT),<br />
o que significa que qualquer pacote que não seja rejeitado pelas regras contidas neste<br />
chain, serão por padrão aceitos pelo sistema. Para alterar o policiamento padrão deste<br />
chain usamos o comando:<br />
iptables -t filter -P INPUT DROP<br />
NOTA: Os policiamentos PERMISSIVOS (ACCEPT), normalmente são usados em<br />
conjunto com regras restritivas no chain correspondente (tudo é bloqueado e o que<br />
sobrar é liberado), já os policiamentos RESTRITIVOS (DROP), são usados em conjunto<br />
com regras permissivas no chain correlato (tudo é liberado e o que sobrar é bloqueado<br />
pelo policiamento padrão).<br />
10.5.12. Especificando um endereço de origem/destino<br />
As opções “-s” (ou “–src” / “--source”) e “-d” (ou “--dst” / “--destination”) servem<br />
para especificar endereços de origem e destino respectivamente. É permitido usar um<br />
endereço IP completo (como “192.168.1.1”), um hostname (nome da maquina), um<br />
endereço FQDN (scelepar00001.celepar.parana) ou um par rede/máscara (como<br />
“200.200.200.0/255.255.255.0” ou “200.200.200.0/24”).<br />
Caso um endereço/máscara não sejam especificados, é assumido o valor “0/0”<br />
como padrão (todos as máquinas de todas as redes). A interpretação dos endereços de<br />
origem/destino dependem do chain que está sendo especificado (como INPUT ou<br />
OUTPUT, por exemplo).<br />
OBS: Caso seja especificado um endereço FQDN e este resolver mais de um<br />
endereço IP, serão criadas várias regras, uma para cada endereço IP retornado. É<br />
recomendável sempre que possível, a especificação de endereços IP nas regras, pois<br />
além de serem muito rápidos (dispensam resolução DNS), são mais seguros para evitar<br />
que nosso firewall seja enganado por um ataque de “IP spoofing”.<br />
# Bloqueia o tráfego vindo da rede “200.200.200.*”:<br />
iptables -t filter -A INPUT -s 200.200.200.0/24 -j DROP<br />
# Bloqueia conexões com o destino “10.1.2.3”:<br />
iptables -t filter -A OUTPUT -d 10.1.2.3 -j DROP<br />
# Bloqueia o tráfego da máquina “ecelepar00001.celepar.parana” com destino a<br />
rede # “210.21.1.3”. Neste exemplo, nossa máquina possuí o endereço<br />
“210.21.1.3”:<br />
iptables -t filter -A INPUT -s ecelepar00001.celepar.parana -<br />
d 210.21.1.3 -j DROP<br />
10.5.13. Especificando a interface de origem/destino<br />
As opções “-i” (ou “--in-interface”) e “-o” (ou “--out-interface”), especificam as<br />
interfaces de origem/destino dos pacotes. Nem todos as chains aceitam as interfaces de<br />
origem/destino simultaneamente, a interface de entrada (-i) nunca poderá ser<br />
especificada em um chain como o OUTPUT, e a interface de saída (-o) por sua vez,<br />
PÁG.: 102