IPTABLES

[netadmin]

Incremente o iptables com patch-o-matic

Todos já sabemos o que o iptables é, para os que não sabem, o iptables é um firewall nativo do kernel do Linux da versão 2.4. Nas versões anteriores a 2.2 era usado o ipchains. Com o iptables é possível criar varias regras de conexão e com isso ter um firewall muito seguro.

O que esse artigo vai sugerir é a aplicação do patch-o-matic, que adiciona mais algumas opções que podem ser muito úteis para o bom andamento da rede.

Download e compilações

Vamos usar a última versão stable do iptables e do patch-o-matic.

iptables: http://www.netfilter.org/files/iptables-1.2.11.tar.bz2

patch-o-matic: http://www.netfilter.org/files/patch-o-mat...0040621.tar.bz2

Compilação

Vamos agora partir para a compilação, vou fazer aqui a maneira mais ideal e a que é descrita e também o default, ou seja, vai ser assim mesmo. :-)

Vamos descompactar e copiar o diretório iptables para o /usr/src:

$ tar jxvf iptables-1.2.11.tar.bz2

$ su

# cp iptables-1.2.11 /usr/src/iptables

Agora vamos descompactar e executar o pom (vou me referir ao patch-o-matic como pom):

$ tar jxvf patch-o-matic-ng-20040621.tar.bz2

$ cd patch-o-matic-ng-20040621

Existem vários argumentos para rodar o "runme" do pom, mas vou usar o extra para que possamos aplicar o patch psd e o string. O psd para poder bloquear portscan e o string para bloquear algumas strings na conexão, por exemplo, poderemos bloquear o MSN.

Isso esta sendo rodado dentro do diretório do pom:

# ./runme extra

Ele vai executar um script que vai perguntar onde está o source do kernel e depois onde está o source do iptables, ambos em /usr/src.

Quando aparecer o nome psd, aperte y e depois o enter, faça o mesmo quando aparecer o patch string. Após isso faça o seguinte.

# cd /usr/src/iptables

# make

# make install

Após instalar o iptables, recompile seu kernel indo na opção do IP: Netfilter Configuration ---> e configurando, colocando built-in o psd e o string.

Após isso, recompile, configure o boot e reinicie.

Vamos às regras.

Criando as regras

Você pode criar as regras colocando-as num arquivo para iniciar sempre que quiser ou sempre que a máquina der boot. Fica à sua escolha. Nossa primeira regra vai ser para bloquear o MSN, usando string:

# Bloqueando o MSN

iptables -A INPUT -p tcp -m string --string "x-msn-messenger" -j DROP

Assim ele vai bloquear todo pacote que contenha essa string e que esteja chegando.

Agora para bloquear portscan pode ser usando psd, aconselho dar uma lida nas documentações do netfilter e do pom para obter um resultado mais interessante.

:. Conclusões

Um simples artigo de como aplicar um patch no iptables para aumentar algumas opções na hora de criar as regras para o firewall ficar mais eficaz.

Aqui abordamos apenas como aplicar o patch, em seguida vamos aprender a usar o iptables, assim espero.

Qualquer erro ou dúvida, mande um comentário aí que a gente dá um jeito de responder o mais rápido possível.

URLs recomendadas:

http://www.netfilter.org

http://www.kernel.org

[pedroh]

Netadmin, NOTA 10 isso ai!

Parabens pela dica!

[netadmin]

beleza pedroh espero que tenha ajudado hehehe