Especificações alvo Iptables no Linux

Para a tabela de filtro, os alvos mais utilizados para as regras de firewall é DROP e ACCEPT. Se uma regra corresponde às especificações da filtragem e tem um destino de soltar, o pacote será simplesmente descartado. Se um pacote coincide com uma regra com um destino de soltar, o kernel Linux irá descartar o pacote sem consultar outras regras no firewall. Se o destino é aceitar, então o pacote é aceito sem nova consulta de regras de firewall de outros.
Uma alternativa para DROP é o alvo REJECT, que descarta o pacote, mas envia um pacote ICMP para o IP de origem do pacote. Por padrão, o alvo REJECT enviará uma porta ICMP 'inacessível' mensagem para o remetente, mas que pode ser substituído pelo "- recusar-com" interruptor.
O alvo em uma regra iptables também pode ser usado para transmitir um pacote para uma cadeia definida pelo usuário. Por exemplo, se criarmos uma nova cadeia como "iptables-N SSH", precisamos dizer ao kernel que olhar para essa cadeia produtiva para todas as conexões TCP na porta 22 como este:

Outro alvo é útil LOG, que pode ser usado para registar os pacotes que combinam com uma especificação de filtragem no log do kernel, o que pode ser lido com dmesg ou syslogd. LOG opções de destino são:

 

• - log-level nível: o nível de log pode ser um nome ou um número. Os nomes válidos são debug, info, aviso, advertência, err, crit, alerta e emergência com os números correspondentes 7-0.
• - log-prefix prefixo: prefixo de log é seguido por uma seqüência de até 29 caracteres, colocado no início da mensagem de log.
• - log-tcp-sequence: Registra os números de seqüência TCP.
• - log-tcp-options: Registra o campo de opção de cabeçalhos de pacotes TCP.
• - log-ip-options: Registra o campo de opção dos cabeçalhos de pacotes IP.
• - log-uid: Registra o ID do processo que gerou o pacote.

 

O alvo LOG não é um alvo que encerra como ACCEPT, DROP e REJECT. Isto significa que se um pacote corresponde a uma regra que tem o alvo LOG, o kernel olha para cima das regras que se seguem também para corresponder a esse pacote. Um jogo-limite para as regras com objectivos LOG seria uma boa idéia para evitar inundações arquivos de log.

Como exemplo, criamos mais cedo da cadeia SSH e pacotes passou entrando na porta 22/tcp. Agora, queremos aceitar receber conexões SSH 192.168.0.0/27 e 10.10.15.0/24, por exemplo, e registrar todas as outras tentativas, mas vamos limitar o registo para 5 / s, porque, no caso de uma inundação de SYN porta 22/tcp, os logs encheria rapidamente.

Primeiro, vamos adicionar as regras para a cadeia de SSH para permitir conexões a partir de hosts confiáveis:

Em seguida, vamos adicionar a regra de log:

Em seguida, solte todas as outras conexões:

Temos de verificar a configuração, e vamos usar o iptables-L-n para isso. Vamos ver na cadeia INPUT:

E vamos ver a cadeia SSH:

Para testar a cadeia SSH vamos tentar telnet porta 22 de um host não autorizado. Usando o iptables-L-n-v, veremos que o pacote combinado de LOG e DROP regras:

Agora, se você olhar para os registros usando o comando dmesg, você vai ver:

que nos diz que tentou ligar 192.168.168.168 na porta 22 TCP.

---

Isenção de responsabilidade:O nosso site não se responsabiliza pelo conteúdo deste artigo. Webarticles é uma fonte de informação livre.
Importante: Este artigo "Especificações Iptables Target em Linux" foi traduzida por um software automático. Nós sentimos muito por quaisquer erros de ortografia que pode ter ocorrido. Obrigado pela sua compreensão.

---