sexta-feira, setembro 22, 2017
Home » Linux » iptables » Comandos Iptables

Comandos Iptables

Boa tarde Leitores, apenas para fins de consulta, segue uma breve lista de comandos iptables para quem tá começando a “brincar” com firewall no Pinguim.

Comandos básicos

Criar regra:

iptables –A
iptables –-append

Criar uma regra em determinada “linha” de prioridade:

iptables –I [linha] iptables -–insert [linha]

Deletando uma regra:

iptables –D [Regra] iptables –-delete [Regra]

Substituindo uma regra:

iptables -R [regra] iptables –-replace [Regra]

Listando Regras:

iptables –L
iptables –-list
iptables –L OUTPUT
iptables –t nat –L

Removendo todas as regras:

iptables –F
iptables -–flush
iptables –F INPUT
iptables –t nat –F

Zerar contadores:

iptables –Z
iptables –-zero
iptables –Z INPUT

Criar nova CHAIN

iptables –N NOVACHAIN
iptables –-new-chain NOVACHAIN
iptables –t nat –N novachain

Renomeando CHAINS

iptables –E ANTIGACHAIN NOVACHAIN
iptables –-rename-chain ANTIGACHAIN NOVACHAIN

Deletando CHAINS

iptables –X NOMEDACHAIN
iptables -–delete-chain NOMEDACHAIN

vale ressaltar que para apagar a chain, nenhuma regra deve estar sendo utilizada, portando, antes de apagar rode um

iptables –F NOMEDACHAIN

Regras padrão:

iptables –P
iptables –-policy

Ajuda do Iptables

iptables –h
iptables –-help

 

Opções do Iptables

Modo detalhado

-v
–verbose
funciona com –A, –D, –X, –I e –R

Modo detalhado em bytes

-x
–xact

Mostrar Números em vez de nomes no  -L

-n
–numeric

Contar linhas no  -L

–line-number

carregar módulos específicos

–modprobe=[comando]

setar contadadores

-c
–set-counters

 

Parâmetros genéricos do Iptables

Arquivo com a numeração dos protocolos fica em /etc/protocols, pra vê-lo:

cat /etc/protocols

especificar protocolo:

-p
–protocol

Especificar a origem do pacote:

-s
–src
–source

Especificar destino do pacote:

-d
–dst
–destination

specificar interface de entrada:

-i
–in
–interface

Especificar interface de saida:

-o
–out-interface

Especificar ação (Aceitar, negar, etc)

-j
–jump

Tipo de Ação (Argumentos que vêm depois do –-jump:

ACCEPT (aceita a regra)
DROP (descarta o pacote sem avisar o host remetente)
REJECT (descarta o pacote e por padrão, retorna para o host o erro port-unreacheble).
RETURN (retorna o processo para a chain anterior)
LOG (registra eventos no log, por padrão, em /var/log/messeges

Especificando porta de origem:

–sport
–source-port

Especificando porta de destino:

–dport
–destination-port

O arquivo com nome dos serviços, por padrão estão em /etc/services

cat /etc/services

 

Exemplos de comandos

Dropando todos os acessos:

iptables –P INPUT DROP
iptables –P FORWARD DROP
iptables –P OUTPUT DROP

gravando em Log um ip e em seguida bloqueando

iptables –A OUTPUT –d 220.220.x.y –j LOG
iptables –A OUTPUT –d 220.220.x.t –j REJECT

liberando todos os pacotes de uma rede local para entrar, passar pelo kernel e sair pela interface eth1

iptables –A INPUT –s 192.168.1.0/24 –i etj1 –j ACCEPT
iptables –A FORWARD –d 192.168.1.0/24 –j ACCEPT
iptables –A OUTPUT –d 192.168.1.0/24 –o eth1 –j ACCEPT

Aceitando de qualquer origem tcp em portas abaixo de 3000:

iptables –A INPUT –p tcp –-sport ! 3000:65535 –j ACCEPT

*Lembre-se: o ! significa exceto e poderiamos retirar o  65535 e deixar apenas 3000:, que o iptables assume que o : sem nada na frete seria até o fim das portas.

Liberando apenas a porta udp 53:

iptables –A INPUT –p udp –sport !53 –j REJECT

 

Fico por aqui e até a próxima.

Sobre Diego Duarte

Diego Duarte Atua como coordenador de NOC, toca um violãozinho nas horas vagas e tenta eternamente entender o que o fez escolher TI

Veja também!

Usando o Wunderlist no Linux com WunderlistUX

Um dos programas que uso diariamente e não queria abrir mão é o Wunderlist. Estou habituado com simplicidade e já o tenho sincronizado em todos os devices que uso. Como a versão para Windows 7 não está mais disponível no site oficial para Download (iria emular via Wine), me restaram duas opções: Usar a versão WEB ou procurar um software openSource que use a API deste prático gerenciado de tarefas.

8 comentários

  1. Para se especificar uma tabela usamos o -t nometebela.
    Supondo que estejamos falando de NAT, logo, fariamos:
    iptables -t nat -A (criar regra) POSTROUTING …

    No exemplo acima usamos a tabela nat pois é a unica que contem POSTROUTING. caso nao especificarmos, seria usada a tabela filter, e geraria um erro

  2. jonatas

    Me fala quais são os 4 comandos importantes no iptables na configuração dele.

Este artigo lhe foi útil? comente e ajude outros acrescentando seu ponto de vista!