Netfilter faz a filtragem de pacotes Linux em kernels da série 2.4.x e 2.6.x. Permite a filtragem de pacotes (endereço de rede e portas), NAT e outros pacotes. Reprojetado e altamente melhorado do kernel anterior 2.2.x, ipchains e ipfwadm do kernel 2.0.x.

Netfilter é um conjunto de estruturas dentro do kernel permitindo que os módulos registrem funções com a rede.

Um registro das informações é retornado para informar o destino desse pacote. DENY, ACCEPT, REJECT são as informações retornadas para informar o destino/solicitação.

DROP - Rejeita o pacote, sem envio de mensagem.

REJECT - Faz a mesma função do DROP, com a diferença de que envia uma mensagem ICMP "icmp-port-unreachable" para a máquina de origem.

Iptables é uma estrutura de tabela para a definição de conjuntos de regras. Cada regra dentro de uma tabela (IP) consiste em solicitação e uma ação (regras).

Netfilter, ip_tables, rastreamento de conexão (ip_conntrack, nf_conntrack) e o NAT são subsistemas juntos para construir as principais partes da estrutura.

Referência: http://www.netfilter.org

Shoreline Firewall (netfilter)

Site do desenvolvedor: www.shorewall.net/index.htm

Vá em Documentation (Documentações) que lá vai constar item por item e outras coisas que se pode adicionar ao Shorewall.

Utilizando o "shorewall" você estará usando o iptables, porém de uma maneira mais fácil.

# yum install shorewall

Verificando os processos que estão para ser iniciados durante o reboot:

# chkconfig --list

iptables        0:off   1:off   2:on    3:on    4:on    5:on    6:off
shorewall       0:off   1:off   2:off   3:off   4:off   5:off   6:off

Note que o Shorewall encontra-se off. Ou seja, toda vez que a máquina for reiniciada, o Shorewall não irá subir.

# chkconfig shorewall on

Deixando ele (shorewall) habilitado aparecerá assim:

shorewall       0:off   1:off   2:on    3:on    4:on    5:on    6:off

Arquivos de configuração do Shorewall:

• /etc/shorewall/shorewall.conf
• /etc/shorewall/interfaces
• /etc/shorewall/masq
• /etc/shorewall/policy
• /etc/shorewall/rules
• /etc/shorewall/zones

Onde:

• interfaces - Definição do que cada interface fará
• masq - Definição de Masquerade/SNAT (eth0, eth1, eth2...)
• police - Políticas (ACCEPT, DROP, REJECT ...)
• rules - Regras do firewall
• zones - Declaração de zonas

Configuração do Shorewall

Mudar no arquivo shorewall.conf:

STARTUP_ENABLED=No

Para:


e:

SHOREWALL_COMPILER=

Para:


# cat /etc/shorewall/interfaces


Obs.: Ler muito bem esse manual, tem diversas opções a serem configuradas.

# cat policy


Obs.: Deixei essa última linha (all all DROP info) porque eu decreto o que passa e não passa no firewall e irá gerar um log do que for.

# cat rules


Se apresentar algum erro:

# shorewall debug restart

Você poderá verificar onde está dando o erro informado.