WebCast Iptables – Vídeo e Arquivos

firewall
Pessoal, pra quem não pode acompanhar (e pra quem pode) segue o link do WebCast que fiz na semana passada sobre Iptables, dando uma visão geral de como ele manipula os pacotes que passam pelas tabelas e como as cadeias funcionam.
Seguem as imagens que usei para ilustrar o WebCast e as regras que seriam escritas para elas.

Vídeo:
Webcast Iptables
Nesta imagem estou ilustrando uma máquina da minha rede interna acessando diretamente a internet.
Iptables-Chains-1
Preto: requisição da máquina da rede interna para Internet
Vermelho: resposta da Internet para a máquina da rede interna
Regras:


A regra acima libera a rede interna (192.168.1.0/24) para acessar a porta 80 de qualquer host através do firewall.


A regra acima diz que tudo que começar na minha rede interna saindo pela placa de rede que está ligada à internet (eth1) perderá o IP de ORIGEM e sairá com o IP de internet (200.1.2.3)
Nesta imagem estou ilustrando como uma máquina da rede interna acessa um serviço (HTTP) que é executado no firewall.
Iptables-Chains-2
Preto: requisição da máquina da rede interna para o firewall
Vermelho: resposta do firewall para a máquina da rede interna
Regras:


A regra acima permite que apenas a rede interna (192.168.1.0/24) acesse o servidor HTTP (80) que está sendo executado no firewall.
Nesta imagem estou ilustrando como uma máquina da rede interna acessa a internet através de um Proxy que é executado no firewall, este proxy é configurado no browser do cliente.
Iptables-Chains-3
Preto: requisição da máquina da rede interna para o proxy
Azul: requisição do proxy para a internet
Verde: resposta da internet para o proxy
Vermelho: resposta do proxy para a máquina da rede interna
Regras:


A regra acima permite que apenas a rede interna (192.168.1.0/24) acesse o servidor Proxy (3128) que está sendo executado no firewall.
Nesta imagem estou ilustrando como uma máquina da rede interna acessa a internet através de um Proxy que é executado no firewall, este proxy funciona de modo transparente, ou seja, o cliente não configura o proxy (pode nem saber que ele está lá 😛 )
Iptables-Chains-4
Preto: requisição da máquina da rede interna para o proxy
Azul: requisição do proxy para a internet
Verde: resposta da internet para o proxy
Vermelho: resposta do proxy para a máquina da rede interna
Regras:


A regra acima permite que apenas a rede interna (192.168.1.0/24) acesse o servidor Proxy (3128) que está sendo executado no firewall.


A regra acima faz com que todas as comunicações que começarem na rede interna (192.168.1.0/24) e passarem pelo firewall em direção a porta 80 serão redirecionadas para a porta 3128 (proxy) do próprio firewall.
Nesta imagem estou ilustrando como uma máquina da rede interna tem um determinado serviço (SMTP) publicado para ser acessado direto da internet.
Iptables-Chains-5
Preto: requisição de alguém na internet para a máquina da rede interna
Vermelho: resposta da máquina da rede interna para a internet
Regras:


Nesta regra tudo que chegar no firewall para seu IP EXTERNO para a porta 25 terá o destino redirecionado para a máquina 192.168.1.100 para a mesma porta 25.


Nesta regra todo o tráfego que passar pelo firewall para a máquina 192.168.1.100 para a porta 25 está liberado.


Nesta regra todo o tráfego que passar pelo firewall vindo da máquina 192.168.1.100 vinda da porta 25 está liberado.
A mesma regra de NAT que serve para mascarar a internet para a rede interna serve para mascarar o IP de saída pra esse serviço.
Como toda comunicação tem IDA e VOLTA seriam preciso regras para as comunicações entrarem e saírem, mas o iptables tem um módulo que verifica se uma conexão já existe e garante que a continuidade dela seja aceita, seria feito da seguinte forma.


e


Essas regras garantem que qualquer comunicação nessas cadeias cujo estado de vida se já estabelecida(stablished) ou em estabelecimento (related) seja aceita, essas regras não permitem que novas conexões sejam aceitas.
Espero que o vídeo os ajude a entender mais sobre iptables.
E: “Que a força esteja com vocês!” 🙂

    Deixe uma resposta

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

    © 2019 All Rights Reserved. Cooperati. 

    Deseja uma consultoria especializada?