IPtables - Exemplos de regras

Publicado por Perfil removido em 28/06/2013

[ Hits: 18.723 ]

 


IPtables - Exemplos de regras



Olá, amigos.

Postarei alguma regras que podem ser úteis para quem utiliza o firewall IPtables. Não aprofundarei em detalhes teóricos, visto que há diversos artigos falando sobre IPtables na Internet e até mesmo no Viva o Linux.

Liberando acesso externo ao servidor via SSH:

iptables -t nat -A PREROUTING -p tcp -i eth0 -d 200.40.13.192 --dport 1000 -j REDIRECT --to 200.40.13.192:9000

Liberando acesso externo via SSH à determinada máquina na rede dentro da rede interna:

iptables -t nat -A PREROUTING -p tcp -i eth0 -d 200.40.13.192 --dport 1000 -j DNAT --to 192.168.1.10:9000

O DNAT possibilita o redirecionamento para outra máquina, e o REDIRECT apenas possibilita o redirecionamento de conexões de uma porta para outra na mesma máquina.

Para alterar a porta padrão do SSH, basta editar o arquivo "/etc/ssh/sshd_conf" e após reiniciar o serviço sshd:

# vim /etc/ssh/sshd_conf

Dica: digite i para entrar no modo de inserção no Vim.

Altere a opção: "Port"

Port 9000


Reinicie o serviço:

# service httpd restart sshd

Testando a regra:

# ssh 200.40.13.192 -p 9000

Imagine que sua rede possui um firewall, e você quer liberar um acesso à estação de trabalho, mais precisamente, uma aplicação que você construiu que roda na porta 3000. E a porta padrão deste firewall foi alterada para 90, por questões de segurança.

iptables -t nat -A PREROUTING -p tcp -i eth0 -d 200.40.13.192 --dport 90 -j DNAT --to 192.168.1.10:3000

Para editar a porta padrão do Apache, edite o arquivo "/etc/httpd/conf/httpd.conf":

Altere a opção: "Listen"

Listen 90


Reinicie o serviço:

# service httpd restart

Redirecionar tráfego Web para porta padrão do Squid (3128):

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Limitando quantidade de ping em 10 por segundo:

iptables -t filter -A INPUT -p icmp -m limit --limit 10/s -j ACCEPT

Especificando várias portas na mesma regra:

iptables -A INPUT -p tcp -m multiport --dport 21,23,25,80,110 -j DROP

Bloqueando entrada de pacotes no servidor utilizando o endereço MAC:

iptables -t filter -A INPUT -m mac --mac-source 00:80:AD:B2:60:0B -j DROP Bloqueando tráfego utilizando string:

Obs.: esta opção não vem compilada por padrão.

iptables -t filter -A FORWARD -m string --string "XKazaa" -j DROP

Para simplificar seu script de firewall, você pode criar um loop, de IPs liberados, por exemplo:

echo "LIBERANDO IPS COM PREVILEGIOS"
for end in `cat /usr/local/bin/ipsliberados.txt`
do
     iptables -A FORWARD -s $end -j ACCEPT
done


São regras simples, mas que muitas vezes possuem grande valor.

Grande abraço a todos.
Espero ter ajudado.

Outras dicas deste autor

Notebook HP: tela preta (desligada) após o GRUB, placa AMD! [Resolvido]

Como instalar o plugin Flash Player no Firefox (testado no Slackware 14.1)

Cannot load /etc/httpd/modules/ mod_access.so into server: o Apache não inicia?

Driver NVidia no Ubuntu 13.10

Colocando uma opção de redimensionamento de imagem no menu de contexto do KDE

Leitura recomendada

Logins mal sucedidos

Synergy mais seguro

Bloqueando o Hamachi no Mikrotik

Restringindo login com chave USB

Guias das Melhores Práticas de Segurança para GNU/Linux

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts