2.5.4. Filtros de IPTables Comuns
Impedir invasores remotos de acessar uma LAN é o aspecto mais importante de segurança de rede. A integridade da LAN deve ser protegida de usuários remotos mal-intencionados durante o uso de regras de firewall.
No entanto, com uma política padrão definida para bloquear todos os pacotes enviados, entrada e saída, é impossível para o firewall/gateway e usuários internos da LAN de se comunicarem uns com os outros ou com recursos externos.
Para permitir que usuários realizem funções relacionadas à rede e usar os aplicativos de rede, administradores devem abrir certas portas para comunicação.
Por exemplo, para permitir acesso à porta 80 no firewall adicione a seguinte regra:
[root@myServer ~ ] # iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
Esta regra permite que usuários naveguem websites que comunicam usando a porta padrão 80. Para permitir acesso à websites seguros (por exemplo, https://www.example.com/), você também precisará fornecer acesso à porta 443, como se segue:
[root@myServer ~ ] # iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
Importante
Ao criar um conjunto de regras
iptables
, a ordem é importante.
Se uma regra especificar que qualquer pacote da sub-rede 192.168.100.0/24 seja despejada, e seja seguido de uma regra que permite pacotes do 192.168.100.13 ( o qual está dentro da sub-rede que foi despejada), então a segunda regra é ignorada.
A regra para permitir pacotes do 192.168.100.13 deve preceder a regra que despeja o restante da sub-rede.
Para inserir uma regra em um local específico em uma corrente existente, use a opção
-I
. Por exemplo:
[root@myServer ~ ] # iptables -I INPUT 1 -i lo -p all -j ACCEPT
Esta regra é inserida como a primeira regra na corrente INPUT para permitir tráfego de dispositivo loopback local.
Pode haver vezes que você requer acesso remoto à LAN. Serviços seguros, por exemplo SSH, podem ser usados para conexão remota criptografada à serviços LAN.
Administradores com recursos baseados em PPP (como os bancos de modem ou contas ISP em massa) acesso discado pode ser usado para evitar barreiras de firewall de forma segura. Como são conexões diretas, as conexões de modem se encontram geralmente atrás de um firewall/gateway.
No entanto, para usuários remotos com conexões de banda larga, são reservados casos especiais. Você pode configurar o
iptables
para aceitar conexões de clientes remotos SSH. Por exemplo, as regras a seguir permitem acesso SSH remoto:
[root@myServer ~ ] # iptables -A INPUT -p tcp --dport 22 -j ACCEPT [root@myServer ~ ] # iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
Estas regras permitem acesso de entrada e saída para um sistema individual, como um PC único conectado diretamente à Internet ou à um firewall/gateway. No entanto, eles não permitem que nós por detrás de firewall/gateway acessem estes serviços. Para permitir acesso da LAN à estes serviços, use Network Address Translation (NAT) com as regras de filtro do
iptables
.