Prof: Wairisson Gomes

$ Whoami

Wairisson M. Gomes
Ps-Graduado em Redes de Computadores Graduado em Tecnologia em Redes de Computadores Cisco Certified Network Associate - CCNA Linux Professional Institute Certified 1 LPIC1 Novell Certified Linux Administrator - NCLA ITIL v3 Foundation Certified

Redes de computadores
uma coleo de dispositivos interconectados por gateways

Mini Curso Firewall Linux Wairisson Gomes

Redes de computadores
Componentes da comunicao
receptor
transmissor

Bl bl bl mensagem

Lingua portuguesa protocolo

Mini Curso Firewall Linux Wairisson Gomes

Redes de computadores
Componentes da comunicao

IMPORTANTE!!!! Nas redes de computadores as informaes so fragmentadas em pedaos geralmente chamados de pacotes e sempre tem um endereo de ORIGEM e DESTINO

Mini Curso Firewall Linux Wairisson Gomes

Redes de computadores
Modelo OSI x Modelo TCP/IP

Em uma rede so os protocolos que fornecem os servios !!!

Mini Curso Firewall Linux Wairisson Gomes

Portas e Conexes
Os servios/protocolos rodam escutando em suas portas especficas

134.88.2.1 200.0.0.1

SOCKET: 44334

Solicitao http para 200.0.0.1 resposta http para 134.88.2.1

Mini Curso Firewall Linux Wairisson Gomes

SOCKET: 80

Portas e protocolos
Um firewall pode atuar controlando o fluxo com base nas portas para identificao dos protocolos e aplicaes
Lista de protocolos/portas

Mini Curso Firewall Linux Wairisson Gomes

Pacote IP
Contedo

Mini Curso Firewall Linux Wairisson Gomes

Segmento TCP
Contedo

As informaes mais relevantes neste momento so: Porta de origem Porta de destino Flags de estado
Mini Curso Firewall Linux Wairisson Gomes

Segmento UDP
Contedo

As informaes mais relevantes neste momento so: Porta de origem Porta de destino Flags de estado
Mini Curso Firewall Linux Wairisson Gomes

Estados da conexo

Mini Curso Firewall Linux Wairisson Gomes

Endereamento de rede

Mini Curso Firewall Linux Wairisson Gomes

Roteamento IP

Mini Curso Firewall Linux Wairisson Gomes

Endereamento de rede
Classe Faixa 1 Oct Numero de rede vlidas Nmeros total para esta classe 27 2 = 126 214 = 16.384 221 = 2.097,152 Nmero de hosts por rede 224 2 = 16.777,214 216 - 2 = 65.534 28 - 2 = 254

A B C

1 - 126 128 - 191 192 - 223

1.0.0.0 - 126.0.0.0 128.0.0.0 191.0.0.0 192.168.0.0 223.255.255.0

Mini Curso Firewall Linux Wairisson Gomes

Endereamento de rede
O endereo IP sempre vem acompanhado da mscara de sub rede.
Classe A B C Parte da rede 8 16 24 Parte do host 24 16 8 Mk Padro 255.0.0.0 255.255.0.0 255.255.255.0

Mini Curso Firewall Linux Wairisson Gomes

Endereamento de rede
O endereo IP sempre vem acompanhado da mscara de sub rede.
IP MK
IP MK IP MK

21 255
130 255 200 255

73 0
92 255 4 255

42 0
34 0 8 255

2 0
45 0 9 0

Mini Curso Firewall Linux Wairisson Gomes

Endereamento de rede
Os endereos privados nunca sero atribudos

pela ICANN a nenhuma entidade Os roteadores da internet so configurados para descartar Os endereos definidos pela RFC 1918
Rede IP privadas
10.0.0.0 172.16.0.0 172.31.0.0 192.168.0.0 192.168.255.0

Classes de redes
A B C

Nmero de redes
1 16 256

Mini Curso Firewall Linux Wairisson Gomes

cenrio

Mini Curso Firewall Linux Wairisson Gomes

Firewall
um componente ou um conjunto de

componentes que restrigem o acesso entre uma rede protegida e a Internet, ou entre redes protegidas e Internet como um todo.
Firewall pessoal

Firewall de permetro

Mini Curso Firewall Linux Wairisson Gomes

Estrutura do Iptables
Tabelas Cadeias

Mini Curso Firewall Linux Wairisson Gomes

Mini Curso Firewall Linux Wairisson Gomes

Sintaxe do Iptables
iptables -t [tabela] <ordem> <chain> [condies] -j <ao>
Tabelas Filter - Regras relacionadas a um firewall filtro de pacotes Nat - Regras relacionadas a um firewall filtro NAT Mangle Implementa alteraes em nveis mais complexo

Mini Curso Firewall Linux Wairisson Gomes

Sintaxe do Iptables
iptables -t [tabela] <comando> <chain> [condies] -j <ao>
Comando
- A : adiciona regras a uma ao final de uma cadeia - I : insere regras no inicio de uma cadeia -D : deleta regras de uma cadeia - F : remove todas as regras de uma cadeia - R : Substitui uma regra - N : cria nova cadeia - X : deleta cadeia - E : renomeia uma cadeia
Mini Curso Firewall Linux Wairisson Gomes

Sintaxe do Iptables
iptables -t [tabela] <ordem> <chain> [condies] -j <ao>
Cadeias Filter : INPUT, OUTPUT e FORWARD Nat: PREROUTING, OUTPUT e POSTROUTING Mangle : INPUT, OUTPUT, FORWARD, PREROUTING, e
POSTROUTING

Mini Curso Firewall Linux Wairisson Gomes

Sintaxe do Iptables
iptables -t [tabela] <ordem> <chain> [condies] -j <ao>
Condies
-p : especifica o protocolo (ex: -p icmp) -i : especifica uma interface de entrada (ex: -i eth0) -o : especifica uma interface de saida (ex: -o eth0) -s : especifica um endereo/rede de origem (ex: -s 10.0.0.1 ou 10.0.0.0/8) -d : especifica um endereo/rede de destino (ex: -d 10.0.0.1 ou 10.0.0.0/8) ! : especifica uma excluso (ex: -d ! 10.0.0.1 ou ! 10.0.0.0/8)
Mini Curso Firewall Linux Wairisson Gomes

Sintaxe do Iptables
iptables -t [tabela] <ordem> <chain> [condies] -j <ao>
Condies
-j : especifica um alvo (ex: -j ACCEPT) -sport : especifica porta de origem (ex: -p tcp --sport 80) -dport : especifica porta de destino (ex: -p udp --dport 53)

Mini Curso Firewall Linux Wairisson Gomes

Sintaxe do Iptables
iptables -t [tabela] <ordem> <chain> [condies] -j <ao>
Ao
ACCEPT : aceita ou permite a passagem de um pacote DROP : descarta um pacote ou impede sua passagem REJECT : descarta/impede a passagem de um pacote retornando uma mensagem LOG: registra a passagem do pacote em /var/log/messages SNAT: altera o endereo de origem do pacote DNAT: altera o endereo de destino do pacote REDIRECT: faz o redirecionamento de portas
Mini Curso Firewall Linux Wairisson Gomes

Hands On - Tabela filter

1 CENRIO

Mini Curso Firewall Linux Wairisson Gomes

Hands On - Tabela filter

Tarefas: 1 - No FIREWALL Habilitar o encaminhamento 2 - No XP efetuar um ping para fw.minicurso.com.br 3 - No XP Acessar http://fw.minicurso.com.br 4 - No XP Usando o putty acessar remotamente fw.minicurso.com.br

Mini Curso Firewall Linux Wairisson Gomes

Hands On - Tabela filter

Tarefas: 5 - No FIREWALL definir as polticas padro em DROP 5.1 iptables P INPUT DROP 5.2 iptables P FORWARD DROP 5.3 iptables P OUTPUT DROP 6 - repetir os testes dos itens 1 a 4 7 - No FIREWALL tentar pingar para 200.100.10.2, 192.168.0.2 e 127.0.0.1
Mini Curso Firewall Linux Wairisson Gomes

Hands On - Tabela filter

Tarefas: 8 - Liberar as conexes a seguir na chain INPUT 8.1 tudo origem loopback iptables -t filter A INPUT i lo j ACCEPT 8.2 todas as conexes originadas do prprio firewall iptables -P OUTPUT ACCEPT 8.3 Libera recepo da resposta de ping originados pelo firewall iptables -t filter -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT 9 - repetir os testes do item 7
Mini Curso Firewall Linux Wairisson Gomes

Hands On - Tabela filter

Tarefas: 10 - Liberar as conexes a seguir na chain INPUT 10.1 protocolo ICMP a partir da LAN iptables -t filter -A INPUT -s 192.168.0.0/24 -p icmp -j ACCEPT 10.2 portas 22 e 80 do FIREWALL para a rede local iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp -m multiport --dport 22,80 -j ACCEPT

Mini Curso Firewall Linux Wairisson Gomes

Hands On - Tabela filter

Tarefas: 10 - Liberar as conexes a seguir na chain INPUT 10.3 apenas a porta 80 do FIREWALL para a interface conectada internet iptables -t filter -A INPUT -i eth0 -p tcp --dport 80 j ACCEPT 10.4 acesso ssh para o ip 200.100.10.2 iptables -t filter -A INPUT -s 200.100.10.2 -p tcp -dport 22 -j ACCEPT

Mini Curso Firewall Linux Wairisson Gomes

Hands On - Tabela filter

2 CENRIO

Mini Curso Firewall Linux Wairisson Gomes

Hands On - Tabela filter

Tarefas: 11 Habilitar o NAT iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

12 - Liberar o ping a partir da rede local para internet # ida lan > internet iptables -t filter -A FORWARD -p icmp -s 192.168.0.0/24 -j ACCEPT # volta internet > lan iptables -t filter -A FORWARD -p icmp -m state -state ESTABLISHED,RELATED -j ACCEPT
Mini Curso Firewall Linux Wairisson Gomes

Hands On - Tabela filter

Tarefas:
12 - Liberar as conexes LAN > INTERNET nas portas 80, 443, 22 e 53 # ida lan > internet iptables -t filter -A FORWARD -p tcp -m multiport --dport 80,443,22,53 -j ACCEPT iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT # volta internet > lan iptables -t filter -A FORWARD -p tcp -m multiport --sport 80,443,22,53 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT
Mini Curso Firewall Linux Wairisson Gomes

Hands On - Tabela filter

Tarefas:
13 - Liberar as conexes LAN > INTERNET nas portas 20, 21, 4000 e 4001 # ida lan > internet iptables -A FORWARD -s 192.168.0.0/24 -p tcp -m multiport --dports 20,21,4000,40001 -j ACCEPT # volta internet > lan iptables -A FORWARD -p tcp -m multiport --sports 20,21,4000,40001 -m state --state RELATED,ESTABLISHED -j ACCEPT

Mini Curso Firewall Linux Wairisson Gomes

Hands On - Tabela nat

2 CENRIO

Request 200.100.10.1:3389

request 192.168.0.2:3389

reply 200.100.10.1:3389

reply 192.168.0.2:3389

Mini Curso Firewall Linux Wairisson Gomes

Hands On - Tabela nat

Tarefas:
14 - O redirecionamento de portas til para publicar servidores na web que esto dentro da LAN # redireciona pacotes com destino a porta 3389 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to 192.168.0.2:3389 # libera conexes com destino a 192.168.0.2 iptables -t filter -A FORWARD -d 192.168.0.2 -p tcp -dport 3389 -j ACCEPT # libera a resposta de 192.168.0.2 iptables -t filter -A FORWARD -s 192.168.0.2 -p tcp -sport 3389 -j ACCEPT
Mini Curso Firewall Linux Wairisson Gomes

Salvando, Limpando e restaurando as regras

# salvando
iptables-save > firewall.save
# visualizando cat firewall.save
# limpando todas as tabelas
iptables -t filter -F iptables -t nat -F iptables -t magle F

# restaurando iptables-restore < firewall.save

Mini Curso Firewall Linux Wairisson Gomes

Ativando no boot
# adicionar a linha abaixo no arquivo /etc/network/interfaces
pre-up iptables-restore < /home/aluno/firewall.save

Mini Curso Firewall Linux Wairisson Gomes

Referncias
FILHO, Mota. Eriberto. Firewall com iptables. Disponvel em: <http://eriberto.pro.br/iptables/3.html> acesso em: 23 set 12 NETO, Urubatan. Dominando Linux Firewall Iptables. 2004, Ciencia Moderna. MENDES, Wagner. Firewall no Linux Curso On line. Disponvel em: < http://www.devmedia.com.br/curso/firewall-no-linux/121 > acesso em: 23 set 12

Mini Curso Firewall Linux Wairisson Gomes