Firewall iptables no Linux – Parte 02: Criar e Visualizar uma regra básica

Firewall iptables no Linux

Podemos visualizar as regras atuais de uma cadeia por meio do comando iptables -L (ou iptables –list):

# iptables -L

Visualizar regras no firewall iptables

Perceba que não há nenhuma regra criada, além da regra padrão (policy), que está configurada para aceitar todos os pacotes em todas as cadeias. Como não especificamos a tabela, a saída mostrada é a da tabela padrão, que é a FILTER. Para especificarmos uma outra tabela, usamos a opção -t.

Veja no exemplo abaixo a listagem da tabela nat:

# iptables -t nat -L

visualizar regras de NAT no firewall iptables

Perceba que neste caso aparecem também as cadeias específicas PREROUTING e POSTROUTING.

Os campos mostrados na saída do comando de listagem de regras são os seguintes:

  • target – Ação a ser realizada no pacote
  • prot – Protocolo especificado
  • opt – Opções especiais da regra
  • source – Endereço IP de origem do pacote
  • destination – Endereço IP de destino do pacote.
  • num – Exibido com a opção –line-numbers. Mostra o número da regra dentro da cadeia.

Exemplo de regra

Vamos analisar um exemplo típico de uma regra do iptables:

iptables -A INPUT -s 0/0 -i eth0 -d 192.168.1.1 -p TCP -j ACCEPT

Decodificando a regra acima, temos:

  • iptables – Comando iptables
  • -A INPUT – Anexar a regra no final da cadeia INPUT
  • -s 0/0 – Endereço IP de origem: qualquer um
  • -i eth0 – Interface de entrada a ser monitorada: eth0
  • -d 192.168.1.1 – Endereço IP de destino do pacote: 192.168.1.1
  • -p TCP – Protocolo a ser verificado: TCP
  • -j ACCEPT – Ação a ser aplicada no pacote: ACCEPT (permitir)

Limpando as regras de uma cadeia

Podemos apagar todas as regras de uma cadeia (exceto a regra padrão) com a opção -F:

# iptables -F INPUT

Ou ainda limpar todas as regras de todas as cadeias da tabela especificada:

# iptables -F

Como configurar a regra padrão de uma cadeia

Usamos a opção -P para configurar a regra padrão de uma cadeia. Veja os exemplos:

# iptables -P INPUT DROP
# iptables -P OUTPUT ACCEPT
# iptables -L

Limpar regras no firewall iptables no linux

Rastreamento de conexões (Connection Tracking)

O iptables associa os pacotes com as conexões lógicas às quais eles pertencem. Para isso, ele segue o progresso das conexões através de seu ciclo de vida, e essa informação de rastreamento é disponibilizada por meio da extensão de equivalência conntrack.

A tabela a seguir mostra os estados de rastreamento de conexão mais comuns:

Estado Descrição
ESTABLISHED A conexão já viu pacotes trafegando em ambas as direções.
INVALID O pacote não pertence a nenhuma conexão rastreada
NEW O pacote está iniciando uma nova conexão ou é parte de uma conexão que ainda não teve pacotes trafegados em ambas as direções.
RELATED O pacote está iniciando uma nova conexão, mas a nova conexão é relacionada a uma conexão já existente (como a conexão de dados em uma transferência FTP).

Na próxima seção veremos diversos exemplos de regras em ação, como liberação de portas e serviços, bloqueio de ping, regras de IP e MAC address, entre outras.

 

Sobre Fábio dos Reis (1223 Artigos)
Fábio dos Reis trabalha com tecnologias variadas há mais de 30 anos, tendo atuado nos campos de Eletrônica, Telecomunicações, Programação de Computadores e Redes de Dados. É um entusiasta de Ciência e Tecnologia em geral, adora Viagens e Música, e estuda idiomas, além de ministrar cursos e palestras sobre diversas tecnologias em São Paulo e outras cidades do Brasil.

2 Comentários em Firewall iptables no Linux – Parte 02: Criar e Visualizar uma regra básica

  1. Muito bom, material de primeira

Escreva um comentário

Seu e-mail não será divulgado


*