slides - iptables - aula 01 - introdução

1 / 24 Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)

Firewall iptables no LinuxFirewall iptables no Linux

Aula 1

Introdução

2 / 24 Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)

RoteiroRoteiro

Apresentação

Instrutor

Curso

Conceitos de Firewall

IPFW

IPCHAINS

NETFILTER

IPTABLES

3 / 24 Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)

Apresentação do InstrutorApresentação do Instrutor

Bacharel Ciência da Computação em 1995.

Mestre Informática em 1999.

Experiência com ensino superior desde 1999.

Linux desde 1994.

4 / 24 Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)

Apresentação do CursoApresentação do Curso

O curso de iptables está dividido em 6 aulas:

aula 1 - introdução;

aula 2 - funcionamento básico;

aula 3 - tabela filter;

aula 4 - tabela NAT;

aula 5 - outras opções;

aula 6 - implementação de um firewall.

5 / 24 Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)

Apresentação do CursoApresentação do Curso

Qualquer distribuição Linux com iptables instalado pode ser utilizada.

Normalmente iptables já vem instalado na maioria das distribuições populares.

Não precisamos de nada além da linha de comando e root para utilizar o iptables.

6 / 24 Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)

Conceitos de FirewallConceitos de Firewall

A primeira pergunta do curso:

O que é um firewall?

7 / 24 Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)

Conceitos de FirewallConceitos de Firewall

Vale lembrar que firewall é um termo dos bombeiros.

Uma parede de fogo para extinguir o fogo.

Parece uma contradição!

8 / 24 Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)

Conceitos de FirewallConceitos de Firewall

Em construção, um firewall é um item passivo de proteção contra fogo.

Notícia do dia 11 de Março de 2008:

Firewall ajuda aos bombeiros enquanto as chamas destroem os negócios do rancho Cordova

9 / 24 Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)

Conceitos de FirewallConceitos de Firewall

FirewallEvita que o fogo passe

10 / 24 Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)

Conceitos de FirewallConceitos de Firewall

Firewalls são hardware ou software que objetivam aplicar uma política de segurança à fronteira de uma rede.

Normalmente, um firewall é instalado na fronteira de uma rede local com outra rede, tipicamente a Internet.

11 / 24 Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)

Conceitos de FirewallConceitos de Firewall

Firewall na fronteira da rede local.

12 / 24 Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)

Conceitos de FirewallConceitos de Firewall

Dois exemplos de Firewall

13 / 24 Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)

Conceitos de FirewallConceitos de Firewall

Tipos de firewall:

filtros de mensagens;

filtros de pacotes.

Camada deAplicação

Camada deTransporte

Camada deRede

Camada deEnlace

CamadaFísica

14 / 24 Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)

Conceitos de FirewallConceitos de Firewall

Os filtros de mensagens são firewalls da camada de aplicação TCP/IP.

Um proxy HTTP com funções de firewall tal como o Squid (www.squid-cache.org).

Isso não é objetivo do curso!!!

15 / 24 Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)

Conceitos de FirewallConceitos de Firewall

Os filtros de pacotes são firewalls da camada de rede TCP/IP.

O projeto netfilter (www.netfilter.org) com o iptables no Linux.

Esse é o objetivo do curso !!!

16 / 24 Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)

IPFWIPFW

Alan Cox portou o IPFW do UNIX de Berkeley para o kernel 1.1 do Linux.

IPFW = IP FireWall

Ainda hoje, o UNIX de Berkeley e o Mac OS utilizam uma versão melhorada do IPFW.

17 / 24 Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)

IPFWIPFW

No nível do usuário, o IPFW é utilizado através dos comandos ipfwadm e ipfw.

No Linux, isso durou até o Kernel 2.0.

IPFW não sabia lidar com:

fragmentos de pacotes;

outro protocolo além de TCP, UDP ou ICMP.

18 / 24 Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)

IPCHAINSIPCHAINS

Por isso, o código do IPFW foi reescrito e disso nasceu o ipchains.

Linux com kernel 2.2.

Rusty Russel foi o responsável por isso.

19 / 24 Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)

NETFILTERNETFILTER

Netfilter é a ligação do kernel do Linux com a captura e manipulação de pacotes.

Linux com kernel acima de 2.4.

Rusty Russel também foi o responsável por isso.

20 / 24 Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)

NETFILTERNETFILTER

Um dos componentes mais conhecidos do netfilter é o firewall de filtro de pacotes.

Há outras funções:

tradução de endereços (NAT);

inspeção de estado;

enfileiramento de pacotes.

21 / 24 Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)

IPTABLESIPTABLES

A interface do netfilter com o usuário root é o comando iptables.

iptables é um programa que permite ao administrador do sistema configurar as tabelas, cadeias e regras do netfilter.

22 / 24 Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)

IPTABLESIPTABLES

O iptables deve ser executado pelo usuário root (administrador do sistema).

Exemplo do comando iptables:

iptables -A INPUT -p tcp --dport 22 -j DROP

23 / 24 Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)

ExercícioExercício

1. Pesquise na Internet os termos:

- firewall;

- ipfw;

- ipchains;

- iptables.

2. Descubra pelo menos três distribuições Linux que já trazem IPTABLES instalado.

24 / 24 Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)Prof. Othon Marcelo Nunes Batista (othonb@yahoo.com)

ExercícioExercício

3. Encontre um exemplo do uso de IPTABLES.

4. Descubra para que serve o comando visto no último slide da aula:

iptables -A INPUT -p tcp --dport 22 -j DROP