Edison Bortolin wrote: > > Salve, > > Sou programador e analista de sistemas. H� tr�s anos trabalho com o > linux > e quero me aprofundar na seguran�a desse sistema operacional. Vou > desenvolver um aplicativo, escrito em Kylix Open Edition, com o objetivo > de > gerar script's para firewall, usando iptables ou ipchains. > > N�o h� muito material dispon�vel em portugu�s sobre o assunto( Firewall > em > Linux ). O objetivo � deixar claro como funciona um firewall e > implement�-lo > de forma r�pida, sem que haja a necessidade do Administrador conhecer > "absurdos" > sobre o protocolo TCP/IP, rede, e firewall's. Senti, e ainda sinto, na > pele essa dificuldade. > > Por�m ainda preciso entender melhor o seu funcionamento. Por exemplo, no > > exemplo abaixo, onde "entra" as regras para PREROUTING e POSTROUTING ?
No kernel 2.4.x o ipfilter faz uso do PREROUTING para executar um regra de NAT, para trocar um valor de entrada antes de ser tratado pelo restante das regras do filtro. Exemplo: #iptables -t nat -A PREROUTING -i eth0 -p tcp -dport 80 -j REDIRECT --to-port 3128 (ou 8080) Esta regra � usada para redirecionar todas as entradas (-i =>INPUT) na interface eth0 usando o protocolo tcp (-p tcp)e, que se destinam a porta 80 sejam redirecionados a porta 3128 da mesma maquina . Essa regra � usada para criar um Proxy transparente com o squid cuja a porta padr�o � 3128 mas que muitos aconselham a usar numa porta 8080! J� o POSTROUTING � o oposto, realiza um NAT de saida, troca a informa��o que sai da m�quina. # iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE Nesta regra todos os pacotes que est�o saindo (-o => output) pela interface eth0 ser�o mascarados (-j MASQUERADE). > > Imaginemos o seguinte caso: > > O micro que faz o papel de firewall, ( acho que o nome dado a ele � > bastion host ), > conforme o esquema abaixo, esteja rodando os seguintes servi�os: DNS, > SMTP, > POP, PROXY (SQUID), HTTPD, TELNET e FTP. > > Para minha intranet todos os servi��s est�o dispon�veis, j� para a > internet somente o > SMTP est� dispon�vel (para o recebimento de e-mail's). Quando uma > esta��o > da minha intranet faz uma requisi��o, como por exemplo, para > www.revistadolinux.com.br > por onde "caminha" os pacotes ? Para o DNS resolver o nome � preciso > conter uma regra > permitindo a sa�da, na interface eth1 ? E quando chegar a resposta deve > haver uma regra > para a entrada dessa informa��o ? > > ----------------- ----------- > | | | | Micro com Modem ADSL > | internet | | | Duas placas de Rede > | | ----------- > ----------------- ----------------- > | | | > ------------------ | firewall | -------------------------- > | Linux | | > ----------------- > ------------ > | | | Intranet > | > --- --- | > | > | | > ------------ > -------- -------- > | eth1 | <--------> | eth0 | > -------- NAT -------- > | | | | > --- --- --- --- > | | | | > --------- ---------- --------- ---------- > | Input | | OutPut | | Input | | OutPut | > --------- ---------- --------- ---------- > fluxo: -> <- <- -> > > Eu preciso compreender muito bem quais os caminhos que os pacotes > percorrem! Qual a ordem ? > > Preciso de Ajuda! > > []'s > > Edison Bortolin Uma das grandes vantagems do iptables � poder definir um firewal com o FORWARD, onde as regras de INPUT e OUTPUT podem ser bloqueadas completamente; # iptables -P INPUT DENY # iptables -P OUTPUT DENY Negando qualquer entrada ou saida no seu FIREWALL ! ISOLANDO A MESMA DA REDE ! A regra FORWARD executa seu trabalho n�o permitindo os pacotes acessarem o recurso na maquina local, sejam quais forem as portas, a menos que se queira explicitamente isso. No caso de um servidor proxy se habilita via INPUT a porta necessaria! Visite o site do Eriberto http://www.iptablesbr.cjb.net, muito bom mesmo, apenas tome cuidado com alguns enganos, as regras de PREROUTING aceitam apenas comandos de entrada tipo -i, as POSTROUTING comandos de saida. � isso Andres Assinantes em 01/12/2001: 2409 Mensagens recebidas desde 07/01/1999: 144265 Historico e [des]cadastramento: http://linux-br.conectiva.com.br Assuntos administrativos e problemas com a lista: mailto:[EMAIL PROTECTED]
