fwbuilder
está, sem dúvida entre os melhores delas.
iptables
e ip6tables
. A diferença entre estes dois comandos é que o primeiro atua sobre rede IPv4, enquanto que o último sobre o IPv6. Uma vez que ambas pilhas de protocolo de rede provavelmente estarão circulando por muitos anos, ambas as ferramentas serão utilizadas em paralelo.
filtro
preocupa com as regras de filtragem (aceitando, recusando ou ignorando um pacote);
nat
diz respeito a tradução de endereços e portas de origem ou destino de pacotes;
mangle
diz respeito a outras alterações nos pacotes IP (incluindo os TOS - Tipo de Serviço - campo e opções);
raw
permite outras modificações manuais em pacotes antes de chegar ao sistema de rastreamento de conexões.
filter (filtro)
possui tres cadeias padrao:
INPUT (ENTRADA)
: preocupa se com os pacotes cujo destino é o proprio firewall;
OUTPUT (SAIDA)
: preocupa se com os pacotes emitidos pelo firewall;
FORWARD (PASSAR PARA FRENTE)
: preocupa se com os pacotes em trânsito através do firewall (que não é nem a sua origem nem o seu destino).
nat
também tem três cadeias de padrão:
PREROUTING (PRE ROTEAMENTO)
: altera pacotes assim que eles chegam;
POSTROUTING (pos roteamento)
: altera pacotes quando eles estão prontos para partir ao seu caminho;
OUTPUT (SAÍDA)
: altera pacotes gerados pelo próprio firewall.
-j
nos comandos) para a especificada ação para continuar o processamento. Os comportamentos mais comuns são padronizados, e existem ações específicas para eles. O processamento da cadeia toma uma destas ações de interrupções padrão, uma vez que o destino do pacote já está selado (salvo uma exceção mencionada a seguir):
ACCEPT
: permite que o pacote siga seu caminho;
REJECT
: rejeita o pacote com um erro ICMP (o --reject-with tipo
opção para iptables
permite seleccionar o tipo de erro);
DROP
: apaga (ignora) o pacote;
LOG
: log (via syslogd
) uma mensagem com uma descrição do pacote, observe que esta ação não interrompe o processamento, e a execução da cadeia continua na próxima regra, razão pela qual recusou registro de pacotes, requer as regras tanto LOG quanto REJECT/DROP;
ULOG
: registrar uma mensagem via ulogd
, que pode ser melhor adaptada e mais eficiente do que syslogd
para lidar com um grande número de mensagens, observe que esta ação, como LOG, também retorna o processamento para a próxima regra na cadeia chamada;
RETURN
: interrompe o processamento da cadeia atual, e volta para a cadeia de chamada; no caso a cadeia atual é padrão, não há nenhuma cadeia de chamada, de modo que a ação padrão (definida com a opção - P
para o iptables
) é executada em vez disto;
SNAT
(apenas na tabela nat
): aplica Source (fonte - origem) NAT (opções extra descrevem as alterações exatas para aplicar);
DNAT
(apenas na tabela nat
): aplica Destination (destino) NAT (opções extra descrevem as alterações exatas para aplicar);
MASQUERADE
(apenas na tabela nat
): aplica masquerading (um caso especial de Source (origem) NAT);
REDIRECT
(apenas na tabela nat
): redireciona um pacote para uma determinada porta do firewall, isto pode ser usado para configurar um proxy web transparente que funciona sem nenhuma configuração no lado do cliente, uma vez que o cliente pensa que ele se conecta ao destinatário e as comunicações realmente passam pelo proxy.
mangle
, estão fora do escopo deste texto. O iptables(8) e ip6tables(8) tem um lista completa.
iptables
e ip6tables
permitem manipulação de tabelas, cadeias e regrass. Sua opção tabela -t
indica em qual tabela operar (por padrão, filtro
).
-N cadeia
cria uma nova cadeia. A -X cadeia
exclui uma cadeia vazia e sem uso. A -A cadeia regra
adiciona uma regra no final da cadeia dada. A opção -I cadeia número_regra regra
insere uma regra antes da regra número número_regra. A opção -D cadeia número_regra
(ou -D cadeia regra
) remove uma regra na cadeia, a primeira sintaxe identifica a regra a ser removida pelo seu número, enquanto o segundo o identifica pelo seu conteúdo. A opção -F cadeia
esvazia uma cadeia (remove todas suas regras); se nenhuma cadeia é mencionada, todas as regras da tabela são removidas. A opção -L cadeia
lista as regras na cadeia. Finalmente, a opção -P cadeia ação
define a ação padrão, ou "política", para uma dada cadeia; observe que apenas as cadeias padrão podem ter essa política.
condições -j ação opcoes_acoes
. Se várias condições são descritas na mesma regra, então o critério é a conjunção (lógica e) das condições, que é pelo menos tão restritiva quanto cada condição individual.
-p protocolo
corresponde ao campo protocolo do pacote IP. Os valores mais comuns são tcp
, udp
, icmp
, e ICMPv6
. Prefixando a condição com um ponto de exclamação nega a condição, que se transforma numa correspondência para "todos os pacotes com um protocolo diferente da especificada". Este mecanismo de negação não é específico para a opção -p
e também pode ser aplicada a todas outras condições.
-s endereço
ou -s rede/máscara
corresponde o endereço de origem do pacote. Do mesmo modo, -d endereço
ou -d rede/máscara
corresponde o endereço de destino.
-i interface
seleciona os pacotes provenientes da interface de rede. -o interface
seleciona pacotes saindo em uma interface específica.
-p TCP
pode ser complementada com condições sobre as portas TCP, com cláusulas como -- porta-origem porta
e --porta-destino porta
.
--estado estado
corresponde ao estado de um pacote em uma conexão (isto requer o módulo ipt_conntrack
do kernel, para rastreamento de conexões). O estado NEW
descreve um pacote iniciando uma nova conexão; O pacote ESTABLISHED
corresponde aos pacotes pertencentes a uma conexão já existente, e RELATED
correspondem aos pacotes iniciando uma nova conexão relacionada a um já existente (o que é útil para as conexões ftp-data
no modo "active" do protocolo FTP).
LOG
, por exemplo, tem as seguintes opções:
--log-priority
, com valor padrão warning
(aviso), indica o nível de severidade do syslog
;
--log-prefix
permite especificar um prefixo de texto para diferenciar mensagens registradas;
--log-tcp-sequence
, --log-tcp-options
e --log-ip-options
indicam dados extras a serem integrados na mensagem: respectivamente, o número de seqüência TCP, opções TCP, e as opções IP.
DNAT
fornece a --to-destination endereço: opção porta
para indicar o novo endereço IP de destino e/ou porta. Da mesma forma, SNAT
fornece --to-source endereço:porta
para indicar o novo endereço IP de origem e/ou porta.
REDIRECT
(disponível apenas se o NAT está disponível) fornece a opção --to-ports porta(s)
para indicar a porta, ou intervalo de portas, para onde os pacotes devem ser redirecionados.
iptables
/ip6tables
. Digitando estes comandos manualmente pode ser tedioso, por isso as chamadas são normalmente armazenados em um script para que a mesma configuração seja criada automaticamente a cada vez que a máquina inicia. Este script pode ser escrito à mão, mas também pode ser interessante prepará lo com uma ferramenta de alto nível, tais como fwbuilder
.
#
apt install fwbuilder
fwbuilder
traduzir as regras de acordo com os endereços atribuídos aos objetos.
fwbuilder
pode gerar um script de configuração do firewall de acordo com as regras que foram definidas. Sua arquitetura modular lhe confere a capacidade de gerar scripts que visam diferentes sistemas (iptables
para Linux, ipf
para o FreeBSD e pf
para OpenBSD).
up
do /etc/network/interfaces
. No exemplo a seguir, o script é armazenado em /usr/local/etc/arrakis.fw
.
Exemplo 14.1. arquivo interfaces
chamando script firewall
auto eth0 iface eth0 inet static address 192.168.0.1 network 192.168.0.0 netmask 255.255.255.0 broadcast 192.168.0.255 up /usr/local/etc/arrakis.fw