Red Hat Summit2.6.2.4. Opções de Coincidência de IPTables
Protocolos de rede diferentes fornecem opções de coincidência especializadas que podem ser configuradas para coincidir um pacote específico usando aquele protocolo. No entanto, o protocolo deve primeiro ser especificado no comando
iptables. Por exemplo, -p <protocol-name> habilita as opções para o protocolo especificado. Note que você também pode usar o ID de protoloco, ao invés do nome do protocolo. Consulte os seguintes exemplos, cada dos quais tem o mesmo efeito:
iptables -A INPUT -p icmp --icmp-type any -j ACCEPT
iptables -A INPUT -p icmp --icmp-type any -j ACCEPT iptables -A INPUT -p 5813 --icmp-type any -j ACCEPT
iptables -A INPUT -p 5813 --icmp-type any -j ACCEPT
Definições de serviço são fornecidas no arquivo
/etc/services. Para definição legível, recomenda-se que você use os nomes de serviços ao invés dos números de porta.
Atenção
Proteja o arquivo
/etc/services para prevenir edição não autorizada. Se este arquivo for editável, invasores podem usá-lo para habilitar portas em sua máquina que você tenha fechado. Para proteger este arquivo, digite os seguintes comandos como usuário root:
chown root.root /etc/services chmod 0644 /etc/services chattr +i /etc/services
[root@myServer ~]# chown root.root /etc/services
[root@myServer ~]# chmod 0644 /etc/services
[root@myServer ~]# chattr +i /etc/services
Isto evita que o arquivo seja renomeado, removido ou ter links apontados para ele.
2.6.2.4.1. Protocolo TCP
Copiar o linkLink copiado para a área de transferência!
Estas opções de coincidência estão disponíveis para o protocolo TCP (
-p tcp):
--dport— Define a porta de destino para o pacote.Para configurar esta opção, use um nome de serviço de rede (tal como o www ou smtp); um número de porta; ou uma classe de números de porta.Para especificar uma classe de números de porta, separe os dois números com dois pontos (:). Por exemplo:-p tcp --dport 3000:3200. A classe válida maior é0:65535.Use um ponto de exclamação (!) antes da opção--dportpara coincidir todos os pacotes que não usam aquele serviço ou porta de rede.Para navegar pelos nomes e aliases de serviços de rede e números de porta que eles usam, visualize o arquivo/etc/services.A opção de coincidência do--destination-porté sinônima da--dport.--sport— Define a porta fonte do pacote usando as mesmas opções que--dport. A opção de coincidência--source-porté sinônimo da--sport.--syn— Se aplica à todos os pacotes TCP criados para iniciar a comunicação, geralmente chamada de pacotes SYN. Quaisquer pacotes que carreguem um bloco de dados não são tocados.Use um ponto de exclamação (!) antes da opção--synpara coincidir com todos os pacotes que não são SYN.--tcp-flags <tested flag list> <set flag list>— Permite que pacotes TCP que possuem específicos bits (sinalizadores) definidos, coincidirem com uma regra.A opção de coincidência--tcp-flagsaceita dois parâmetros. O primeiro parâmetro é a máscara; uma lista separada por vírgula de sinalizadores a serem examinados no pacote. O segundo parâmetro é uma lista separada por vírgula de sinalizadores que devem ser definidos para a regra que coincidir.Os possíveis sinalizadores são:ACKFINPSHRSTSYNURGALLNONE
Por exemplo, uma regraiptablesque contenha a seguinte especificação somente coincide com pacotes TCP que possuem o sinalizador SYN definido e os sinalizadores ACK e FIN não definidos:--tcp-flags ACK,FIN,SYN SYNUse o ponto de exclamação (!) antes do--tcp-flagspara reverter o efeito da opção de coincidência.--tcp-option— Tenta coincidir com as opções de TCP específicas que podem ser definidas dentro de um pacote particular. Esta opção coincidente também pode ser revertida com o ponto de exclamação (!).
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}