O uso basico do Firewall Iptables

De Wiki Integrator do Brasil
Edição feita às 21h36min de 27 de março de 2018 por Integratorhost (disc | contribs)

(dif) ← Edição anterior | ver versão atual (dif) | Versão posterior → (dif)
Ir para: navegação, pesquisa

Índice

O Iptables

Inicialmente, saiba que os comandos abaixo são exemplos basicos de uso do Firewall Iptables, no qual somente é possivel ser usado por usuarios de maqunias Cloud Cloud VPS e servidores dedicados com acesso root. A Integrator não se responsabiliza por regras e personalizações criadas no uso do firewall. Para mais detalhes se seu uso, recomendamos a documentação do mesmo.

Tabelas e Chains

INPUT - Especifica que a regra se aplica a pacotes de entrada.
OUTPUT - Especifica que a regra se aplica a pacotes de saida.
FORWARD - Pacote que atravessa a máquina firewall, cujo destino é uma outra máquina. Neste caso a máquina firewall está repassando o pacote.

PREROUTING - Aplica as regras aos pacotes que entram no firewall, independentemente do seu destino.
POSTROUTING - Na lista PREROUTING estão inseridas as regras capazes de modificar o pacote após o roteamento, ou seja, quando estão saindo do firewall.
SNAT, DNAT, MASQUERADE: Realiza NAT sobre os pacotes

ACCEPT - Aceita e permite o pacote.
REJECT - Assim como drop não aceita o pacote, mas retorna um aviso.
DROP - Não aceita o pacote, sem retornar aviso.
LOG - Cria logs referente a regra criada em /var/log/messagem


Algumas opções de regras

-P Define a regra padrão
-A adiciona nova regra as existentes ( Tem prioridade sobre a -P )
-D Deleta uma regra
-L Lista as regras existentes
-F Deleta todas as regras
-I Adiciona uma regra nova
-R Substitui uma regra
-C Faz uma checagem das regras existentes
-Z Zera uma regra específica
-h Mostra a ajuda


Alguns exemplos de comandos usados

Adicionando a porta no IPTABLES para origem e destino:

iptables -A INPUT -p tcp --dport adicione aqui o número da porta -j ACCEPT
iptables -A OUTPUT -p tcp --dport adicione aqui o número da porta -j ACCEP

Adicionando o IP no IPTABLES para origem e destino:

iptables -A INPUT -d (adicione aqui o IP) -j ACCEPT
iptables -A OUTPUT -d (adicione aqui o IP) -j ACCEPT

Bloquear porta tcp, como a porta 22 do SSH e jogar tentativas de acesso nos logs:

iptables -I INPUT -p tcp --dport 22 -j LOG
iptables -I INPUT -p tcp --dport 22 -j DROP

Bloquear mais de uma porta ao mesmo tempo:

iptables -I INPUT -p tcp -m multiport --dports 22,80 -j DROP

Liberar o apache:

iptables -A INPUT -p tcp --destination-port 8080 -j ACCEPT

Bloqueando todos os IPs vindos de uma determinada rede:

iptables -A INPUT -s 10.0.0.0/8 -j DROP

Liberando IP de uma rede para sua maquina:

iptables -A INPUT -s 10.0.0.1 -j ACCEPT

Habilitando porta FTP para um IP:

iptables -A INPUT -p tcp -s IP-AQUI --dport 21 -j ACCEPT

Habilitando porta SMTP:

iptables -A INPUT -p tcp -s IP-AQUI --dport 587 -j ACCEPT

Habilitando porta DNS:

iptables -A INPUT -p tcp -s I --dport 53 IP-AQUI -j ACCEPT

Bloqueando Ping de um IP:

iptables -A INPUT -p icmp -s 192.168.1.1/24 -j DROP


Especificando interfaces de rede:

iptables -I INPUT -i eth0 -p tcp --dport 80 -j ACCEPT iptables -I INPUT -i wlan0 -p tcp --dport 80 -j DROP


Salvando, limpando e visualizando regras

Salvando:

Ao executar um comando, a regra pode ser salva com comando abaixo:

iptables-save

Limpando:

Com os comandos abaixo, pode ser limpo todas as regras do firewall:

iptables --flush iptables -F
iptables -X

Visualizando regras:

iptables -L ou iptables -nL


Instalando o CSF

O painel de controle cPanel/WHM permite que seja instalado um plugin visual chamado CSF, onde poderá operar o firewall pelo painel. Caso deseje fazer pelo modo visual, CLIQUE AQUI para saber como instalar o CSF. 


O suporte da Integrator não cobre personalizações de Firewall realizadas pelo usuário, muito menos do plugin CSF, cujo se refere a um serviço de terceiros.
Disponível em "https://wiki.integrator.com.br/index.php?title=O_uso_basico_do_Firewall_Iptables&oldid=5057"