Pular para o conteúdo

Criando regras simples com IP6Tables

Este artigo demonstra como configurar regras de Firewall, usando o IP6Tables.
Alex Vitola vitola

Por Alex Vitola em 30/08/2013

Hits: 20.054 Categoria: Linux Subcategoria: Redes
  • Indicar
  • Impressora
  • Denunciar

Uma pequena introdução

Para configurar regras de Firewall, muitas pessoas preferem usar scripts mirabolantes, que servem mais para mostrar que sabem programar, do que propriamente criar regras de Firewall (ops... vou levar um drop de muitos por causa desta frase).

Mas, se você usa os sistemas Red Hat/Centos/Fedora, para quê reinventar a roda? O modo nativo já encarrega-se de quase tudo (carregar módulos, variáveis e etc) e atende à grande maioria dos administradores e suas políticas de segurança.

E também, é bom ter uma forma padrão (do sistema operacional) de se fazer as coisas, afinal, hoje é você quem administra o Firewall, amanhã será outro que pode e terá uma forma diferente de fazer as mesmas regras.

Usaremos o arquivo "/etc/sysconfig/ip6tables", ou seja, padrão da Red Hat/CentOS/Fedora. Isto é só um rascunho, possivelmente com algumas falhas. Mas, para um teste inicial e para começar a aprender a usá-lo, já serve.

Quem já está acostumado com o IPTables, não verá muitas dificuldades.

Usei como base uma conexão IPv6 que tenho com a sixxs.

Páginas do artigo

   1. Uma pequena introdução
   2. Nat ou Mangle / Regras

Outros artigos deste autor

Observium - Monitoramento de Rede

Leitura recomendada

A camada de enlace de dados

Docker - Containers em Linux

Docker e Flannel

FAN Nagios - Tela inicial do Nagios

Análise de Desempenho: Web API

Comentários

#1 Comentário enviado por px em 31/08/2013 - 10:19h
Bom artigo, meio superficial para quem começa fazendo uma crítica a terceiros, e ainda acaba no final a mostrar os mesmos scripts mirabolantes usados no ipv4 rsrs, só se muda a tabela de controle e o protocolo, mas valeu a intenção ai abç. e continue crescendo no mundo Gnu/Linux.
#2 Comentário enviado por cROMADO em 31/08/2013 - 19:42h
"ainda acaba no final a mostrar os mesmos scripts mirabolantes usados no ipv4".
Que script?. não estou vendo nenhum shebang ali. ele apenas mostra o arquivo padrão de regras iptables red-hat like.
#3 Comentário enviado por px em 01/09/2013 - 09:59h

[2] Comentário enviado por cROMADO em 31/08/2013 - 19:42h:

"ainda acaba no final a mostrar os mesmos scripts mirabolantes usados no ipv4".
Que script?. não estou vendo nenhum shebang ali. ele apenas mostra o arquivo padrão de regras iptables red-hat like.


Me expressei um pouco mal ali... quis disser que após a critica eu esperava uma "surpresa" no final, algo realmente diferente do que costumo ver neste assunto, entendi? e como você mesmo disse "ele apenas mostra o arquivo de regras iptables red-hat like" mas foi só uma critica construtiva, para ele ir se aperfeiçoando e engajar melhor suas palavras.
#4 Comentário enviado por vitola em 01/09/2013 - 11:16h
Certíssimo "px" ... quem me conhece que sou uma mala mesmo ..

E o objetivo era simsplesmente mostrar uma regra inicial super-básica e inicial. Como estou montando todo um ambiente de cloud atrás deste gateway a tendência é que ele fique bem mais complexo.

Suas atualizações provavelmente irei colocar aqui e seguida. Mas talvés como uma dica e não como um artigo. Que também acho que teria sido melhor, pois num artigo você sempre espera mais coisas e uma dica, como o próprio nome diz é só uma dica.
#5 Comentário enviado por brizao em 22/07/2014 - 11:51h
Sei que já faz um tempo desde que este artigo foi publicado, recentemente comecei a estudar e entender mais sobre ipv6, quebrei bastante a cabeça com essa falta da tabela nat no ip6tables, mas aí fuçando um monte no google, "descobri" que versões mais recentes do kernel do linux suportam a versão mais recente do netfilter, que inclui a tabela nat no ip6tables, então depois de instalar os 2, podemos utilizar o mesmo script do ipv4 para ipv6, algumas regras por exemplo, muito úteis principalmente quando tem que controlar a rede local de uma empresa com dhcpv6 e a rede externa:

# ip6tables -V
ip6tables v1.4.21

ip6tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Para redirecionar pacotes vindo de fora para um IP interno, o ip6tables dá pra utilizar a tabela mangle em conjunto com o target TPROXY --on-ip IPv6 --on-port PORTA, mas sinceramente não consegui fazer esta regra funcionar, já com o a inclusão do nat, volta a ser o que era antes, por exemplo:

ip6tables -t nat -A PREROUTING -i eth0 -p tcp --dport PORTA -j DNAT --to IPv6

http://mirrors.bieringer.de/Linux+IPv6-HOWTO/nat-netfilter6..html

Contribuir com comentário

Entre na sua conta para comentar.