APOSTILA GNU/DEBIAN AVANÇADO - Gerds

More documents

Recommendations

Info

target prot opt source destination DROP all -- anywhere localhost Os campos exibidos, possuem o seguinte significado: Chain INPUT Nome do chain listado. APOSTILA GNU/DEBIAN AVANÇADO (policy ACCEPT 78 packets, 5820 bytes) Policiamento padrão do chain, neste caso, o padrão é aceitar os pacotes (policy ACCEPT). Esta linha também apresenta o número de pacotes, 78 no exemplo, e o número de bytes que atravessaram essa regra. pkts Quantidade de pacotes que atravessaram a regra. bytes Quantidade de bytes que atravessaram a regra. Pode ser referenciado com K (Kilobytes), M (Megabytes), G (Gigabytes). target O alvo da regra, o destino do pacote. Pode ser ACCEPT, DROP ou outro chain. Veja Especificando um alvo, Seção 10.3.6 para detalhes sobre a especificação de um alvo. prot Protocolo especificado pela regra. Pode assumir os valores “udp”, “tcp”, “icmp” ou “all”. opt Opções extras passadas a regra. Normalmente "!". in Interface de entrada (de onde os dados chegam). out Interface de saída (para onde os dados vão). source Endereço de origem. destination Endereço de destino. outras opções: Estas opções normalmente aparecem quando são usadas a opção “-x”: • dpt ou dpts - Especifica a porta ou faixa de portas de destino. • reject-with icmp-port-unreachable - Significa que foi usado o alvo REJECT naquela regra. 10.5.3. Apagando uma regra Para apagar uma regra, existem duas alternativas: 1. Quando sabemos qual é o número da regra no chain (listado com a opção -L) podemos referenciar a regra por seu número diretamente. Por exemplo, para apagar a primeira regra criada listada: iptables -t filter -D INPUT 1 Esta opção não é a mais indicada quando temos um firewall complexo com um PÁG.: 98
APOSTILA GNU/DEBIAN AVANÇADO grande número de regras por chains, neste caso a segunda opção é a mais apropriada, veja: 2. Usamos a mesma sintaxe para criar a regra no chain, mas trocamos a opção “- A” por “-D”: iptables -t filter -D INPUT -d 127.0.0.1 -j DROP Então a regra correspondentes no chain INPUT da tabela “filter” será automaticamente apagada (confira listando o chain com a opção "-L"). Caso o chain possua várias regras semelhantes, somente a primeira será apagada. OBS: Não é possível apagar os chains padrões do iptables (INPUT, OUTPUT...). 10.5.4. Inserindo uma regra Precisamos que o tráfego vindo (opção “-s”) de “192.168.1.15” não seja rejeitado pelo nosso firewall. Não podemos adicionar uma nova regra (com a opção “-A”) pois esta seria incluída no final do chain e o tráfego seria rejeitado pela primeira regra (nunca atingindo a segunda). A solução é inserir a nova regra antes da regra que bloqueia todo o tráfego para o endereço “127.0.0.1” na posição 1: iptables -t filter -I INPUT 1 -s 192.168.1.15 -d 127.0.0.1 -j ACCEPT Após este comando, temos a regra inserida na primeira posição do chain (repare no número 1 após INPUT) e a antiga regra número 1 passa a ser a número 2. Desta forma, a regra acima será consultada, se a máquina de origem possuir o endereço “192.168.1.15”, então os pacotes terão permissão de chegar ao destino (maquina local), caso contrário, o tráfego será bloqueado pela regra seguinte. 10.5.5. Substituindo uma regra Após criarmos a regra exemplificada na seção “Adicionando uma regra”, percebemos que a nossa intenção, era somente bloquear os pacotes que são enviados pelo utilitário “ping” (pacotes ICMP) para o endereço “127.0.0.1”, e não havia necessidade portanto, de bloquear todo o tráfego que chegasse até a máquina local. Neste caso, existem duas alternativas: a primeira é apagar a regra e inserir uma nova no lugar; a segunda, é modificar diretamente a regra já criada sem afetar outras regras existentes e manter a sua ordem no chain. Caso você opte pela segunda alternativa, poderá utilizar o seguinte comando: iptables -t filter -R INPUT 2 -d 127.0.0.1 -p icmp -j DROP O número 2, representa a regra que será substituída no chain INPUT da tabela “filter”, e deve ser especificado obrigatoriamente. O comando acima, substituirá a regra 2 do chain INPUT (-R INPUT 2) bloqueando (-j DROP) qualquer pacote do protocolo ICMP (-p icmp) com o destino “127.0.0.1” (-d 127.0.0.1). 10.5.6. Criando um novo chain Em firewalls organizados com um grande número de regras, é interessante criar chains personalizados para organizar regras de um mesmo tipo, ou que tenham por objetivo, analisar um tráfego de uma mesma categoria (interface, endereço de origem, destino, protocolo, etc), pois podem consumir muitas linhas de chains padrões e tornar o gerenciamento do firewall confuso (e conseqüentemente causar sérios riscos de segurança). O tamanho máximo para um nome de chain é de 31 caracteres e podem conter tanto letras maiúsculas quanto minúsculas. O comando para criar novos chains é: iptables [-t tabela] [-N novochain] Para criar o chain chamado “internet” (que pode ser usado para agrupar as regras de acesso a Internet), poderíamos usar o seguinte comando, por exemplo: PÁG.: 99
Page 1 and 2:
Gerência de Gestão de Ambientes -
Page 3 and 4:
Documento Apostila de Debian Avanç
Page 5 and 6:
APOSTILA GNU/DEBIAN AVANÇADO 7.3.
Page 7 and 8:
APOSTILA GNU/DEBIAN AVANÇADO 10.3.
Page 9 and 10:
Índice de Figuras APOSTILA GNU/DEB
Page 11 and 12:
2. Instalando o GNU/Debian APOSTILA
Page 13 and 14:
APOSTILA GNU/DEBIAN AVANÇADO 31. A
Page 15 and 16:
pressione a tecla . APOSTILA GNU/DE
Page 17 and 18:
3. Como Instalar Programas APOSTILA
Page 19 and 20:
APOSTILA GNU/DEBIAN AVANÇADO Você
Page 21 and 22:
Exemplos: APOSTILA GNU/DEBIAN AVAN
Page 23 and 24:
APOSTILA GNU/DEBIAN AVANÇADO pacot
Page 25 and 26:
Figura 4 - Menu principal do utilit
Page 27 and 28:
APOSTILA GNU/DEBIAN AVANÇADO No ex
Page 29 and 30:
sbin/grub-install /dev/hda APOSTILA
Page 31 and 32:
APOSTILA GNU/DEBIAN AVANÇADO hide
Page 33 and 34:
elacionados ao SO em questão. APOS
Page 35 and 36:
APOSTILA GNU/DEBIAN AVANÇADO é o
Page 37 and 38:
APOSTILA GNU/DEBIAN AVANÇADO para
Page 39 and 40:
7.3.3. Configurando o syslog.conf A
Page 41 and 42:
*.=info;*.=notice;*.=warn;\ auth,au
Page 43 and 44:
APOSTILA GNU/DEBIAN AVANÇADO proce
Page 45 and 46:
APOSTILA GNU/DEBIAN AVANÇADO ".gz"
Page 47 and 48: APOSTILA GNU/DEBIAN AVANÇADO usuá
Page 49 and 50: APOSTILA GNU/DEBIAN AVANÇADO Gera
Page 51 and 52: APOSTILA GNU/DEBIAN AVANÇADO adici
Page 53 and 54: APOSTILA GNU/DEBIAN AVANÇADO edito
Page 55 and 56: -T Não exibe o título do programa
Page 57 and 58: APOSTILA GNU/DEBIAN AVANÇADO opç
Page 59 and 60: lsusb [opções] APOSTILA GNU/DEBIA
Page 61 and 62: APOSTILA GNU/DEBIAN AVANÇADO renic
Page 63 and 64: APOSTILA GNU/DEBIAN AVANÇADO -n n
Page 65 and 66: -u, --update Atualiza arquivos comp
Page 67 and 68: APOSTILA GNU/DEBIAN AVANÇADO opç
Page 69 and 70: APOSTILA GNU/DEBIAN AVANÇADO inter
Page 71 and 72: APOSTILA GNU/DEBIAN AVANÇADO [-]al
Page 73 and 74: interface no arquivo de log do sist
Page 75 and 76: APOSTILA GNU/DEBIAN AVANÇADO Sincr
Page 77 and 78: APOSTILA GNU/DEBIAN AVANÇADO Adici
Page 79 and 80: 8.2.11. wget APOSTILA GNU/DEBIAN AV
Page 81 and 82: 9. Arquivos de Configuração APOST
Page 83 and 84: APOSTILA GNU/DEBIAN AVANÇADO O mé
Page 85 and 86: APOSTILA GNU/DEBIAN AVANÇADO De ac
Page 87 and 88: APOSTILA GNU/DEBIAN AVANÇADO agora
Page 89 and 90: APOSTILA GNU/DEBIAN AVANÇADO /dev/
Page 91 and 92: APOSTILA GNU/DEBIAN AVANÇADO Exemp
Page 93 and 94: %t - Mostra o terminal (tty) atual.
Page 95 and 96: 10.3. Planejando a Implementação
Page 97: APOSTILA GNU/DEBIAN AVANÇADO Agora
Page 101 and 102: 10.5.9. Apagando um chain criado pe
Page 103 and 104: APOSTILA GNU/DEBIAN AVANÇADO nunca
Page 105 and 106: 11. Compilação do Kernel APOSTILA
Page 107 and 108: APOSTILA GNU/DEBIAN AVANÇADO No co
Page 109 and 110: “/lib/modules/VERSÃO_DO_KERNEL_U
Page 111 and 112: APOSTILA GNU/DEBIAN AVANÇADO Em al
Page 113 and 114: APOSTILA GNU/DEBIAN AVANÇADO Faz c
Page 115 and 116: 12. Anexos 12.1. NFS - Network File
Page 117 and 118: APOSTILA GNU/DEBIAN AVANÇADO Este
Page 119 and 120: fi Exemplos: Exemplo 01: Testa se o
Page 121 and 122: esac 12.2.7. Funções APOSTILA GNU
Page 123 and 124: APOSTILA GNU/DEBIAN AVANÇADO Torna
show all

APOSTILA GNU/DEBIAN AVANÇADO - Gerds

Create successful ePaper yourself

Delete template?

Save as template?