You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>APOSTILA</strong> <strong>GNU</strong>/<strong>DEBIAN</strong> <strong>AVANÇADO</strong><br />
nunca poderá ser especificada em um chain como o INPUT. Abaixo uma rápida<br />
referência:<br />
Tabela Chain<br />
Interface<br />
filter<br />
nat<br />
mangle<br />
INPUT<br />
OUTPUT<br />
FORWARD<br />
PREROUTING<br />
OUTPUT<br />
POSTROUTING<br />
PREROUTING<br />
OUTPUT<br />
Entrada (-i) Saída (-o)<br />
SIM<br />
NÃO<br />
SIM<br />
SIM<br />
NÃO<br />
NÃO<br />
SIM<br />
NÃO<br />
NÃO<br />
SIM<br />
SIM<br />
NÃO<br />
SIM<br />
SIM<br />
NÃO<br />
O caminho do pacote na interface será determinado pelo tipo da interface e pela<br />
posição dos chains nas etapas de seu roteamento. O chain OUTPUT da tabela “filter”<br />
somente poderá conter a interface de saída (veja a tabela acima). No caso do chain<br />
FORWARD da mesma tabela, podemos perceber que este é o único que aceita a<br />
especificação de ambas as interfaces, este é um ótimo chain para controlar o tráfego que<br />
passa entre as diferentes interfaces de rede do firewall.<br />
Por exemplo, para bloquear o acesso do tráfego de qualquer máquina com o<br />
endereço IP “200.123.123.10”, que venha da interface ppp0 (uma placa de fax-modem),<br />
podemos utilizar o seguinte comando:<br />
iptables -t filter -A INPUT -s 200.123.123.10 -i ppp0 -j DROP<br />
A mesma regra pode ser especificada de uma forma um pouco diferente:<br />
iptables -t filter -A INPUT -s 200.123.123.10 -i ppp+ -j DROP<br />
O sinal de "+" funciona como um coringa, assim a regra terá efeito em qualquer<br />
interface de ppp0 a ppp9. As interfaces ativas no momento podem ser listadas com o<br />
comando “ifconfig”. Também é permitido, especificar uma regra que faça referência a<br />
uma interface que ainda não existe, isto é interessante, para conexões intermitentes<br />
como o PPP (acesso a Internet via modem).<br />
Vamos a outro exemplo, suponha agora que queremos bloquear a passagem de<br />
tráfego da interface ppp0 para a interface eth1 (uma de nossas redes internas). Podemos<br />
fazer isso usando o seguinte comando:<br />
iptables -t filter -A FORWARD -i ppp0 -o eth1 -j DROP<br />
10.5.14. Especificando um protocolo<br />
A opção “-p” (ou “--protocol”) é usada para especificar protocolos que podem ser<br />
configurados para uso com o iptables. Os protocolos que podem ser usados são: TCP,<br />
UDP e ICMP. Por exemplo, supondo que se deseja rejeitar todos os pacotes UDP vindos<br />
do endereço “200.200.200.200”, podemos incluir a seguinte regra no iptables:<br />
iptables -t filter -A INPUT -s 200.200.200.200 -p udp -j DROP<br />
OBS: Os nomes de protocolos podem ser especificados usando letras maiúsculas<br />
ou minúsculas.<br />
10.5.15. Especificando portas de origem/destino<br />
As portas de origem/destino devem ser especificadas após o protocolo, e podem<br />
ser precedidas por uma das seguintes opções:<br />
• “--source-port” ou “--sport” - Especifica uma porta ou faixa de portas de origem.<br />
SIM<br />
PÁG.: 103