Dominando o iptables (parte 1)
Iremos iniciar nossos estudos em iptables, esta poderosa ferramenta para fabricação de firewalls baseados em GNU/Linux. Vamos tratar de suas características e entender como os pacotes são tratados pelo kernel. Veremos também algumas diferenças entre o iptables e ipchains, que são de extrema importância para o entendimento de quem já usava esse último.
IPTABLES e suas principais características
Antes de tratarmos do IPTABLES, vamos conhecer o
netfilter. O netfilter é um framework dentro do KERNEL
Linux com o qual outras coisas (como o módulo do iptables)
podem conectar-se. Se você estiver na dúvida em relação a
existência ou atividade do seu netfilter no KERNEL, pode checar a
opção: 'Y (SIM)' para CONFIG_NETFILTER na sua configuração do KERNEL.
O IPTABLES é uma ferramenta de edição da tabela de filtragem de pacotes, ou seja, com ele você é capaz de analisar o cabeçalho (header) e tomar decisões sobre os destinos destes pacotes. O IPTABLES não é a única solução existente para controle desta filtragem, temos ainda as antigas ipfwadm e ipchains, dentre outros.
É importante saber que no Gnu/Linux a filtragem de pacotes está implementada diretamente no KERNEL. Por isso não trataremos de sua instalação neste artigo, pois a maioria das distribuições vem com ele habilitado como um modulo ou diretamente compilado no KERNEL.
O ideal é que seja usado um LINUX acima do 2.4, porque foi nesta versão que houve um duro trabalho na reedição do KERNEL junto ao IPTABLES.
O iptables é um firewall com estado, ou seja, um firewall stateful. Os anteriores eram stateless. O modo de filtragem 'Stateless' tende a tratar cada pacote roteado pelo firewall como pacotes individuais, sendo mais simples de implementar e por terem uma resolução mais rápida que um do tipo stateful, podem ser usados para obterem um desempenho melhor em determinadas situações onde existem regras de nível de rede bem simples.
O tipo de filtragem stateful (IPTABLES) cria um poderoso sistema de firewall que se "lembra" das conexões entrantes, evitando ataques do tipo Stealth Scans, que trazem flags especiais para técnicas de port scanning, como o uso da flag ACK para enganar tais firewalls. Não vamos entrar em detalhes sobre o funcionamento deste ataque ou do tipo stateful, porém podemos afirmar que usando stateful trataremos de forma mais inteligente as atividades da rede, indo até mais longe do que o conceito de filtro de pacotes (Packet Filter) devido a esta característica.
Rusty é o programador responsável e mantenedor do Linux IP Firewall e a WatchGuard (http://www.watchguard.com/) foi a empresa responsável por suprir as despesas deste programador para realizar este excelente trabalho ao lançar o IPCHAINS.
O IPTABLES é uma ferramenta de edição da tabela de filtragem de pacotes, ou seja, com ele você é capaz de analisar o cabeçalho (header) e tomar decisões sobre os destinos destes pacotes. O IPTABLES não é a única solução existente para controle desta filtragem, temos ainda as antigas ipfwadm e ipchains, dentre outros.
É importante saber que no Gnu/Linux a filtragem de pacotes está implementada diretamente no KERNEL. Por isso não trataremos de sua instalação neste artigo, pois a maioria das distribuições vem com ele habilitado como um modulo ou diretamente compilado no KERNEL.
O ideal é que seja usado um LINUX acima do 2.4, porque foi nesta versão que houve um duro trabalho na reedição do KERNEL junto ao IPTABLES.
O iptables é um firewall com estado, ou seja, um firewall stateful. Os anteriores eram stateless. O modo de filtragem 'Stateless' tende a tratar cada pacote roteado pelo firewall como pacotes individuais, sendo mais simples de implementar e por terem uma resolução mais rápida que um do tipo stateful, podem ser usados para obterem um desempenho melhor em determinadas situações onde existem regras de nível de rede bem simples.
O tipo de filtragem stateful (IPTABLES) cria um poderoso sistema de firewall que se "lembra" das conexões entrantes, evitando ataques do tipo Stealth Scans, que trazem flags especiais para técnicas de port scanning, como o uso da flag ACK para enganar tais firewalls. Não vamos entrar em detalhes sobre o funcionamento deste ataque ou do tipo stateful, porém podemos afirmar que usando stateful trataremos de forma mais inteligente as atividades da rede, indo até mais longe do que o conceito de filtro de pacotes (Packet Filter) devido a esta característica.
Rusty é o programador responsável e mantenedor do Linux IP Firewall e a WatchGuard (http://www.watchguard.com/) foi a empresa responsável por suprir as despesas deste programador para realizar este excelente trabalho ao lançar o IPCHAINS.
Parabens,
Leonardo Berbert