Segurana de Redes Reviso G2

Prof. Cristiano Goulart Borges cristiano_borges@alcidesmaya.com.br cristiano@cristiano.eti.br www.alcidesmaya.com.br @cgborges07

Wi-fi

Segurana de Redes

Tcnicas de invaso Wi-fi

A comunicao wi-fi acontece em frames

Frames de controle tem uma estrutura mais complexa

O campo Type ou Tipo define o tipo de quadro WLAN, que pode ter 3 possibilidades: Gerenciamento, Controle ou Dados
Segurana de Redes

Hiden SSID

Segurana de Redes

Tcnicas de invaso Wi-fi

Na configurao padro, Access Points enviam seus SSIDs nos Beacon Frames. Isto permite que clientes na vizinhana o detectem facilmente. Utilizando Hidden SSID o AP no faz broadcast de seu SSID nos Beacon Frames. Somente clientes que conhecem o SSID podem conectar-se a rede. Se monitorarmos os Beacon Frames com o Wireshark, veremos os SSIDs em texto puro.
Segurana de Redes

Tcnicas de invaso Wi-fi

Burlando: Se utilizarmos o mtodo passivo, basta esperarmos um cliente legtimo se conectar ao AP. Sero gerados pacotes Probe Request e Probe Response, onde ambos contero o SSID da rede, revelando sua presena. Se utilizarmos o mtodo ativo, podemos enviar pacotes de de-autenticao para o AP com o aireplay-ng, forando a reconexo de clientes.

Segurana de Redes

Filtros de MAC

Segurana de Redes

Tcnicas de invaso Wi-fi

A idia bsica aumentar a segurana da autenticao baseando-se no MAC Address do cliente. Uma lista com MACs autorizados mantida pelo administrador do sistema no AP. S permite a conexo se o MAC estiver cadastrado no AP.

Segurana de Redes

Tcnicas de invaso Wi-fi

Burlando: Utilizando uma ferramenta como o airodump-ng, possvel descobrir o MAC de clientes legtimos conectados ao AP. Ex: airodump-ng -c 11 a --bsssid 00:21:91:D3:E8:26 mon0 onde:
a opo -c especifica o canal que est sendo utilizado. a opo a nos assegura que na seo cliente do airodump-ng, apenas clientes associados e conectados ao AP sero exibidos. a opo --bssid indica qual o MAC Address do AP. a opo mon0 representa a interface wi-fi do atacante que est sendo utilizada no monitoramento.
Segurana de Redes

Tcnicas de invaso Wi-fi

Uma vez que encontramos clientes legtimos conectados no AP, basta trocarmos o MAC Address do nosso adaptador para um MAC legtimo spoofando um endereo vlido. Para trocar o endereo da interface, usaramos o macchanger:
Ex: macchanger m 60:FB:42:D5:5B:43 wlan0, onde 60:FB:42:D5:5B:43 um endereo de um cliente vlido. Dessa forma, o AP j passaria a aceitar nossas conexes.

Segurana de Redes

Protees

Segurana de Redes

Tcnicas de invaso Wi-fi

Para SOHO (Small Office Home Office) e empresas de tamanho mdio:
utilize WPA2/PSK com uma senha forte que no esteja em dicionrios (nem de trs para frente). Voc tem 63 caracteres para compor a senha: use-os.

Para grandes empresas:

use WAP2-Enterprise (Servidor Radius) com EAP-TLS (Extensible Authentication Protocol-Transport Layer Security). Ele usa certificados tanto do lado do servidor quanto do lado do cliente para autenticao (atualmente a maneira mais segura).
Segurana de Redes

Tcnicas de invaso Wi-fi

802.1x
Baseado no conceito de portas. Enquanto a estao no finaliza o processo de autenticao, fica com a porta para a rede fechada. A nica comunicao permitida com o servidor RADIUS. Apenas no final da autenticao com sucesso (indicada pelo servidor RADIUS para o AP) o AP libera o acesso.

Segurana de Redes

Tipos de Firewalls

Segurana de Redes

Firewalls - Tipos
Quanto a camada de atuao no TCP/IP
de aplicao de pacotes

Quanto a abrangncia da proteo

de host de rede

Quanto ao poder de ao
Stateless Statefull

Quanto a ao padro
Permissivo Prudente (Proibitivo)
Segurana de Redes

Firewalls - Tipos
Quanto a camada de atuao no TCP/IP
De aplicao
Permitem analisar os protocolos e dados trafegados. Proxy: entende as requisies HTTP. Proxy: permite bloquear URL por palavras chaves.

Filtro de pacotes
Permitem anlise dos cabealhos da pilha TCP/IP Transporte: Flags TCP (SYN, FIN, RST, etc), portas... Rede: IPs de origem e destino, flags... Enlace: endereos fsicos (MAC)
Segurana de Redes

Firewalls - Tipos
Quanto a abrangncia da soluo
de Host (tambm chamado de Firewall Pessoal)
Protege apena a estao onde est instalado.

de Rede
Protege vrias mquinas na rede atrs dele; Geralmente instalado no gateway da rede;
O Firewall da mquina A est instalado nela e protege apenas esta estao local. J o firewall de GW protege as mquinas A, B, C e ele mesmo.
Segurana de Redes

WEB

GW
Firewall

A
Firewall Desktop

Firewalls - Tipos
Quanto ao poder de ao
Stateless (livre de estado)
Tambm conhecido por firewall esttico. No se lembra do passado. As regras baseiam-se no pacote que est sendo analisado e o que pode-se extrair dele. Ocupa menos recurso de hardware. Alguns filtros incorporados a routers comerciais so stateless.

Segurana de Redes

Firewalls - Tipos
Quanto ao poder de ao
Statefull
Tambm conhecido por firewall dinmico. Possui memria das conexes (lembra-se do passado). As regras conexo. levam em considerao pacotes que j passaram daquela

Exemplos de regras statefull:

Cliente j fez o handshake? Se sim, aceita conexes desse cliente. Esse cliente j enviou muitos SYN? Ento recusa novas tentativas. Esse IP bateu na porta 10000 a menos de 1 segundo atrs? Se sim, libera a porta 22 para esse cliente (port knocking)
Segurana de Redes

Firewalls - Tipos
Stateless x Statefull

Stateless: para aceitar o pacote basta analizar o pacote atual. Ex: se porta 80 aceita, seno nega.

Statefull: Considera se o cliente j fez o handshake. Se sim, o firewall deve ser capaz de consultar em suas tabelas as conexes anteriores.

Segurana de Redes

Firewalls - Tipos
Quanto a ao padro
Permissivo
Todos os pacotes para os quais no existe regra especfica sero aceitos. Se um pacote no casar com nenhuma regra estabelecida, ser aceito.

Prudente
Todos os pacotes para os quais no existe regra especfica sero negados. Se um pacote no casar com nenhuma regra estabelecida, ser descartado. Qual o melhor? Como se comporta o Iptables?
Segurana de Redes

Sobre filtros

Segurana de Redes

Firewalls
O que um filtro pode fazer?
Aceitar um pacote
Permitir que ele siga o seu caminho.

Rejeitar um pacote
Impedir que ele prossiga, descart-lo.

Realizar logs de eventos

Registrar num arquivo as caractersticas de um determinado pacote.

Alterar um pacote
Trocar algumas informaes do cabealho (nem todos permitem).

Segurana de Redes

Firewalls
O que um filtro NO pode fazer?
Verificar se os dados tem vrus
Alguns firewalls pessoais para Windows fazem isso, mas eles no so apenas firewalls, e sim sutes de segurana (Firewall, antivrus, IDS, IPS, antirootkit, antispyware, etc)

Filtrar por contedo, strings

Um filtro de pacotes no deveria fazer isso, pois a se enquadraria como filtro de aplicao.

Garantir a segurana
Um filtro faz parte da estratgia de segurana, mas 100% de segurana no existe. Lembre-se que a instalao de um firewall pode dar a falsa sensao de segurana plena e incentivar o Administrador a relaxar a guarda.
Segurana de Redes

Firewalls
Organizao das regras
Cada regra possui:
Caractersticas que fazem um pacote casar com ela: se o IP de origem for..., se a porta de destino for..., se o protocolo no for..., etc. Uma ao a ser realizada com aquele pacote: ento descarta, ento aceita, ento rejeita, etc.

A ordem de aplicao das regras muito importante:

O Firewall por definio ir testar da primeira at a ltima. Ao encontrar uma regra que case com o pacote ele para o teste e aplica a regra encontrada, ou seja, no testa as regras seguintes. Logo uma boa estratgia para ordenar as regras fundamental em firewall complexos.
Segurana de Redes

Firewalls
Exemplo ERRNEO de uma ordenao de regras
Regra 1: se porta de destino = 5000 ento nega acesso Regra 2: se IP de origem for 10.1.0.1 e porta de destino = 5000 ento aceita conexo.

Neste caso a Regra 2 jamais ser aplicada. O exemplo CORRETO seria:

Regra 1: se IP de origem for 10.1.0.1 e porta de destino = 5000 ento aceita conexo. Regra 2: se porta de destino = 5000 ento nega acesso

Segurana de Redes

Firewalls
E se no casar com nenhuma regra? Poltica
Considere que o filtro possui 2 regras configuradas: Regra 1: se o destino do pacote for a porta 22 ento aceita Regra 2: se o destino do pacote for a porta 23 ento aceita Chegou um pacote na porta 80!!!! No se enquadra na Regra 1; No se enquadra na Regra 2; Qual a deciso do filtro?
Segurana de Redes

Aqui v-se a importncia da POLTICA Permissivo: aceita o pacote Prudente: nega pacote

IPtables

Segurana de Redes

Firewalls - IPtables
Antes de falar no Iptables, falemos sobre como ativar encaminhamento no Linux. Habilitar ip_forward echo 1 > /proc/sys/net/ipv4/ip_forward

Segurana de Redes

Firewalls - IPtables
Netfilter: na verdade esse o nome do Firewall do mundo Linux. IPTables o interpretador de comandos que permite inserir regras no NetFilter. NetFilter Kernel. Iptables aplicao.
Caminho de informaes em: http://www.netfilter.org/
Segurana de Redes

Firewalls - IPtables
At o Kernel 2.0 do Linux usava-se o IPfwadmin. A partir do Kernel 2.2 do Linux usava-se o Ipchains. A partir do Kernel 2.4 passou-se a usar o Iptables. Principal diferena entre eles????? IPfwadmin e Ipchains so Stateless. IPtables Statefull.
Segurana de Redes

Firewalls - IPtables
Dentro do ciclo de vida dos pacotes o Netfilter inseriu ganchos, onde o pacote pode ser analisado. Entender esses ganchos fundamental para entender onde uma regra deve ser posicionada no Iptables.

Segurana de Redes

Firewalls - IPtables
Ganchos do netfilter: Pacote destinado a processo local pode ser analisado no PREROUTING, logo que entra na placa pode ser analisado no INPUT no passa pelo FORWARD!!
Segurana de Redes

Firewalls - IPtables
Ganchos do netfilter: Um pacote gerado por um processo local pode ser analisado no gancho OUTPUT pode ser analisado no POSTROUTING no passa pelo FORWARD!!
Segurana de Redes

Firewalls - IPtables
Ganchos do netfilter: Um pacote roteado por este kernel
pode ser analisado no PREROUTING, logo que entra na placa pode ser analisado no gancho FORWARD Pode ser analisado no POSTROUTING, antes de sair da placa

Segurana de Redes

Firewalls - IPtables
Tabelas do IPtables possvel criar listas de regras (nomeando-as), comumente conhecidas como tabelas. Existem por padro 3 tabelas fixas (cujos nomes tambm so fixos): filter, nat e mangle. Cada tabela realiza uma ao especfica. Cada tabela tem regras que atuam em algum dos ganchos: PREROUTING, INPUT, OUTPUT, FORWARD e POSTROUTING
Segurana de Redes

A tabela Filter

Segurana de Redes

Firewalls Iptables - FILTER

TABELA FILTER a tabela que funciona efetivamente como FIREWALL na sua essncia (filtragem de pacotes). Nessa tabela devem ser carregadas as regras de filtragem. Atua nos ganchos INPUT, OUTPUT, FORWARD . No atua nos ganchos: PREROUTING e POSTROUTING.
Segurana de Redes

Firewalls Iptables - FILTER

Qual gancho utilizar INPUT, OUTPUT ou FORWARD? INPUT: trabalha nos pacotes destinados aos processos da mquina local.
Ex: Quero impedir que usurios acessem minha porta 22.

OUTPUT: trabalha nos pacotes gerados por processos da mquina local.

Ex: Quero impedir que minha mquina navegue, bloqueio a sada pela porta 80 e 443.

Que fique claro: INPUT e OUTPUT quando se refere aos processos da mquina local (o prprio firewall).
Segurana de Redes

Firewalls Iptables - FILTER

Qual gancho utilizar INPUT, OUTPUT ou FORWARD? FORWARD: Pega os pacotes que esto passando pela mquina local. No so pacotes gerados por ela nem destinados a ela.
Ex: Quero que os pacotes vindos da Internet com destino a porta 3389 do meu servidor de e-mail sejam bloqueados.

Que fique claro: FORWARD quando os pacotes esto passando pela mquina local (o Linux est atuando como um filtro de rede).
Segurana de Redes

Firewalls Iptables - FILTER

Qual gancho utilizar INPUT, OUTPUT ou FORWARD? Veja que o firewall pode (e deve) fazer ambas as funes, apenas usando ganchos diferentes:
Quero impedir que usurios acessem a porta 22 do prprio firewall. (INPUT) Quero impedir que o firewall navegue, bloqueando a sada pela porta 80 e 443. (OUTPUT) Quero que os pacotes vindos da Internet com destino a porta 3389 do servidor de e-mails da rede local sejam bloqueados. (FORWARD)
Segurana de Redes

Firewalls Iptables - FILTER

POLTICAS Atravs da opo -P podemos definir a poltica de um determinado gancho. A poltica inicial sempre permissiva, o que faz com que o filtro, inicialmente, aceite qualquer INPUT, OUTPUT ou FORWARD. Permissiva: iptables P INPUT ACCEPT
Isto far com que qualquer pacote que chegue na interface de entrada e que no casou com nenhuma regra da tabela filter, seja aceito.

Prudente: iptables P INPUT DROP

Isto far com que qualquer pacote que chegue na interface de entrada e que no casou com nenhuma regra da tabela filter, seja rejeitado.

O parmetro P no aceita REJECT nem LOG.

Segurana de Redes

Firewalls Iptables - FILTER

Poderes da tabela filter Filter o firewall propriamente dito. Tem o poder de aceitar ou no um pacote mas no pode modific-lo.
Apenas as tabelas nat e mangle tem esse poder.

Tem o poder de registrar logs

Deve ter uma regra especfica para o registro de logs.

Segurana de Redes

Firewalls Iptables - FILTER

Sintaxe do Iptables Principais parmetros:
iptables t filter A FORWARD i eth0 s 10.0.0.1 o eth1 d 172.16.0.0/24 p tcp dport 80 j ACCEPT

-t : indica em qual tabela. Ex: iptables t filter...

Se for omitido, sempre considera a tabela filter.

-A [gancho]: indica inserir essa regra aps a ltima regra para esse gancho. Ex: iptables t filter A FORWARD... -I [gancho]: indica inserir essa regra no incio das regras para esse gancho. Ex: iptables t filter I 1 FORWARD...
Segurana de Redes

Firewalls Iptables - FILTER

Sintaxe do Iptables

-N [gancho]: Cria um gancho definido pelo usurio. Ex: iptables t filter N internet -L [gancho]: Lista as regras existentes. Ex: iptables L FORWARD | iptables L FORWARD n --line-numbers -D [gancho]: Apaga a regra pelo seu nmero de ordem. Ex: iptables
D FORWARD 4

-F [gancho]: Remove todas as regras existentes no gancho, mas sem alterar a poltica. Ex: iptables F FORWARD -Z [gancho]: Zera o contador de bytes dos ganchos. Ex: iptables t filter Z INPUT
Segurana de Redes

Firewalls Iptables - FILTER

iptables t filter A FORWARD i eth0 s 10.0.0.1 o eth1 d 172.16.0.0/24 p tcp dport 80 j ACCEPT

-s [IP/MASC] : indica para qual IP/mscara de origem (source) essa regra se aplica. Ex: iptables t filter A FORWARD i eth0 s 10.0.0.1... -d [IP/MASC] : indica para qual IP/mscara de destino (destination) essa regra se aplica. Ex: iptables t filter A FORWARD s 10.0.0.1 d 172.16.0.0/24... Ex: iptables t filter A FORWARD s 10.0.0.1 d www.terra.com.br...
Segurana de Redes

Firewalls Iptables - FILTER

iptables t filter A FORWARD i eth0 s 10.0.0.1 o eth1 d 172.16.0.0/24 p tcp dport 80 j ACCEPT

-i [interface] : indica estar entrando (input) por uma interface de rede. Ex: iptables t filter A FORWARD i eth0 s 10.0.0.1 d 172.16.0.0/24...

O parmetro -i no faz o menor sentido para o gancho OUTPUT, pois o pacote no entrou em interface alguma. iptables t filter A OUTPUT i eth3... (erro de sintaxe)
Segurana de Redes

Firewalls Iptables - FILTER

iptables t filter A FORWARD i eth0 s 10.0.0.1 o eth1 d 172.16.0.0/24 p tcp dport 80 j ACCEPT

-o [interface] : indica estar saindo (output) por uma interface de rede. Ex: iptables t filter A FORWARD i eth0 s 10.0.0.1 o eth1 d 172.16.0.0/24...

O parmetro -o no faz o menor sentido para o gancho INPUT, pois o pacote no ir sair em interface alguma. iptables t filter A INPUT o eth3... (erro de sintaxe)
Segurana de Redes

Firewalls Iptables - FILTER

Tabela de referncia rpida
TABELA GANCHO (CHAIN) INTERFACE ENTRADA (-i) filter INPUT OUTPUT FORWARD nat PREROUTING OUTPUT POSTROUTING mangle PREROUTING OUTPUT
Segurana de Redes

SADA (-o) NO SIM SIM NO SIM SIM NO SIM

SIM NO SIM SIM NO NO SIM NO

Firewalls Iptables - FILTER

-j [ao] : indica a ao a ser tomada para esse pacote. Ex: iptables t filter A FORWARD i eth0 s 10.0.0.1 o eth1 d 172.16.0.0/24 j ACCEPT
(todo pacote entrando pela interface eth0 que tiver o IP de origem 10.0.0.1, saindo pela interface eth1 e que se destinar a qualquer mquina da rede 172.16.0.0/24 ser aceito)

Algumas aes: ACCEPT: o pacote ser aceito. Nenhuma outra regra dessa tabela ser avaliada. DROP: o pacote ser descartado. Nenhuma outra regra dessa tabela ser avaliada. REJECT: o pacote ser descartado. Nenhuma outra regra dessa tabela ser avaliada.
Segurana de Redes

Firewalls Iptables - FILTER

Usar DROP ou REJECT???? DROP no d nenhum retorno ao usurio. REJECT retorna ao usurio um pacote ICMP do tipo 3 (destination unreachable) cdigo 3 (port unreachable) para UDP e TCP. Para TCP isso pode ser mudado para um RST, pois ferramentas como o NMAP identificam um Firewall da seguinte maneira:
Recebeu RST: porta inativa. Recebeu ICMP: firewall bloqueou. No recebeu nada: firewall bloqueou com DROP.

Ou seja tudo depende da poltica adotada pela empresa: DROP: no informa nada ao atacante. REJECT: Oi eu sou o Firewall ;o)
Segurana de Redes

Firewalls Iptables - FILTER

-j LOG: o pacote no ser descartado nem aceito, apenas ser registrado em log. nica ao que continua testando regras aps j ter casado com uma regra (isso acontece obviamente para permitir logar um pacote antes de especificar uma ao). Para DROPAR e logar, por exemplo:
iptables t filter A FORWARD s 10.0.0.1 j LOG iptables t filter A FORWARD s 10.0.0.1 j DROP

Os logs sero enviados para o syslog como eventos do Kernel.

Geralmente no /var/log/messages
Segurana de Redes

Firewalls Iptables - FILTER

-p: indica algum protocolo de transporte, como TCP ou UDP (ou mesmo ICMP, embora no seja de transporte) O -p permite que sejam utilizadas portas
--sport: porta de origem --dport: porta de destino

Ex: iptables I INPUT p tcp --dport 22 j DROP

Segurana de Redes

Firewalls Iptables - FILTER

Exemplos: Considerando o mapa abaixo, configure o firewall com Iptables:

Bloqueie SSH no firewall para a rede 172.20.8.0/16

iptables t filter A INPUT s 172.20.8.0/16 p tcp --dport 22 j DROP

Permita ao host 172.20.5.19 que acesse o servio SSH no LAB B

iptables t filter A FORWARD s 172.20.5.19 d 10.10.10.3 p tcp --dport 22 j ACCEPT

Permita a qualquer mquina de qualquer rede o acesso HTTP a qualquer uma das duas mquinas.
iptables t filter A FORWARD d 10.10.10.0/24 p tcp --dport 80 j ACCEPT
Segurana de Redes

Firewalls Iptables - FILTER

Libere para o LAB A acesso via SSH no Firewall, no sem antes logar essa ao:
iptables t filter A INPUT s 10.10.10.2 p tcp --dport 22 j LOG iptables t filter A INPUT s 10.10.10.2 p tcp --dport 22 j ACCEPT

Libere apenas consultas de DNS, POP e SMTP para os hosts da rede 10.10.10.0/24. Bloqueie todo o resto.
iptables t filter A FORWARD s 10.10.10.0/24 p udp --dport 53 j ACCEPT iptables t filter A FORWARD s 10.10.10.0/24 p tcp --dport 110 j ACCEPT iptables t filter A FORWARD s 10.10.10.0/24 p tcp --dport 25 j ACCEPT iptables P FORWARD DROP
Segurana de Redes

A tabela NAT

Segurana de Redes

Firewalls Iptables - NAT

Antes um pouco sobre os mdulos do Iptables. Os mdulos do IPtables so especificados com a opo m [nome_mdulo] e permitem expandir as funcionalidades do firewall. mdulo state mdulo limit mdulo recent O poder statefull est justamente nos mdulos.
Segurana de Redes

Firewalls Iptables - NAT

Poderes do mdulo STATE Permite regras que casem com o estado de uma conexo. O parmetro -m state invoca o mdulo. Exemplo 1:
iptables I INPUT m state --state ESTABLISHED j ACCEPT o ESTABLISHED permite que entrem pacotes para os quais j se tem uma conexo estabelecida.

Segurana de Redes

Firewalls Iptables - NAT

Exemplo 2:
iptables I INPUT m state --state RELATED j ACCEPT permite a entrada de conexes relacionadas com algo que j foi permitido antes.

Ex:
ICMP totalmente bloqueado na entrada (mas com o related na primeira regra) Sai um pacote para a UDP 53
No destino a porta est fechada. Volta um ICMP 3/3. O RELATED entende que esse pacote est relacionado ao UDP que foi e deixa-o retornar.
Segurana de Redes

Firewalls Iptables - NAT

A TABELA NAT A tabela NAT serve para editar um pacote.
Trocar IP ou trocar porta.

Chama-se NAT pois permite realizar traduo de endereos (nat = network address translation). A ao de uma regra na tabela NAT permite trocar porta ou IP apenas, de origem ou de destino. Atua nos ganchos POSTROUTING.
Segurana de Redes

PREROUTING,

OUTPUT

Firewalls Iptables - NAT

Aes da tabela NAT -j DNAT (destination NAT ou NAT de destino)
Permite trocar um parmetro (IP ou porta) de destino. Importante: destino a essncia do roteamento.
Logo, no faz sentido trocar o destino depois que o pacote j teve a deciso de roteamento. Por isso que DNAT s funciona no PREROUTING ou na OUTPUT. DNAT gera erro de sintaxe no POSTROUTING (trocar destino depois de ser roteado???)

-j SNAT (source NAT ou NAT de origem)

Permite trocar um parmetro (IP ou porta) de origem. Importante: s pode ser utilizado no POSTROUTING.
Segurana de Redes

Firewalls Iptables - NAT

Exemplos:
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 10.10.10.3 Pacotes que chegarem nessa mquina e que forem destinados a porta 80, devem ser encaminhados para a mquina 10.10.10.3 (provavelmente um Web Server da rede interna) Destination NAT. O iptables altera o cabealho do pacote trocando o IP 10.10.10.3. Quando o pacote voltar ele destroca automaticamente. A porta tambm pode ser trocada: iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 10.10.10.3:8080 de destino para

Segurana de Redes

Firewalls Iptables - NAT

Exemplos:
iptables -t nat -A POSTROUTING -p tcp --dport 80 -j SNAT --to 10.10.10.1 Pacotes que esto saindo dessa mquina e que forem destinados a porta 80, devem ser enviados como se tivessem sido gerados pela mquina de IP 10.10.10.1 (o prprio firewall) Source NAT. O iptables altera o cabealho do pacote trocando o IP 10.10.10.1. Quando o pacote voltar ele destroca automaticamente. de origem para

Segurana de Redes

Firewalls Iptables - NAT

Casos de sucesso da tabela NAT (MASQUERADE)
Redirecionar trfego da Internet para um servidor interno que tem IP privado. Realizar NAT dinmico, conhecido como mascaramento:
iptables -t nat -A POSTROUTING -p tcp --dport 80 -j SNAT --to 10.10.10.1

ou
iptables -t nat -A POSTROUTING -p tcp --dport 80 -j MASQUERADE

MASQUERADE = um apelido para j SNAT <IP da ethx>

Segurana de Redes

Firewalls Iptables - NAT

Casos de sucesso da tabela NAT (PROXY TRANSPARENTE)

iptables -t nat -A PREROUTING -i eth1 -s 10.10.10.0/24 -p tcp --dport 80 -j DNAT --to 10.10.10.1:3128

ou
iptables -t nat -A PREROUTING -i eth1 -s 10.10.10.0/24 -p tcp --dport 80 -j REDIRECT --to 3128

REDIRECT: um apelido para j DNAT --to <ip ethx>:porta

Segurana de Redes