Configurando um Roteador

Classes de IP's Públicos / Ip's Privados
1. A
  1. Primeiro Octeto
    1. 1-126
  2. Range
    1. 1.0.0.0 – 126.255.255.255
  3. IPs Privados
    1. 10.0.0.0 – 10.255.255.255
2. B
  1. Primeiro Octeto
    1. 128-191
  2. Range
    1. 128.0.0.0 – 191.255.255.255
  3. IPs Privados
    1. 172.16.0.0 – 172.31.255.255
3. C
  1. Primeiro Octeto
    1. 192-223
  2. Range
    1. 192.0.0.0 – 223.255.255.255
  3. IPs Privados
    1. 192.168.0.0 – 192.168.255.255
Habilitar roteamento
Anmerkungen:
- Para habilitar o roteamento entre redes dentro de um servidor Linux, os seguintes parâmetros devem ser habilitados:
1. IPv4
  1. /proc/sys/net/ipv4/ip_forward
    Anmerkungen:
    - (1)
2. IPv6
  1. /proc/sys/net/ipv6/conf/all/forwarding
    Anmerkungen:
    - (1)
Criar e grenciar rotas
Anmerkungen:
- Para rotas estáticas, é utilizado principalmente o comando “route”. Para rotas dinâmicas, utilizados em roteadores que lidam com muitas redes e conexões, são usados alguns serviços
1. # route -n
2. # route add -net 172.16.32.0/24 gw 192.168.1.100:80
3. #ip r
4. #netstat -r
5. Rotas dinâmicas
  1. routed
  2. gated
  3. quagga
  4. bird
6. #route add -net 192.168.1.0 netmask 255.255.255.0 dev eth1
7. #route add default gw 192.168.1.1
8. #route add -net 0.0.0.0 netmask 0.0.0.0 gw 192.168.1.1
9. Para remover; "del"
  Anmerkungen:
  - Utilize o del no lugar do add
Iptables
Anmerkungen:
- O iptables é a aplicação utilizada para gerenciar o recurso netfilter do kernel do Linux.
1. tabelas
  Anmerkungen:
  - Basicamente, ele é administrado através de 3 tabelas
  1. filter
    Anmerkungen:
    - Tabela padrão do iptables. Utilizada para criar filtros de pacotes, bloqueando e/ou liberando o tráfego.
  2. nat
    Anmerkungen:
    - Manipulação de pacotes que criam novas conexões, mudando endereços dos pacotes, origem, destino e etc.
  3. mangle
    Anmerkungen:
    - Regras para alterações nos pacotes
  4. security
    Anmerkungen:
    - essa tabela só está disponível nas distribuições do linux com o SELinux. Essa tabela é utilizada para filtrar pacotes de rede usando regras MAC.Essa tabela é utilizada com a tabela filter.As regras dessa tabela são aplicadas depois q as regras da tabela filter são aplicadas.
  5. raw
    Anmerkungen:
    - A tabela RAW é usada para excluir determinados pacotes de rede de algo chamado "rastreamento de conexão".
2. chains (cadeias)
  Anmerkungen:
  - Essas tabelas são utilizadas para administrar regras nas seguintes chains:
  1. OUTPUT
    Anmerkungen:
    - Pacotes saindo do host local
  2. FORWARD
    Anmerkungen:
    - Pacotes sendo encaminhados entre redes dentro de um host
  3. PREROUTING
    Anmerkungen:
    - Pacotes antes de se decidir o roteamento
  4. POSTROUTING
    Anmerkungen:
    - Pacotes sendo enviados a uma rede remota após o forward
  5. INPUT
    Anmerkungen:
    - Pacotes com destino ao host local
3. Principais opções
  1. -A
    Anmerkungen:
    - Adicionar regra na chain
  2. -I
    Anmerkungen:
    - Inserir regra em uma posição específica da chain
  3. -R
    Anmerkungen:
    - Substituir regra na chain
  4. -D
    Anmerkungen:
    - Apagar chain
  5. -P
    Anmerkungen:
    - Definir política padrão para uma chain
  6. -L
    Anmerkungen:
    - Listar as regras de uma chain
  7. -F
    Anmerkungen:
    - Apagar todas as regras de uma chain
  8. -X
    Anmerkungen:
    - Apagar chain vazia
  9. -Z
    Anmerkungen:
    - zerar os contadores de pacotes em todas as regras de uma chain
  10. -N
    Anmerkungen:
    - Cria uma chain personalizada
4. Criação das Regras
  1. -s endereço (--source)
    Anmerkungen:
    - IP ou Rede Origem do pacote
    1. -d endereço (--destination)
      Anmerkungen:
      - IP ou Rede Destino do pacote
      1. -p protocolo (--protocol)
        Anmerkungen:
        Define o protocolo: tcp, udp, icmp ou all
        -i interface (--in-interface)
        Anmerkungen:
        Interface de Entrada
        -o interface (--out-interface)
        Anmerkungen:
        Interface de Saída
        -j ação (--jump)
        Anmerkungen:
        Ação para o pacote. Mais comuns ACCEPT, DROP, REJECT
  2. -t --table
    Anmerkungen:
    - se nenhuma for assumida a default é a tabela filter
  3. -m --match
    Anmerkungen:
    - Usa módulo estendido "módulo". Há muitos tipos de módulos de controle adicionais e opções extras para cada um deles. Um muito usado é o state , cuja opção --state estado possíveis valores para estado são INVALID (o estado n pode ser determinado). ESTABLISHED (o pacote pertence a uma conexão ativa) . NEW (indicando que o pacote inicia nova conexão) e RELATED (O pacote inicia outra conexão porém relacionada a uma conexão existente).
5. NAT
  Anmerkungen:
  - NAT (Network Address Translation) O iptables pode ser utilizado para criar regras que alteram a origem ou destino dos pacotes, o que é chamado de nat. A alteração da origem é normalmente feita para permitir que uma rede local/privada tenha acesso à Internet.
  1. Exemplos
    1. # iptables -t nat -A POSTROUTING -s 172.16.32.0/24 -o eth1 -j SNAT --to-source 200.201.202.203
    2. # iptables -t nat -A POSTROUTING -s 172.16.32.0/24 -o eth1 -j MASQUERADE
    3. redirecionamento de portas
      1. # iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.50:8080
      2. # iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
    4. #iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.2.2:80
    5. #iptables -t nat -A PREROUTING -p tcp --dport 2200 -j DNAT --to-destination 192.168.2.2:22
    6. #iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
    7. #iptables -I 5 INPUT -s 10.140.40.2 -j DROP
    8. #iptables -D INPUT 5
6. Salvando e restaurando
  Anmerkungen:
  - Salvando e Restaurando Regras do Iptables
  1. iptables-save
    Anmerkungen:
    - Cria uma saída com as atuais regras de firewall, possibilitando que sejam salvos em arquivo. # iptables-save > /etc/iptables.conf
  2. iptables-restore
    Anmerkungen:
    - iptables-restore : A partir de um arquivo, gerado pelo iptables-save, faz um restore das regras. # iptables-restore < /etc/iptables.conf
7. IPv6
  Anmerkungen:
  - Para o gerenciamento das regras em pacotes IPv6 são utilizados os seguintes comandos:
  1. ip6tables
  2. ip6tables-save
  3. ip6tables-restore
8. Bloqueando ataques
  Anmerkungen:
  - Além de criar redirecionamentos, é possível utilizar o iptables para bloquear transmissões utilizando o mesmo modelo de regras. Para criar regras de bloqueio, é utilizada a tabela filter.
  1. #iptables -t filter -F
    Anmerkungen:
    - Apagando todas as regras da tabela filter
  2. #iptables -t filter -A INPUT -i lo -j ACCEPT
    Anmerkungen:
    - Liberar todos os pacotes gerados localmente
  3. #iptables -t filter -A INPUT -m state ESTABLISHED,RELATED -j ACCEPT
    Anmerkungen:
    - Liberar para entrada pela interface eth0 apenas pacotes pertencentes(established, related ) a uma conexão existente.
  4. #iptables -t filter -p INPUT DROP
    Anmerkungen:
    - Descarta todos os pacotes na chain INPUT da tabela filter
  5. #iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    Anmerkungen:
    - Liberar acesso externo a porta 80 http
  6. #iptables -A INPUT -p tcp --dport 22 -j ACCEPT
  7. Denial of service (DoS) attacks
    1. Prevention
      1. /proc/sys/net/ipv4 (sysctl)
        /proc/sys/net/ipv4/tcp_max_orphans
        /proc/sys/net/ipv4/tcp_max_tw_buckets
9. POLICY - (Ação)
  1. ACCEPT
  2. DROP
  3. QUEUE
  4. REJECT
  5. SNAT
  6. DNAT
  7. MASQUERADE
  8. REDIRECT
10. tabelas
11. cadeias
12. politicas
13. regras
14. DELETE RULES
  1. #iptables -L INPUT --line-number
    1. #iptables -D INPUT 14
IPv6
1. Unicast
  Anmerkungen:
  - Unicast identifica uma única interface de rede.
2. Anycast
  Anmerkungen:
  - Identifica um conjunto de interfaces. Serão encaminhados nas interfaces mais próximas.
3. Multicast
  Anmerkungen:
  - Identifica um conjunto de interfaces, serão encaminhados à todas as interfaces de rede do conjunto

Medienanhänge

Iptables (binary/octet-stream)

Nächster

Configurando um Roteador

Beschreibung

Zusammenfassung der Ressource

Medienanhänge

ähnlicher Inhalt

	Erstellt von Luiz Eduardo vor mehr als 5 Jahre