Linux e Unix
Firewall iptables - parte 05 - Trabalhando com o target REJECT - Linux
Vejamos agora alguns exemplo do uso do target REJECT. Para isso usaremos algumas mensagens ICMP para visualizar a resposta do firewall ao remetente dos pacores que serão bloqueados.
O target REJECT só é válido nas cadeias INPUT, OUTPUT e FORWARD, e possui uma opção, --reject-with, a qual exploraremos nos exemplos sugeridos.
Primeiro, vamos limpar a regras atuais do firewall, cujo IP é 192.168.1.101, para que não interfiram em nossos exemplos:
# iptables -F
Vamos também alterar a regra padrão da chain INPUT para ACCEPT:
# iptables -P INPUT ACCEPT
E agora vamos enviar pacotes icmp usando o ping e testar a conectividade entre as máquinas (usarei um cliente WIndows, de IP 192.168.1.105, via prompt de comandos):
O ping está operando normalmente. Vamos então criar algumas regras que bloqueiem o ping no servidor e que emitam de volta ao remetente (no caso, a máquina WIndows) mensagens específicas. Apos testar cada regra, limpe a cadeia com iptables -F.
Regra #1: Usando um REJECT simples, sem especificar nenhuma mensagem de retorno:
# iptables -A INPUT -s 192.168.1.105 -j REJECT
Testando a partir do cliente:
Observe que o ping foi bloqueado no servidor e foi emitida uma mensagem padrão do REJECT “Porta de destino inacessível” ao cliente de IP 192.168.1.105.
Regra #2: Emitindo a mensagem “Rede de destino inacessível” com o REJECT:
# iptables -A INPUT -s 192.168.1.105 -j REJECT --reject-with icmp-net-unreachable
Testando a partir do cliente:
O parâmetro --reject-with deve sempre vir após a palavra REJECT.
Regra #3: Emitindo a mensagem “Host de destino inacessível” com o REJECT:
# iptables -A INPUT -s 192.168.1.105 -j REJECT --reject-with icmp-host-unreachable
Regra #4: Emitindo a mensagem padrão “Porta de destino inacessível” com o REJECT:
# iptables -A INPUT -s 192.168.1.105 -j REJECT --reject-with icmp-port-unreachable
Note que essa é a mensagem padrão do REJECT, que é emitida se nenhuma outra for especificada com --reject-with.
Regra #5: Emitindo a mensagem padrão “Protocolo de destino inacessível” com o REJECT:
# iptables -A INPUT -s 192.168.1.105 -j REJECT --reject-with icmp-proto-unreachable
Há algumas outras mensagens icmp que podem ser emitidas, como icmp-tcp-reset, icmp-host-prohibited, icmp-network-prohibited e icmp-admin-prohibited.
loading...
-
Firewall Iptables Parte 07 - Encaminhamento De Portas (port Forwarding) - Linux
Em nosso sétimo artigo sobre o Firewall Iptables no Linux, vamos aprender a realizar Encaminhamento de Portas (Port Forwarding), o que permitirá o acesso a serviços em servidores da rede interna a partir da rede externa, atravessando nosso gateway...
-
Firewall Iptables Parte 06 - Compartilhamento De Internet Com A Rede Local - Linux
Neste artigo vamos aprender a compartilhar a Internet em uma rede local usando o firewall iptables. O que vamos precisar:Uma máquina Linux com duas interfaces de rede, uma pública que pode ser configurada via DHCP e outra privada, com IP estático....
-
Firewall Iptables - Parte 04 - Salvando As Regras Criadas - Linux
Salvando as regras do iptables em arquivoApós criarmos as regras do firewall, é possível salvá-las em um arquivo com o comando:# iptables-save > arquivo E podemos recuperá-las com:# iptables-restore < arquivo Tornando as regras do firewall...
-
Firewall Iptables - Parte 02 - Linux
Podemos visualizar as regras atuais de uma cadeia por meio do comando iptables -L (ou iptables --list):# iptables -LVeja que não há nenhuma regra criada, além da regra padrão (policy), que está configurada para aceitar todos os pacotes em todas as...
-
Firewall Iptables - Parte 01 - Linux
Configurar de forma conveniente um firewall é de extrema importância para a segurança de qualquer sistema operacional moderno. No caso das distribuições Linux, a grande maioria possui um subsistema de filtragem de pacotes e ferramentas para gerenciamento...
Linux e Unix