7.2. Usando o iptables
O primeiro passo para usar o iptables é iniciá-lo. Isto pode ser feito com o comando:
service iptables start |
 | Atenção | |
|---|---|---|
Os serviços ip6tables devem ser desligados para usar o serviço iptables com os seguintes comandos:
|
Para fazer com que o iptables inicie por default sempre que a máquina for inicializada, você deve alterar o status do nível de execução (runlevel) do serviço usando chkconfig.
chkconfig --level 345 iptables on |
A sintaxe do iptables é separada em camadas. A camada principal é a corrente (chain). Uma corrente especifica o estado no qual um pacote é manipulado. O uso é o seguinte:
iptables -A chain -j target |
O -A acrescenta uma regra no fim de um conjunto de regras existente. A corrente é o nome da corrente para uma regra. As três correntes embutidas do iptables (ou seja, as correntes que afetam todos os pacotes que trafegam pela rede) são INPUT, OUTPUT e FORWARD. Estas correntes são permanentes e não podem ser apagadas. A opção -j target (alvo) especifica a localidade no conjunto de regras do iptables onde essa regra específica deve pular. Alguns alvos embutidos são ACCEPT, DROP e REJECT.
Correntes novas (também chamadas de correntes definidas pelo usuário) podem ser criadas usando a opção -N. Criar uma corrente nova é útil para personalizar ou elaborar regras.
7.2.1. Normas Básicas de Firewall
Estabelecer normas básicas de firewall é a base para criar outras regras detalhadas definidas pelo usuário. O iptables usa normas (-P) para criar regras default. Administradores com foco em segurança geralmente escolhem derrubar todos os pacotes como uma norma e só permitem pacotes específicos, analisando-os caso-a-caso. As seguintes regras bloqueiam todos os pacotes entrando e saindo de uma porta de comunicação (gateway) de rede:
iptables -P INPUT DROP iptables -P OUTPUT DROP |
Adicionalmente, é recomendado que qualquer pacote encaminhado — tráfego de rede roteado do firewall para seu nódulo de destino — seja negado também, para restringir os clientes internos da exposição inadvertida à Internet. Para fazer isso, use a seguinte regra:
iptables -P FORWARD DROP |
Após definir as normas de correntes, você pode criar novas regras para a sua rede e seus requisitos de segurança em particular. As seguintes seções descrevem algumas regras que você talvez implemente enquanto constrói seu firewall iptables.
7.2.2. Salvando e Restaurando Regras do iptables
As regras de firewall são válidas somente enquanto o computador estiver ligado. Portanto, se o sistema for reinicializado, as regras serão automaticamente eliminadas e restauradas. Para salvar as regras de modo que elas sejam carregadas posteriormente, use o seguinte comando:
/sbin/service iptables save |
As regras são armazenadas no arquivo /etc/sysconfig/iptables e são aplicadas sempre que o serviço é iniciado, reiniciado ou quando a máquina é reinicializada.