{"id":637,"date":"2013-10-10T17:43:26","date_gmt":"2013-10-10T20:43:26","guid":{"rendered":"http:\/\/www.viazap.com.br\/?p=637"},"modified":"2013-10-10T17:43:26","modified_gmt":"2013-10-10T20:43:26","slug":"estrutura-do-iptables","status":"publish","type":"post","link":"https:\/\/blog.clusterweb.com.br\/?p=637","title":{"rendered":"Estrutura do Iptables"},"content":{"rendered":"\n\n\n\n\n\n\n\n
Introdu\u00e7\u00e3o: o que esperar deste artigo<\/b><\/p>\n
Ao contr\u00e1rio de outros artigos e tutoriais sobre\u00a0iptables<\/i>, este n\u00e3o se disp\u00f5e a ensinar sua sintaxe, como construir regras e como bloquear este ou aquele tipo de pacote. Artigos meus futuros poder\u00e3o passear por este caminho, muito embora j\u00e1 se tenha muito material na Internet sobre isto.<\/p>\n

Ele se destina a explicar a origem dos termos “tabelas” do iptables, o que \u00e9 e para que servem as tabelas nat, filter e mangle. Onde, ou seja, em qual tabela se deve colocar as regras para este ou aquele objetivo.<\/p>\n

Este artigo aproveita tamb\u00e9m para esclarecer algumas diferen\u00e7as interessantes, como para que serve o REJECT e qual a diferen\u00e7a dele para o DROP?<\/p>\n

Algumas defini\u00e7\u00f5es ser\u00e3o relevantes e merecem serem citadas antes da leitura:<\/p>\n

Quando falo de “n\u00edvel” no artigo (ex: n\u00edvel de Enlace) estou me referindo ao modelo de camadas TCP\/IP, composto por apenas QUATRO camadas e n\u00e3o SETE como no modelo OSI. No modelo TCP as camadas s\u00e3o o ENLACE, onde se tem na sua imensa maioria o padr\u00e3o de rede Ethernet como refer\u00eancia:<\/p>\n

    \n
  • O n\u00edvel de REDE, respons\u00e1vel pelo roteamento, onde se tem o IP na sua vers\u00e3o 4 como mais significativo;<\/li>\n
  • O n\u00edvel de TRANSPORTE, com seus pacotes UDP e TCP, dentre outros;<\/li>\n
  • O o n\u00edvel de aplica\u00e7\u00e3o, com os protocolos FTP, HTTP, etc;<\/li>\n
  • O n\u00edvel F\u00cdSICO n\u00e3o faz parte do modelo de camadas TCP\/IP, pois \u00e9 restrito ao fabricante da placa.<\/li>\n<\/ul>\n


    \nEm termos de nomenclatura geralmente se generaliza chamando tudo de pacote. Por\u00e9m, quando se quer deixar mais espec\u00edfico em qual n\u00edvel estamos lidando, pode-se se usar a nomenclatura “quadro” para o n\u00edvel de Enlace, “datagrama” ip para o n\u00edvel de rede e “pacote” para o de transporte (sendo que o TCP muitas vezes usam a palavra “segmento”). Na aplica\u00e7\u00e3o o que tem s\u00e3o dados.<\/p>\n

    Mas como o iptables atua em princ\u00edpio nas camadas de rede, ip de origem ou de destino, e na de transporte (porta origem e destino), o pacote pode ser considerado, neste artigo, como um termo gen\u00e9rico (OBS: \u00e9 certo que o iptables tamb\u00e9m permite atuar no enlace e at\u00e9 mesmo na aplica\u00e7\u00e3o, com os devidos m\u00f3dulos adicionados).<\/p>\n<\/div>\n<\/td>\n<\/tr>\n

Por onde passa um datagrama<\/b><\/p>\n
O\u00a0iptables<\/i>, presente no\u00a0Linux<\/i>\u00a0a partir do kernel 2.4, usa o conceito de “ganchos” do\u00a0netfilter<\/i>, permitindo avaliar um datagrama em alguns pontos dentro do kernel.<\/p>\n

\"\"<\/a><\/center><\/p>\n

Conforme pode ser observado na Figura 1, um datagrama IP dentro do kernel do Linux passa por v\u00e1rias etapas. Basicamente um datagrama IP \u00e9 de um dentre tr\u00eas tipos:<\/p>\n

    \n
  1. O datagrama chegou por uma de suas interfaces, o n\u00edvel de enlace viu o seu\u00a0mac address<\/i>\u00a0no quadro ethernet. Contudo o datagrama n\u00e3o \u00e9 destinado ao n\u00famero IP desta m\u00e1quina. Se a m\u00e1quina n\u00e3o for configurada para atuar como roteador, o datagrama \u00e9 descartado. Se a m\u00e1quina estiver atuando como roteador, o datagrama deve ser roteado por ela.<\/li>\n
  2. O datagrama chegou por uma de suas interfaces, o n\u00edvel de enlace viu o seu\u00a0mac address<\/i>\u00a0no quadro ethernet e ele \u00e9 destinado ao IP desta m\u00e1quina, logo deve ser entregue a um de seus processos locais (se for HTTP, por exemplo, deve ser entregue ao apache).<\/li>\n
  3. O datagrama IP foi gerado por um de seus processos locais, por um cliente de email por exemplo, e deve ser repassado a outra m\u00e1quina.
    \nCada datagrama passa por uma etapa de roteamento, onde o kernel decide para onde ele vai. Nesta etapa \u00e9 que s\u00e3o consultadas, se for o caso, as tabelas de roteamento. Os do tipo 1 devem serem roteados para fora da m\u00e1quina, que no caso deve estar atuando como roteador, sendo que na etapa de roteamento o kernel decide qual o pr\u00f3ximo ponto de rota que deve ser usada. Se for para o IP desta m\u00e1quina, \u00e9 o roteamento que verifica isto (isto \u00e9, recebe o datagrama, v\u00ea que \u00e9 local e entrega ao n\u00edvel de transporte, que ir\u00e1 repass\u00e1-lo ao processo correspondente).<\/p>\n

    Da mesma forma, pacotes os gerados por processos locais tamb\u00e9m passam pelo roteamento para serem encaminhados. Logo, todos os datagramas passam, de uma forma ou de outra, pela etapa de roteamento.<\/p>\n

    Caso ele precise ser repassado a outra m\u00e1quina (somente se ela estiver atuando como roteador IP), a etapa de “repasse de pacotes” realiza as altera\u00e7\u00f5es necess\u00e1rias, como a reescrita total do cabe\u00e7alho de enlace (trocando o MAC origem para o seu), atualiza\u00e7\u00e3o do TTL, etc. Evidente que isto ap\u00f3s a decis\u00e3o de roteamento, pois a escrita do cabe\u00e7alho de enlace leva em conta o destino.<\/li>\n<\/ol>\n<\/div>\n<\/td>\n<\/tr>\n

Ganchos do netfilter<\/b><\/p>\n
O\u00a0netfilter<\/i>\u00a0introduziu “ganchos”, pontos ao longo do ciclo de vida de um datagrama onde o mesmo pode ser avaliado por regras de firewall. A Figura 2 destaca estes pontos.<\/p>\n

\"\"<\/a><\/center><\/p>\n

Pode-se observar pela Figura 2, que:<\/p>\n

    \n
  • Um datagrama destinado ao processo local:\n
      \n
    • Pode ser capturado para avalia\u00e7\u00e3o ao entrar na Interface, pelo gancho 1, chamado pelo kernel de PREROUTING.<\/li>\n
    • Pode ser capturado para avalia\u00e7\u00e3o pelo gancho 4, chamado pelo kernel de INPUT.<\/li>\n<\/ul>\n<\/li>\n
    • Um datagrama gerado por um processo local:\n
        \n
      • Pode ser capturado para avalia\u00e7\u00e3o pelo gancho 5, chamado pelo kernel de OUTPUT.<\/li>\n
      • Pode ser capturado para avalia\u00e7\u00e3o pelo gancho 3, chamado de POSTROUTING.<\/li>\n<\/ul>\n<\/li>\n
      • Um datagrama que esteja apenas passando por esta m\u00e1quina, n\u00e3o gerada e n\u00e3o destinada ao ip ela:\n
          \n
        • Pode ser capturado para avalia\u00e7\u00e3o ao entrar na Interface, pelo gancho 1, chamado pelo kernel de PREROUTING.<\/li>\n
        • Pode ser capturado para avalia\u00e7\u00e3o pelo gancho 2, chamado pelo kernel de FORWARD.<\/li>\n
        • Pode ser capturado para avalia\u00e7\u00e3o pelo gancho 3, chamado de POSTROUTING.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n

          Por existirem estes ganchos e a possibilidade de avaliar um datagrama e tomar decis\u00f5es de firewall sobre ele nestes pontos, o iptables introduz filas de regras (listas) nestes pontos. Cada gancho pode possuir um ou mais conjuntos de regras.<\/p>\n<\/div>\n<\/td>\n<\/tr>\n

Enfim, as tabelas<\/b><\/p>\n
Ao todo s\u00e3o tr\u00eas as tabelas mais importantes do\u00a0iptables<\/i>:<\/p>\n
    \n
  • filter<\/li>\n
  • nat<\/li>\n
  • mangle<\/li>\n<\/ul>\n

    A tabela\u00a0filter<\/i>\u00a0deve conter apenas regras que determinam se um pacote deve ser aceito ou n\u00e3o. Nesta tabela n\u00e3o \u00e9 poss\u00edvel colocar regras para alterar algum par\u00e2metro, como ip ou porta.<\/p>\n

    A tabela\u00a0nat<\/i>\u00a0serve para realizar opera\u00e7\u00f5es de tradu\u00e7\u00e3o sobre IP e\/ou porta, tanto de origem como de destino, muito embora tamb\u00e9m permita recus\u00e1-lo (n\u00e3o ser\u00e1 abordada neste artigo).<\/p>\n

    Por fim a tabela\u00a0mangle<\/i>\u00a0serve para realizar altera\u00e7\u00f5es mais profundas e bizarras nos pacotes, como alterar o TTL, TOS, etc (n\u00e3o ser\u00e1 abordada neste artigo).<\/p>\n

    As a\u00e7\u00f5es operadas sobre um pacote basicamente podem ser recus\u00e1-lo ou deix\u00e1-lo passar, mas o iptables possui v\u00e1rias maneiras de “recusar” e ainda permite realizar logs. Como dito, opera\u00e7\u00f5es de altera\u00e7\u00e3o de pacotes, seja IP ou porta, n\u00e3o pode ser realizada na tabela filter, mas sim na nat ou mangle.<\/p>\n

    Em termos de filtragem, para impedir que pacotes que n\u00e3o queremos entrem na m\u00e1quina, \u00e9 a tabela filter que nos interessa.<\/p>\n<\/div>\n<\/td>\n<\/tr>\n

A tabela filter<\/b><\/p>\n
Entram nesta tabela o conjunto de regras com finalidades gerais, como bloquear, negar, realizar logs. As regras existentes nesta tabela n\u00e3o tem poder de alterar as configura\u00e7\u00f5es dos pacotes. Basicamente todas as regras de filtragem est\u00e3o nesta tabela, pois ela \u00e9 de uso geral.<\/p>\n

Para inserir uma regra em uma lista, pode-se usar -A para APPEND, inserindo-a no final, ou -I para INSERT, inserindo-a NO IN\u00cdCIO (a sintaxe profunda das regras n\u00e3o \u00e9 o foco deste artigo).<\/p>\n

A tabela filter possui tr\u00eas conjuntos de regras, ou seja, tr\u00eas listas sendo que cada uma delas est\u00e1 associada a um gancho:<\/p>\n

Conclus\u00e3o<\/b><\/p>\n
Este artigo teve como motiva\u00e7\u00e3o apenas mostrar a estrutura interna do\u00a0iptables<\/i>\u00a0e n\u00e3o ensinar a escrever regras sintaticamente corretas e poderosas.<\/p>\n

Atrav\u00e9s do entendimento correto de como o iptables atua, pode-se determinar onde e de que forma pacotes devem ser filtrados:<\/p>\n

    \n
  • Se estou configurando um firewall pessoal, na minha m\u00e1quina desktop ou no meu servidor, sendo que ela n\u00e3o \u00e9 roteador: as regras para filtrar o conte\u00fado dever\u00e3o ir na tabela filter, na lista INPUT para filtrar o que est\u00e1 entrando na minha m\u00e1quina, destinada ao IP dela e na tabela filter, lista OUTPUT para os pacotes gerados pela minha m\u00e1quina.<\/li>\n
  • Se estou configurando um firewall de rede, que filtra todo o conte\u00fado que entra e sai da minha rede para o mundo: as regras ir\u00e3o todas na tabela filter, lista FORWARD. Para representar o destino (est\u00e1 entrando ou est\u00e1 saindo) posso usar o par\u00e2metro -i interface ou -o interface (o FORWARD \u00e9 o \u00fanico que permite -i e -o na mesma regra, querendo dizer, se estiver entrando por aqui e saindo por ali…).<\/li>\n
  • Se meu firewall \u00e9 um firewall de rede, mas tamb\u00e9m possui alguns servi\u00e7os nele, como proxy ou de email, devo inserir regras tando no filter INPUT\/OUTPUT para definir a pol\u00edtica dele enquanto servidor, como no filter FORWARD para proteger minha rede. Regras adicionadas no filter FORWARD n\u00e3o atuam sobre pacotes destinados ao n\u00famero IP de uma m\u00e1quina.<\/li>\n
  • Se desejo alterar caracter\u00edsticas de ip ou porta, trocando-as, devo usar a tabela nat e para isto preciso aguardar o pr\u00f3ximo artigo. \ud83d\ude00<\/li>\n
  • <\/li>\n<\/ul>\n<\/div>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n","protected":false},"excerpt":{"rendered":"

    Introdu\u00e7\u00e3o: o que esperar deste artigo Ao contr\u00e1rio de outros artigos e tutoriais sobre\u00a0iptables, este n\u00e3o se disp\u00f5e a ensinar sua sintaxe, como construir regras e como bloquear este ou aquele tipo de pacote. Artigos meus futuros poder\u00e3o passear por este caminho, muito embora j\u00e1 se tenha muito material na Internet sobre isto. Ele se […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[1,79,42,51,68,271],"tags":[366,373,117],"class_list":["post-637","post","type-post","status-publish","format-standard","hentry","category-viazap","category-firewall","category-leitura-recomendada","category-linux-linuxrs","category-redes-2","category-seguranca-2","tag-do","tag-estrutura","tag-iptables"],"_links":{"self":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/637","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=637"}],"version-history":[{"count":2,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/637\/revisions"}],"predecessor-version":[{"id":639,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/637\/revisions\/639"}],"wp:attachment":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=637"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=637"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=637"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}