Firewall: mudanças entre as edições
De Wiki Cursos IFPR Foz
Ir para navegaçãoIr para pesquisar
| Linha 32: | Linha 32: | ||
:Cada '''Chain''' é um conjunto de regras utilizadas para '''filtrar pacotes'''. Por default há três grupos de regras ('''INPUT''', '''FORWARD''' e '''OUTPUT'''), todas com a política '''ACCEPT''' (aceitar) como padrão. Observa-se também o cabeçalho de cada coluna que formam as regras: '''target''' (alvo), '''prot''' (protocolo), '''opt''' (opções), '''source''' (fonte) e '''destination''' (destino). | :Cada '''Chain''' é um conjunto de regras utilizadas para '''filtrar pacotes'''. Por default há três grupos de regras ('''INPUT''', '''FORWARD''' e '''OUTPUT'''), todas com a política '''ACCEPT''' (aceitar) como padrão. Observa-se também o cabeçalho de cada coluna que formam as regras: '''target''' (alvo), '''prot''' (protocolo), '''opt''' (opções), '''source''' (fonte) e '''destination''' (destino). | ||
===Exemplo de um filtro de pacotes=== | |||
:*Execute a regra no seu Servidor | Esta regra que pode ser utilizada em um computador desktop conectado a Internet para ignorar conexões vindas em qualquer porta TCP <ref name=MORIMOTO/>. | ||
:*Execute a regra no seu Servidor: | |||
sudo iptables -A INPUT -p tcp --syn -j DROP | sudo iptables -A INPUT -p tcp --syn -j DROP | ||
:*Verifique o resultado com: | :*Verifique o resultado com: | ||
sudo iptables -L | sudo iptables -L | ||
Chain INPUT (policy ACCEPT) | Chain INPUT (policy ACCEPT) | ||
target prot opt source destination | target prot opt source destination | ||
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN | DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN | ||
:*Teste acesso ao servidor Web de seu servidor; | :*Teste o acesso ao '''servidor Web''' de seu servidor; | ||
:*Elimine a regra com o comando: | :*Elimine a regra com o comando: | ||
sudo iptables -D INPUT -p tcp --syn -j DROP | sudo iptables -D INPUT -p tcp --syn -j DROP | ||
:*Teste novamente o acesso ao '''servidor Web'''. | |||
==Referências== | ==Referências== | ||
Edição das 20h23min de 23 de fevereiro de 2016
Firewall
Um Firewall tem por objetivo aplicar políticas de segurança no acesso a um rede ou servidor. O firewall pode ser do tipo filtros de pacotes, atuando no nível da camada IP, ou Servidor Proxy, atuando no nível das aplicações.
Firewall com Iptables
O Iptables é uma ferramenta que permite implementar regras para firewall, disponível em todas as distribuições Linux.
O Iptables normalmente já vem instalado no Ubuntu.
As páginas man fornecem referência para utilizar o comando iptables para construir regras para filtros de pacotes':
man iptables
Para verificar as regras existentes, pode utilizar o comando:
sudo iptables -L
Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
- Cada Chain é um conjunto de regras utilizadas para filtrar pacotes. Por default há três grupos de regras (INPUT, FORWARD e OUTPUT), todas com a política ACCEPT (aceitar) como padrão. Observa-se também o cabeçalho de cada coluna que formam as regras: target (alvo), prot (protocolo), opt (opções), source (fonte) e destination (destino).
Exemplo de um filtro de pacotes
Esta regra que pode ser utilizada em um computador desktop conectado a Internet para ignorar conexões vindas em qualquer porta TCP [1].
- Execute a regra no seu Servidor:
sudo iptables -A INPUT -p tcp --syn -j DROP
- Verifique o resultado com:
sudo iptables -L
Chain INPUT (policy ACCEPT) target prot opt source destination DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN
- Teste o acesso ao servidor Web de seu servidor;
- Elimine a regra com o comando:
sudo iptables -D INPUT -p tcp --syn -j DROP
- Teste novamente o acesso ao servidor Web.
Referências
- ↑ Erro de citação: Marca
<ref>inválida; não foi fornecido texto para as refs chamadasMORIMOTO
--Evandro.cantu (discussão) 10h01min de 23 de fevereiro de 2016 (BRT)
