Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

Fábio Borin

Configuração de Iptables

Por , em Docker, Kubernets e outros ambientes

Recommended Posts

Fábio Borin    0

Fábio Borin
Postado

Olá pessoal,Sou iniciante no mundo linux e gostaria de alguem que me ajudasse a realizar a configuração de um firewall com iptables, tenho instalada a versão Red Hat Enterprise 4 do Linux. Ja fiz o download de várias apostilas vi muitos artigos mas nao estou conseguindo realizar a configuração inicial, o problema que estou encontrando é em como devo iniciar meu firewall. Bloquear tudo??? até tentei fazer isso para liberar as regras depois mas nada acontece.Exemplo:Eu apaguei todas as regras com o comando iptables - F, quando verificava com o comando iptables -L as regras realmente haviam sumido, mas mesmo assim conseguia fazer ping de outras maquinas da rede interna, realizar ssh para essa maquina e como se nada tivesse acontecido.Mas como eu falei sou iniciante em Linux não praticamente nada, posso estar fazendo algo de errado, por isso esou pedindo a ajuda de você´s.Desde já agradeço a atenção de Todos.Obrigado(a).

Compartilhar este post

Link para o post
Compartilhar em outros sites

Prog    183

Prog
Postado

Olá Fábio...

 

A situação inicial do filtro de pacotes, ao listar a situação da tabela no iptables (iptables -L), aparece da seguinte maneira:

Chain INPUT (policy ACCEPT)
target	 prot opt source			   destination		 

Chain FORWARD (policy ACCEPT)
target	 prot opt source			   destination		 

Chain OUTPUT (policy ACCEPT)
target	 prot opt source			   destination

Isto indica que nenhuma regra foi criada e que a politica para todas as "chains" é de aceitar (ACCEPT).

 

Vamos a um script simples, para bloquear todo tráfego que chega para esta máquina, independente de qualquer coisa:

iptables -F
iptables -P INPUT DROP

Com isto, estaremos mudando a política da "chain" de entrada (INPUT), com isto sua máquina não vai receber mais conexões, seja na porta 22 (SSH), seja na porta 80 (HTTP) ou um ping. Você pode aplicar este tipo de politica para todos os "chains", isto implica em liberar o acesso no seu filtro de pacotes.

 

Para voltar a situação inicial, onde o filtro de pacotes permite aceita todo o tráfego, troque o parâmetro DROP por ACCEPT.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Fábio Borin    0

Fábio Borin
Postado

olá,

Desde já quero agradecer sua ajuda.

Observando a saida do comando iptables -L que você informou verifiquei que aqui para mim aparece a seguinte opção:

Chain RH-Firewall-1-INPUT (2 references)

target prot opt source destination

ACCEPT all -- anywhere anywhere

ACCEPT icmp -- anywhere anywhere icmp any

ACCEPT ipv6-crypt-- anywhere anywhere

ACCEPT ipv6-auth-- anywhere anywhere

ACCEPT udp -- anywhere 224.0.0.251 udp dpt:5353

ACCEPT udp -- anywhere anywhere udp dpt:ipp

ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh

REJECT all -- anywhere anywhere reject-with icmp-host-prohibited

 

Do que se trata essa opção???

Outra coisa.. Eu posso realizar as configurações do iptables atraves de um terminal (SSH) ou deve ser na propria maquina?

 

Após realizar o comando iptables -P INPUT DROP como deve aparecer listada a chain INPUT?

 

Obrigado,

 

 

 

 

 

 

 

 

 

 

Olá Fábio...

 

A situação inicial do filtro de pacotes, ao listar a situação da tabela no iptables (iptables -L), aparece da seguinte maneira:

Chain INPUT (policy ACCEPT)target	 prot opt source			   destination		 Chain FORWARD (policy ACCEPT)target	 prot opt source			   destination		 Chain OUTPUT (policy ACCEPT)target	 prot opt source			   destination
Isto indica que nenhuma regra foi criada e que a politica para todas as "chains" é de aceitar (ACCEPT).

 

Vamos a um script simples, para bloquear todo tráfego que chega para esta máquina, independente de qualquer coisa:

iptables -Fiptables -P INPUT DROP
Com isto, estaremos mudando a política da "chain" de entrada (INPUT), com isto sua máquina não vai receber mais conexões, seja na porta 22 (SSH), seja na porta 80 (HTTP) ou um ping. Você pode aplicar este tipo de politica para todos os "chains", isto implica em liberar o acesso no seu filtro de pacotes.

 

Para voltar a situação inicial, onde o filtro de pacotes permite aceita todo o tráfego, troque o parâmetro DROP por ACCEPT.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Prog    183

Prog
Postado

A tabela básica do iptables são aquelas 3 "chains", como já mencionado.

 

Algumas distribuições criam novas "chains", que chamamos "chains de usuários", pq qualquer usuário pode criar uma "chain" que estará vinculado a uma das outras básicas. Como o próprio nome indica, esta deve estar vinculada a chain INPUT.

 

Toda vez que o sistema é reiniciado, as informações do iptables são "zeradas", com isto, toda vez que o sistema é inicializado, um script deve ser executado para que as regras do filtro de pacotes seja reconfigurado. Certamente alguns recursos do RedHat estão sendo carregados durante a inicialização do sistema.

 

ps.: Já usei RedHat tempos atras, mas estou bem desatualizado de como funciona seus scripts de inicialização.

 

Leitura recomendada:

http://focalinux.cipsga.org.br/guia/avanca...fw-iptables.htm

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos Docker, Kubernets e outros ambientes
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito