IPtables - Exemplos de regras

Olá, amigos.

Postarei alguma regras que podem ser úteis para quem utiliza o firewall IPtables. Não aprofundarei em detalhes teóricos, visto que há diversos artigos falando sobre IPtables na Internet e até mesmo no Viva o Linux.

Liberando acesso externo ao servidor via SSH:

iptables -t nat -A PREROUTING -p tcp -i eth0 -d 200.40.13.192 --dport 1000 -j REDIRECT --to 200.40.13.192:9000

Liberando acesso externo via SSH à determinada máquina na rede dentro da rede interna:

iptables -t nat -A PREROUTING -p tcp -i eth0 -d 200.40.13.192 --dport 1000 -j DNAT --to 192.168.1.10:9000

O DNAT possibilita o redirecionamento para outra máquina, e o REDIRECT apenas possibilita o redirecionamento de conexões de uma porta para outra na mesma máquina.

Para alterar a porta padrão do SSH, basta editar o arquivo "/etc/ssh/sshd_conf" e após reiniciar o serviço sshd:

# vim /etc/ssh/sshd_conf

Dica: digite i para entrar no modo de inserção no Vim.

Altere a opção: "Port"



Reinicie o serviço:

# service httpd restart sshd

Testando a regra:

# ssh 200.40.13.192 -p 9000

Imagine que sua rede possui um firewall, e você quer liberar um acesso à estação de trabalho, mais precisamente, uma aplicação que você construiu que roda na porta 3000. E a porta padrão deste firewall foi alterada para 90, por questões de segurança.

iptables -t nat -A PREROUTING -p tcp -i eth0 -d 200.40.13.192 --dport 90 -j DNAT --to 192.168.1.10:3000

Para editar a porta padrão do Apache, edite o arquivo "/etc/httpd/conf/httpd.conf":

Altere a opção: "Listen"



Reinicie o serviço:

# service httpd restart

Redirecionar tráfego Web para porta padrão do Squid (3128):

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Limitando quantidade de ping em 10 por segundo:

iptables -t filter -A INPUT -p icmp -m limit --limit 10/s -j ACCEPT

Especificando várias portas na mesma regra:

iptables -A INPUT -p tcp -m multiport --dport 21,23,25,80,110 -j DROP

Bloqueando entrada de pacotes no servidor utilizando o endereço MAC:

iptables -t filter -A INPUT -m mac --mac-source 00:80:AD:B2:60:0B -j DROP Bloqueando tráfego utilizando string:

Obs.: esta opção não vem compilada por padrão.

iptables -t filter -A FORWARD -m string --string "XKazaa" -j DROP

Para simplificar seu script de firewall, você pode criar um loop, de IPs liberados, por exemplo:



São regras simples, mas que muitas vezes possuem grande valor.

Grande abraço a todos.
Espero ter ajudado.