APOSTILA GNU/DEBIAN AVANÇADO - Gerds

More documents

Recommendations

Info

APOSTILA GNU/DEBIAN AVANÇADO enquadre à aquele pacote (usado em regras permissivas). DROP rejeita os pacotes caso nenhuma regra do chain se enquadre (usado em regras restritivas). O policiamento padrão de um chain, pode ser exibido através do uso do comando “iptables -L”, conforme o exemplo abaixo: # iptables -L INPUT Chain INPUT (policy ACCEPT) target prot opt source destination DROP icmp -- anywhere localhost No exemplo acima, o policiamento padrão de INPUT é ACCEPT (policy ACCEPT), o que significa que qualquer pacote que não seja rejeitado pelas regras contidas neste chain, serão por padrão aceitos pelo sistema. Para alterar o policiamento padrão deste chain usamos o comando: iptables -t filter -P INPUT DROP NOTA: Os policiamentos PERMISSIVOS (ACCEPT), normalmente são usados em conjunto com regras restritivas no chain correspondente (tudo é bloqueado e o que sobrar é liberado), já os policiamentos RESTRITIVOS (DROP), são usados em conjunto com regras permissivas no chain correlato (tudo é liberado e o que sobrar é bloqueado pelo policiamento padrão). 10.5.12. Especificando um endereço de origem/destino As opções “-s” (ou “–src” / “--source”) e “-d” (ou “--dst” / “--destination”) servem para especificar endereços de origem e destino respectivamente. É permitido usar um endereço IP completo (como “192.168.1.1”), um hostname (nome da maquina), um endereço FQDN (scelepar00001.celepar.parana) ou um par rede/máscara (como “200.200.200.0/255.255.255.0” ou “200.200.200.0/24”). Caso um endereço/máscara não sejam especificados, é assumido o valor “0/0” como padrão (todos as máquinas de todas as redes). A interpretação dos endereços de origem/destino dependem do chain que está sendo especificado (como INPUT ou OUTPUT, por exemplo). OBS: Caso seja especificado um endereço FQDN e este resolver mais de um endereço IP, serão criadas várias regras, uma para cada endereço IP retornado. É recomendável sempre que possível, a especificação de endereços IP nas regras, pois além de serem muito rápidos (dispensam resolução DNS), são mais seguros para evitar que nosso firewall seja enganado por um ataque de “IP spoofing”. # Bloqueia o tráfego vindo da rede “200.200.200.*”: iptables -t filter -A INPUT -s 200.200.200.0/24 -j DROP # Bloqueia conexões com o destino “10.1.2.3”: iptables -t filter -A OUTPUT -d 10.1.2.3 -j DROP # Bloqueia o tráfego da máquina “ecelepar00001.celepar.parana” com destino a rede # “210.21.1.3”. Neste exemplo, nossa máquina possuí o endereço “210.21.1.3”: iptables -t filter -A INPUT -s ecelepar00001.celepar.parana - d 210.21.1.3 -j DROP 10.5.13. Especificando a interface de origem/destino As opções “-i” (ou “--in-interface”) e “-o” (ou “--out-interface”), especificam as interfaces de origem/destino dos pacotes. Nem todos as chains aceitam as interfaces de origem/destino simultaneamente, a interface de entrada (-i) nunca poderá ser especificada em um chain como o OUTPUT, e a interface de saída (-o) por sua vez, PÁG.: 102
APOSTILA GNU/DEBIAN AVANÇADO nunca poderá ser especificada em um chain como o INPUT. Abaixo uma rápida referência: Tabela Chain Interface filter nat mangle INPUT OUTPUT FORWARD PREROUTING OUTPUT POSTROUTING PREROUTING OUTPUT Entrada (-i) Saída (-o) SIM NÃO SIM SIM NÃO NÃO SIM NÃO NÃO SIM SIM NÃO SIM SIM NÃO O caminho do pacote na interface será determinado pelo tipo da interface e pela posição dos chains nas etapas de seu roteamento. O chain OUTPUT da tabela “filter” somente poderá conter a interface de saída (veja a tabela acima). No caso do chain FORWARD da mesma tabela, podemos perceber que este é o único que aceita a especificação de ambas as interfaces, este é um ótimo chain para controlar o tráfego que passa entre as diferentes interfaces de rede do firewall. Por exemplo, para bloquear o acesso do tráfego de qualquer máquina com o endereço IP “200.123.123.10”, que venha da interface ppp0 (uma placa de fax-modem), podemos utilizar o seguinte comando: iptables -t filter -A INPUT -s 200.123.123.10 -i ppp0 -j DROP A mesma regra pode ser especificada de uma forma um pouco diferente: iptables -t filter -A INPUT -s 200.123.123.10 -i ppp+ -j DROP O sinal de "+" funciona como um coringa, assim a regra terá efeito em qualquer interface de ppp0 a ppp9. As interfaces ativas no momento podem ser listadas com o comando “ifconfig”. Também é permitido, especificar uma regra que faça referência a uma interface que ainda não existe, isto é interessante, para conexões intermitentes como o PPP (acesso a Internet via modem). Vamos a outro exemplo, suponha agora que queremos bloquear a passagem de tráfego da interface ppp0 para a interface eth1 (uma de nossas redes internas). Podemos fazer isso usando o seguinte comando: iptables -t filter -A FORWARD -i ppp0 -o eth1 -j DROP 10.5.14. Especificando um protocolo A opção “-p” (ou “--protocol”) é usada para especificar protocolos que podem ser configurados para uso com o iptables. Os protocolos que podem ser usados são: TCP, UDP e ICMP. Por exemplo, supondo que se deseja rejeitar todos os pacotes UDP vindos do endereço “200.200.200.200”, podemos incluir a seguinte regra no iptables: iptables -t filter -A INPUT -s 200.200.200.200 -p udp -j DROP OBS: Os nomes de protocolos podem ser especificados usando letras maiúsculas ou minúsculas. 10.5.15. Especificando portas de origem/destino As portas de origem/destino devem ser especificadas após o protocolo, e podem ser precedidas por uma das seguintes opções: • “--source-port” ou “--sport” - Especifica uma porta ou faixa de portas de origem. SIM PÁG.: 103
Page 1 and 2:
Gerência de Gestão de Ambientes -
Page 3 and 4:
Documento Apostila de Debian Avanç
Page 5 and 6:
APOSTILA GNU/DEBIAN AVANÇADO 7.3.
Page 7 and 8:
APOSTILA GNU/DEBIAN AVANÇADO 10.3.
Page 9 and 10:
Índice de Figuras APOSTILA GNU/DEB
Page 11 and 12:
2. Instalando o GNU/Debian APOSTILA
Page 13 and 14:
APOSTILA GNU/DEBIAN AVANÇADO 31. A
Page 15 and 16:
pressione a tecla . APOSTILA GNU/DE
Page 17 and 18:
3. Como Instalar Programas APOSTILA
Page 19 and 20:
APOSTILA GNU/DEBIAN AVANÇADO Você
Page 21 and 22:
Exemplos: APOSTILA GNU/DEBIAN AVAN
Page 23 and 24:
APOSTILA GNU/DEBIAN AVANÇADO pacot
Page 25 and 26:
Figura 4 - Menu principal do utilit
Page 27 and 28:
APOSTILA GNU/DEBIAN AVANÇADO No ex
Page 29 and 30:
sbin/grub-install /dev/hda APOSTILA
Page 31 and 32:
APOSTILA GNU/DEBIAN AVANÇADO hide
Page 33 and 34:
elacionados ao SO em questão. APOS
Page 35 and 36:
APOSTILA GNU/DEBIAN AVANÇADO é o
Page 37 and 38:
APOSTILA GNU/DEBIAN AVANÇADO para
Page 39 and 40:
7.3.3. Configurando o syslog.conf A
Page 41 and 42:
*.=info;*.=notice;*.=warn;\ auth,au
Page 43 and 44:
APOSTILA GNU/DEBIAN AVANÇADO proce
Page 45 and 46:
APOSTILA GNU/DEBIAN AVANÇADO ".gz"
Page 47 and 48:
APOSTILA GNU/DEBIAN AVANÇADO usuá
Page 49 and 50:
APOSTILA GNU/DEBIAN AVANÇADO Gera
Page 51 and 52: APOSTILA GNU/DEBIAN AVANÇADO adici
Page 53 and 54: APOSTILA GNU/DEBIAN AVANÇADO edito
Page 55 and 56: -T Não exibe o título do programa
Page 57 and 58: APOSTILA GNU/DEBIAN AVANÇADO opç
Page 59 and 60: lsusb [opções] APOSTILA GNU/DEBIA
Page 61 and 62: APOSTILA GNU/DEBIAN AVANÇADO renic
Page 63 and 64: APOSTILA GNU/DEBIAN AVANÇADO -n n
Page 65 and 66: -u, --update Atualiza arquivos comp
Page 67 and 68: APOSTILA GNU/DEBIAN AVANÇADO opç
Page 69 and 70: APOSTILA GNU/DEBIAN AVANÇADO inter
Page 71 and 72: APOSTILA GNU/DEBIAN AVANÇADO [-]al
Page 73 and 74: interface no arquivo de log do sist
Page 75 and 76: APOSTILA GNU/DEBIAN AVANÇADO Sincr
Page 77 and 78: APOSTILA GNU/DEBIAN AVANÇADO Adici
Page 79 and 80: 8.2.11. wget APOSTILA GNU/DEBIAN AV
Page 81 and 82: 9. Arquivos de Configuração APOST
Page 83 and 84: APOSTILA GNU/DEBIAN AVANÇADO O mé
Page 85 and 86: APOSTILA GNU/DEBIAN AVANÇADO De ac
Page 87 and 88: APOSTILA GNU/DEBIAN AVANÇADO agora
Page 89 and 90: APOSTILA GNU/DEBIAN AVANÇADO /dev/
Page 91 and 92: APOSTILA GNU/DEBIAN AVANÇADO Exemp
Page 93 and 94: %t - Mostra o terminal (tty) atual.
Page 95 and 96: 10.3. Planejando a Implementação
Page 97 and 98: APOSTILA GNU/DEBIAN AVANÇADO Agora
Page 99 and 100: APOSTILA GNU/DEBIAN AVANÇADO grand
Page 101: 10.5.9. Apagando um chain criado pe
Page 105 and 106: 11. Compilação do Kernel APOSTILA
Page 107 and 108: APOSTILA GNU/DEBIAN AVANÇADO No co
Page 109 and 110: “/lib/modules/VERSÃO_DO_KERNEL_U
Page 111 and 112: APOSTILA GNU/DEBIAN AVANÇADO Em al
Page 113 and 114: APOSTILA GNU/DEBIAN AVANÇADO Faz c
Page 115 and 116: 12. Anexos 12.1. NFS - Network File
Page 117 and 118: APOSTILA GNU/DEBIAN AVANÇADO Este
Page 119 and 120: fi Exemplos: Exemplo 01: Testa se o
Page 121 and 122: esac 12.2.7. Funções APOSTILA GNU
Page 123 and 124: APOSTILA GNU/DEBIAN AVANÇADO Torna
show all

APOSTILA GNU/DEBIAN AVANÇADO - Gerds

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?