1. Home
  2. Cloud Server PRO
  3. Configurando IPTables – Cloud Server PRO
Searching...

Configurando IPTables – Cloud Server PRO

Observação

A Locaweb se isenta de qualquer responsabilidade pelas configurações realizadas e não presta qualquer tipo de suporte para esse procedimento que é apenas uma sugestão permitindo personalização conforme conhecimento.

Explicação Basica de parâmetros

Tabelas e Chains

PREROUTING

  • Quando os pacotes entram para sofrerem NAT.

POSTROUTING

  • Quando os pacotes estão saindo após sofrerem NAT

OUTPUT

  • Pacotes que são gerados na própria máquina e que sofrerão NAT

INPUT

  • Pacotes cujo destino final é a própria máquina firewall.

FORWARD

  • Pacote que atravessa a máquina firewall, cujo destino é uma outra máquina. Este pacote não sai da máquina firewall e sim de outra máquina da rede ou fonte. Neste caso a máquina firewall está repassando o pacote.

ACCEPT

  • Aceita e permite a passagem do pacote.

DROP

  • Não permite a passagem do pacote e abandona-o não dando sinais de recebimento.

REJECT

  • Assim como o DROP, não permite a passagem do pacote, mas envia um aviso ( icmp unreachable )

LOG

  • Cria um Log referente a regra em /var/log/messages

Opções das regras:

  • P – Define uma regra padrão
  • A –  Acrescenta uma nova regra as existentes. Este tem prioridade sobre a -P
  • D –  Apaga-se uma regra
  • L – Lista as regras existentes
  • F –  Apaga todas as regras
  • I –  Insere uma regra nova
  • h –  Muito útil, pois mostra a ajuda
  • R –  Substitui uma regra
  • C –  Faz uma checagem das regras existentes
  • Z –  Zera uma regra específica
  • N –  Cria uma nova regra com um nome
  • X – Exclui uma regra específica pelo seu nome

Adicionando a porta no IPTABLES para origem e destino

iptables -A INPUT -p tcp –dport (adicione aqui o número da porta) -j ACCEPT
iptables -A OUTPUT -p tcp –dport (adicione aqui o número da porta) -j ACCEPT

iptables -A INPUT -p tcp –sport (adicione aqui o número da porta) -j ACCEPT
iptables -A OUTPUT -p tcp –sport (adicione aqui o número da porta) -j ACCEPT

Para garantir coloque estas regras de forward caso a politica de seu firewall seja DROP.

iptables -A FORWARD -p tcp –sport (adicione aqui o número da porta) -j ACCEPT
iptables -A FORWARD -p tcp –dport (adicione aqui o número da porta) -j ACCEPT

Adicionando o IP no IPTABLES para origem e destino

iptables -A INPUT -d (adicione aqui o IP) -j ACCEPT
iptables -A OUTPUT -d (adicione aqui o IP) -j ACCEPT

iptables -A INPUT -s (adicione aqui o IP) -j ACCEPT
iptables -A OUTPUT -s (adicione aqui o IP) -j ACCEPT

Para garantir coloque estas regras de forward caso a politica de seu firewall seja DROP.

iptables -A FORWARD -p tcp –sport (adicione aqui o IP) -j ACCEPT
iptables -A FORWARD -p tcp –dport (adicione aqui o IP) -j ACCEPT

Salvando as regras
Depois das regras prontas podemos salvá-las com este comando:
iptables-save >

Para recuperá-las use este comando:
iptables-restore >

Visualizandos as informações
Podemos ver todas as regras em andamento ao darmos o comando:
“iptables -L” ou “iptables -nL”

Com os comandos abaixo limpamos todas as tabelas e regras:

  • iptables -F
  • iptables -X
  • iptables -t nat -F
  • iptables -t nat -X

Com o comando abaixo deletamos uma regra:

  • iptables -D OUTPUT -d 172.20.5.10 -j ACCEPT
  • iptables -D FORWARD -s 10.0.0.1 -j DROP
  • iptables -D FORWARD -d www.chat.com.br -j DROP

Regras mais ultilizadas do IPTABLES:

Libera o apache pra web

  • iptables -A INPUT -p tcp –destination-port 8080 -j ACCEPT
  • iptables -A INPUT -p tcp –destination-port 1080 -j ACCEPT

Libera todo o acesso a interface loopback

  • iptables -t filter -A INPUT -j ACCEPT -i lo

Bloqueando todos os endereços vindo de uma determinada rede para a minha máquina

  • iptables -A INPUT -s 10.0.0.0/8 -j DROP

Liberando o endereço vindo de uma rede para a minha máquina

  • iptables -A INPUT -s 10.0.0.1 -j ACCEPT

Gerando Logs de Portas proibidas

  • iptables -A INPUT -p tcp –dport 21 -j –log-prefix “Serviço de FTP”
  • iptables -A INPUT -p tcp -m tcp –dport 21 -j LOG –log-prefix “Porta do FTP “

Gerando log de Backdoors

  • iptables -A INPUT -p tcp –dport 5042 -j LOG -log-prefix “Wincrash”
  • iptables -A INPUT -p tcp –dport 12345 -j LOG -log-prefix “backOrifice”
  • iptables -A INPUT -p tcp –dport 12346 -j LOG -log-prefix “backOrifice”

Habilitando porta de FTP

  • iptables -A INPUT -p tcp -s 192.168.0.45 –dport 21 -j ACCEPT

Habilitando porta de SSH

  • iptables -A INPUT -p tcp -s 192.168.0.45 –dport 22 -j ACCEPT

Habilitando porta de SMTP

  • iptables -A INPUT -p tcp -s 192.168.0.45 –dport 587 ou 25 -j ACCEPT

Habilitando porta de DNS

  • iptables -A INPUT -p tcp -s 192.168.0.45 –dport 53 -j ACCEPT

Habilitando porta de POP3

  • iptables -A INPUT -p tcp -s 192.168.0.45 –dport 110 -j ACCEPT

Habilitando porta de DNS (UDP)

  • iptables -A INPUT -p udp -s 192.168.0.45 –source-port 53 -j ACCEPT

Bloqueando todos os pacotes originários da rede 10.0.0.0 para o host

  • www.tccamargo.com iptables -A FORWARD -s 10.0.0.0/8 -d www.tccamargo.com -j DROP

Bloqueando uma máquina pelo endereço MAC

  • iptables -A INPUT -m mac –mac-source XX:XX:XX:XX:XX:XX -j DROP

Bloqueando ping de um ip

  • iptables -A INPUT -p icmp -s 192.168.1.1/24 -j DROP

Conheça!

Aproveite e conheça outros produtos da Locaweb, como o E-mail Locaweb, clique aqui e saiba mais!

Tags:

Este artigo foi útil ?

Yes No

Artigos relacionados