Estgio de Linux Avanado Firewal

3 Centro de Telemtica de rea

Instrutor: 3 Sgt Vincius

1.1 Introduo terica Os sistemas GNU/ inu! com "ernel s#rie $%& e $%' em diante( tra)al*am com o +I,ta)les,ara .a/er o gerenciamento de regras de .ire0all% em)rando 1ue o +I,ta)les- # a,enas um +.rontend- 1ue gerencia o su,orte +Net.ilter- no +"ernel-% O +I,ta)les- ,ossui & ta)elas( sendo elas: - filter 2 Como o nome sugere( trata3se de uma ta)ela de controle de conte4do dos ,acotes% - Nat 2 5sta ta)ela # utili/ada no com,artil*amento de cone!6es( ,ermitindo 1ue redes internas roteiem e ,ossam acessar a Internet( ,or e!em,lo% - Mangle 2 Ta)ela de con.igura76es es,eciais e au!iliares dos mecanismos de .iltro e roteamento de ,acotes% - Raw 2 Ta)ela usada ,ara con.igurar e!ce76es do rastreamento de cone!6es do "ernel% 5sse mecanismo # tam)#m con*ecido como: +connection trac8ing-% OBS: A tabela filter! " a tabela #adro do i#table$! Cada uma dessas ta)elas ,ossui o 1ue c*amamos de +c*ains-% 9 nelas onde :;o ser de.inidas as regras ,ara o nosso +.ire0all-% < tradu7;o literal seria +correntes-( assim cada ta)ela teria uma corrente( onde cada elo corres,onderia a uma regra% Nesse ca,tulo :amos tratar mais das +c*ains- da ta)ela +.ilter- e algo so)re as +c*ains- da ta)ela +nat-% <s +c*ains- da ta)ela +.ilter- s;o as seguintes: %abela &ilter - IN'(% 3 =egras de entrada de ,acotes - O(%'(% 3 =egras de sada de ,acotes - &OR)AR* 3 =egras de ,assagem de ,acotes ,elo +.ire0all-% <s +c*ains- da ta)ela +nat- s;o as seguintes: %abela Nat 3 'R+RO(%IN, 3 =egras 1ue ser;o ,rocessadas antes do roteamento dos ,acotes nas inter.aces do +.ire0all-% 3 'OS%RO(%IN, 3 =egras 1ue ser;o ,rocessadas a,>s o roteamento dos ,acotes nas inter.aces do +.ire0all-% 3 O(%'(% 3 =egras de sada de ,acotes%

1.- .o/#reendendo a$ #olitica$ b0$ica$ e o conceito da$ e1ce2e$ < metodologia utili/ada ,ara im,lementa7;o do +.ire0all- ser a seguinte: 5?C5@A5S 2 CONT=O 5S 2 BO CTIC<S DSIC<S Iremos negar todo o tr.ego ,ara as +c*ains- de +INBUT-( +OUTBUT- e +EO=F<=G- da ta)ela +.ilter-( ,osteriormente iremos de.inir a rela7;o dos ser:i7os 1ue de:em ser li)erados no +.ire0all-( a estes( iremos c*amar de e!ce76es% Todo o tr.ego de ,acotes 1ue as nossas e!ce76es n;o co)rirem ser )lo1ueado ,or ,adr;o% 5m suma( o 1ue n;o .or o.icialmente ,ermitido H est e!,ressa e ,re:iamente negado% Berce)a 1ue as +c*ains- s;o descritas em letras mai4sculas% 1.3 'r0tica *irigida Vamos agora montar o nosso +.ire0all-% <ntes de mais nada( tomaremos como e!em,o uma m1uina Ge)ian/U)untu em uma rede local de la)orat>rio IJ$%I'K%$LL%?( mscara de rede $MM%$MM%$MM%L e gate0aN IJ$%I'K%$LL%$M&% 1.3.1 4erifi5ue co/o e$to configurada$ a$ #ol6tica$ b0$ica$ 5ue e$to definida$ #or #adro: O i,ta)les 3n 3 1.3.- Modifi5ue a$ #ol6tica$ b0$ica$ #ara *RO' A77!: O i,ta)les 3B INBUT G=OB O i,ta)les 3B OUTBUT G=OB O i,ta)les 3B EO=F<=G G=OB 1.3.3 4erifi5ue $e a no8a #ol6tica foi a$$u/ida: O i,ta)les 3n 3 <gora 1ue ,erce)emos 1ue temos um +.ire0all- ati:o( de:emos ,ensar nas demais ,olticas( uma :e/ 1ue( ,or mais seguro 1ue seHa a ,oltica de +negar tudo-( n;o # ,rtico manter nosso com,utador assim% 5le ,recisar se comunicar com outro com,utadores e ,ara 1ue isso seHa ,oss:el( ,recisamos de.inir ,olticas de e!ce76es% 1.3.9 Reali:e o te$te u$ando o co/ando #ing! na $ua interface Ioo#bac;!: O ,ing I$P%L%L%I 1.3.< O te$te anterior no$ #er/itiu 8erificar 5ue de8e/o$ definir u/a #ol6tica de e1ce2e$ #ara a interface Ioo#bac;!. .riare/o$ u/a #ol#6tica 5ue #o$$ibilite i$$o: O i,ta)les 3< OUTBUT 3d I$P%L%L%I 3H <CC5BT O i,ta)les 3< INBUT 3d I$P%L%L%I 3H <CC5BT

1.3.= 7i$te a$ #ol6tica$ ati8a$: O i,ta)les 3n 3 1.3.> 4e?a/o$ $e agora con$egui/o$ fa:er u/ #ing! na interface de Ioo#bac;!: O i,ta)les I$P%L%L%I 1.3.@ +1ecute o co/ando #ing!A tendo co/o al8o e endereo de u/a /05uina da $ua rede: O ,ing IJ$%I'K%$LL%$M& 1.3.B Agora criare/o$ u/a #olitica 5ue #er/ita 5ue $e?a e1ecutado o co/ando #ing! a #artir de $ua /05uina co/ a $ua interface de rede internaA /a$ $ua /05uina no ir0 re$#onder a #ing: O i,ta)les 3< OUTBUT 3, icm, 2icm, K 3s IJ$%I'K%$LL%? 3d L/L 3H <CC5BT O i,ta)les 3< INBUT 3, icm, 2icm, L 3s L/L 3d IJ$%I'K%$LL%? 3H <CC5BT 1.3.1C 4erifi5ue $e a$ regra$ fora/ adicionada$: O i,ta)les 3n 3 1.311 'ode/o$ 8er $e con$egui/o$ fa:er u/ #ing! e/ outra /05uina da rede: O ,ing IJ$%I'K%$LL%$M& 1.3.1- Agora 5ue ?0 te/o$ u/ #ol6tica de e1ceoA tente fa:er u/ #ing! no do/6nio www.uol.co/.br!: O ,ing 000%uol%com%)r 1.3.13 A#e$ar de con$eguir/o$ u$ar o #ing! no$ endereo$ I'D$A ainda no con$egui/o$ fa:er u/ #ing! #or no/e$. 4a/o$ de$en8ol8er a regra 5ue faa i$$o: O i,ta)les 3< OUTBUT 3, ud, 3s IJ$%I'K%$LL%? 2s,ort IL$&:'MM3M 3d L/L 2d,ort M3 3H <CC5BT O i,ta)les 3< INBUT 3, ud, 3s L/L 2s,ort M3 3d IJ$%I'K%$LL%? 2d,ort IL$&:'MM3M 3H <CC5BT 1.3.19 4erifi5ue $e a$ regra$ fora/ adicionada$: O i,ta)les 3n 3 1.3.1< .o/ a$ regra$ definida$A #ode/o$ fa:er u/ #ing! #or no/e$: O ,ing 000%uol%com%)r ODS: Qesmo 1ue li)eremos o nosso +.ire0all- ,ara resol:er os nomes( ainda n;o conseguiremos acessar um ser:idor Fe)( ,ois ,recisamos li)erar o acesso as ,ortas KL e &&3%

1.3.1= .riare/o$ u/a regra de e1ceo 5ue #er/ita na8egao web: O i,ta)les 3< OUTBUT 3, tc, 3s IJ$%I'K%$LL%? 33s,ort IL$&:'MM3M 3d L/L 2d,ort KL 3H <CC5BT O i,ta)les 3< OUTBUT 3, tc, 3s IJ$%I'K%$LL%? 2s,ort IL$&:'MM3M 3d L/L 2d,ort &&3 3H <CC5BT O i,ta)les 3< INBUT 3, tc, 3s L/L 2s,ort KL 3d IJ$%I'K%$LL%? 2d,ort IL$&:'MM3M 3H <CC5BT O i,ta)les 3< INBUT 3, tc, 3s L/L 2s,ort &&3 3d IJ$%I'K%$LL%? 2d,ort IL$&:'MM3M 3H <CC5BT 1.3.1> &aa/o$ u/ te$te #ara 8er $e con$egui/o$ traar rota$ u$ando a ferra/enta /tr!: O mtr $LL%IP'%$%II 1.3.1@ O /tr! utili:a re$#o$ta$ ic/#! do ti#o 11A ento #reci$a/o$ criar u/a regra liberando a entrada de$$e ti#o de #acote: O i,ta)les 3< INBUT 3, icm, 33icm,3tN,e II 3s L/L 3H <CC5BT 1.3.1B 4erifi5ue $e a regra foi adicionada: O i,ta)les 3n 3 1.3.-C +1ecute o co/ando /tr! #ara te$tar a regra criada: O mtr $LL%IP'%$%II 1.9 &irewall co/o gatewaEF! de rede Se o nosso ser:idor #( ,or e!em,lo( um +.ire0all- de .ronteira entre a sua rede e a internet( ou seHa( um +gate0aN- de rede( de:emos esta)elecer uma ,oltica 1ue .a7a o re,asse dos ,acotes de uma rede ,ara outra( ,ara ,ermitir o re,asse R.or0ardS de ,acotes entre uma rede e outra% 1.9.1 A #ri/eira coi$a 5ue #reci$a/o$ fa:er " liberar o re#a$$e de #acote$ entre a$ interface$ de redeA no Gernel: O sNsctl 3a T gre, i,U.or0ard O sNsctl 30 net%i,:&%i,U.or0ardVI ODS: Bara dei!ar esse :alor .i!o( de:emos dei!ar esse ,arWmetro dentro de /etc/sNsctl%con. O :im /etc/sNsctl%con. net%i,:&%i,U.or0ardVI 1.9.- Agora #reci$a/o$ #er/itir no i#table$! 5ue no$$a rede $e co/uni5ue co/ outra$. *e8e/o$ fa:er i$$o acre$centando regra$ na cHain &OR)AR*: O i,ta)les 3< EO=F<=G 3s IJ$%I'K%$LL% L/$& 3H <CC5BT O i,ta)les 3< EO=F<=G 3d IJ$%I'K%$LL%L/$& 3H <CC5BT

N;o ,odemos es1uecer 1ue a internet utili/a IBXs ,4)licos( di.erente da nossa rede% Bor isso teremos 1ue .a/er a tradu7;o de endere7amento in:lido Rda <NS ,ara o :lido Rda internetS( atra:#s da es,eci.ica7;o da ta)ela +N<T-( .a/endo o mascaramento% 1.9.3 4a/o$ fa:er co/ 5ue no$$a 7AN $e?a /a$carada: O i,ta)les 3t nat 3< BOST=OUTING 3o et*? 3s IJ$%I'K%$LL%L/$& 3H Q<SYU5=<G5 ODS: < inter.ace et*? # a 1ue est com IB :lido% 1.9.9 4erifi5ue co/o e$to a$ regra$ in$erida$: O i,ta)les 3n 3 O i,ta)les 3n 3 3t nat 1.9.< 'ara no #erde/o$ e$$a$ regra$A #ode/o$ $al80-la$ utili:ando recur$o$ do i#table$!A le/brando 5ue i$$o no " ainda u/ $cri#t! #rofi$$ional: O i,ta)les3sa:e Z /root/.ire0 O cat .ire0all%)ac8 1.9.= Agora #ode/o$ fa:er u/ te$te e li/#ar toda$ a$ regra$ adicionada$ na /e/ria: O i,ta)les 3E O i,ta)les 3E 3t nat 1.9.> 4erifi5ue $e a$ regra$ fora/ a#agada$: O i,ta)les 3n 3 O i,ta)les 3n 3 3t nat 1.9.@ Modifi5ue a$ #ol6tica$ b0$ica$ #ara A..+'%: O i,ta)les 3B INBUT <CC5BT O i,ta)les 3B OUTBUT <CC5BT O i,ta)les 3B EO=F<=G <CC5BT 1.< Scri#t de &arewall Todas as regras 1ue .oram .eitas .icam na mem>ria do com,utador( se ele .or reiniciado( ,erderemos todas elas% Bodemos utili/ar o +i,ta)les3sa:e-( mas ele n;o # um +scri,t- ,ro.issional% Segue a1ui um +scri,t- com todos as regras 1ue .oram .eitas( e em seguida esse +scri,t,ode ser adicionado aos n:eis de e!ecu7;o do sistema( ,ara ser carregado sem,re 1ue a m1uina .or ligada% Vamos c*amar nosso +scri,t- de +.ire0all%s*-:

O cd /etc/init%d O :im .ire0all%s* O [/)in/)as* O Eire0all ,ersonali/ado 2 Curso 5 <E3$LI$ OO Ge.ini7;o de :ari:eis IBTV\ R0*ic* i,ta)lesS 5TOV-IJ$%I'K%$LL%?N5TV-L/LB<VIL$& : 'MM3M =5G5V-IJ$%I'K%$LL%L/$&OO Eec*ando as Bolticas \IBT 3B INBUT G=OB \IBT 3B OUTBUT G=OB \IBT 3B EO=F<=G G=OB OO i)erando oo,Dac8 \IBT 3< OUTBUT 3d I$P%L%L%I 3H <CC5BT \IBT 3< INBUT 3d I$P%L%L%I 3H <CC5BT OO i)erando Bing RSada de icm, K e entrada de icm, LS \IBT 3< OUTBUT 3, icm, 33icm,3tN,e K 3s \5TO 3d \N5T 3H <CC5BT \IBT 3< INBUT 3, icm, 33icm,3ti,N L 3s \N5T 3d \5TO 3H <CC5BT OO i)erando resolu7;o de nomes \IBT 3< OUTBUT 3, ud, 3s \5TO 3 3s,ort \B< 3d \N5T 3 3d,ort M3 3H <CC5BT \IBT 3< INBUT 3, ud, 3s \N5T 3 3s,ort M3 3d \5TO 3 3d,ort \B< 3H <CC5BT OO i)erando na:ega7;o 0e) \IBT 3< OUTBUT 3, tc, 3s \5TO 3 3s,ort \B< 2 d \N5T 3 3d,ort KL 3H <CC5BT \IBT 3< OUTBUT 3, tc, 3s \5TO 3 3s,ort \B< 3d \N5T 3 3d,ort &&3 3H <CC5BT \IBT 3< INBUT 3, tc, 3s \N5T 3 3s,ort KL 3d \5TO 3 3d,ort \B< 3H <CC5BT \IBT 3< INBUT 3, tc, 3s \N5T 2 s,ort &&3 3d \5TO 3 3d,ort \B< 3H CC5BT Rcontinua na ,r>!ima ,ginaS

OO i)erando consultas mtr \IBT 3< INBUT 3, icm, 3 3icm,3tN,e II 3s \5TO 3H <CC5BT OO =egras de EO=F<5G e N<T ,ara li)erar a <N ,ara acessar a internet%% sNsctl 30 net%i,:&%i,U.or0ardVI \IBT 3< EO=F<=G 3s \=5G5 3H <CC5BT \IBT 3< EO=F<=G 3d \=5G5 3H <CC5BT \IBT 3t nat 3< BOST=OUTING 3o et*? 3s \=5G5 3H Q<SYU5=<G5 ODS: <gora ,odemos con.igurar as ,ermiss6es de e!ecu76es ,ara o +scri,t-: O c*mod PMM .ire0all%s* O ls 3l .ire0all%s* Bara 1ue ele seHa iniciado Hunto com sistema 1uando a m1uina .or ligada ,odemos colocar o +scri,t- nos n:eis de e!ecu7;o O u,date3rc%d .ire0all%s* de.aults O ls 3l /etc/rc$%d IMPORTANTE: :oc] de:e ter re,arado no scri,t acima 1ue usamos os argumentos +-i ethX- e +-o ethX-% Qas o 1ue 1uer di/er isso^ O argumento +-i- re.ere3se a input( ou seHa( entrada% 5 o argumento +-o- re.ere3se a output( ou seHa( sada( onde: _ 3i et*? V inter.ace de entrada _ 3o et*? V inter.ace de sada 1.= .onclu$o O assunto +Eire0all- n;o se resume ao a)ordado neste curso( tendo em :ista 1ue o mesmo :isa a,resentar os conceitos )sicos e intermedirios so)re .ire0all em sistemas inu!% Com o conte4do a,resentado o srRaS ter ,lenas condi76es de im,lementar um .ire0all na rede de sua OQ e sanar ,oss:eis ,ro)lemas de ,ermissionamento de cone!;o% Caso 1ueira se a,ro.undar mais no assunto e/ou )uscar solu76es ,ara ,oss:eis ,ro)lemas( dei!o a)ai!o alguns lin8s interessantes: 000%:i:aolinu!%com%)r 000%seHali:re%org 000%guia.oca%org