24/03/2015

Iptables BR ­ by Eriberto

FIREWALL COM IPTABLES www.eriberto.pro.br/iptables by João Eriberto Mota Filho

3. TABELAS

Tabela Filter
Vejamos o funcionamento da tabela filter (default) e as suas respectivas chains:

ESQUEMA DA TABELA FILTER

São três, as possíveis chains:
­­> INPUT: utilizada quando o destino final é a própria máquina filtro;
­­> OUTPUT: qualquer pacote gerado na máquina fltro e que deva sair para a rede será tratado pela chain OUTPUT;
­­> FORWARD: qualquer pacote que atravessa o fltro, oriundo de uma máquina e direcionado a outra, será tratado pela chain FORWARD. http://eriberto.pro.br/iptables/3.html 1/21

24/03/2015

Iptables BR ­ by Eriberto

Regras de filtragem
As regras (rules) de fitragem, geralmente, são compostas assim:
#iptables [­t tabela] [opção] [chain] [dados] ­j [ação]
Exemplo:
#iptables ­A FORWARD ­d 192.168.1.1 ­j DROP
A linha acima determina que todos os pacotes destinados à máquina 192.168.1.1 devem ser descartados. No caso: tabela: filter (é a default) opção: ­A chain: FORWARD dados: ­d 192.168.1.1 ação: DROP
Existem outras possibilidades que fogem à sintaxe mostrada anteriormente. É o caso do comando #iptables ­L, que mostra as regras em vigor.

Análise de regras com a tabela filter Opções
As principais opções são:

­P ­­> Policy (política). Altera a política da chain. A política inicial de cada chain é ACCEPT. Isso faz com que o filtro, inicialmente, aceite qualquer INPUT,
OUTPUT ou FORWARD. A política pode ser alterada para DROP, que irá negar o serviço da chain, até que uma opção ­A entre em vigor. O ­P não aceita REJECT ou LOG.
Exemplos:
#iptables ­P FORWARD DROP
#iptables ­P INPUT ACCEPT

­A ­­> Append (anexar). Acresce uma nova regra à chain. Tem prioridade sobre o ­P.
Geralmente, como buscamos segurança máxima, colocamos todas as chains em política http://eriberto.pro.br/iptables/3.html 2/21

24/03/2015

Iptables BR ­ by Eriberto

DROP, com o ­P e, depois, abrimos o que é