Comandos Iptables

Publicado em: 14/07/2011

3K views

Boa tarde Leitores, apenas para fins de consulta, segue uma breve lista de comandos iptables para quem tá começando a “brincar” com firewall no Pinguim.

Comandos básicos

Criar regra:

iptables –A
iptables –-append

Criar uma regra em determinada “linha” de prioridade:

iptables –I [linha] iptables -–insert [linha]

Deletando uma regra:

iptables –D [Regra] iptables –-delete [Regra]

[ads1] Substituindo uma regra:

iptables -R [regra] iptables –-replace [Regra]

Listando Regras:

iptables –L
iptables –-list
iptables –L OUTPUT
iptables –t nat –L

Removendo todas as regras:

iptables –F
iptables -–flush
iptables –F INPUT
iptables –t nat –F

Zerar contadores:

iptables –Z
iptables –-zero
iptables –Z INPUT

Criar nova CHAIN

iptables –N NOVACHAIN
iptables –-new-chain NOVACHAIN
iptables –t nat –N novachain

Renomeando CHAINS

iptables –E ANTIGACHAIN NOVACHAIN
iptables –-rename-chain ANTIGACHAIN NOVACHAIN

Deletando CHAINS

iptables –X NOMEDACHAIN
iptables -–delete-chain NOMEDACHAIN

vale ressaltar que para apagar a chain, nenhuma regra deve estar sendo utilizada, portando, antes de apagar rode um

iptables –F NOMEDACHAIN

Regras padrão:

iptables –P
iptables –-policy

Ajuda do Iptables

iptables –h
iptables –-help

Opções do Iptables

Modo detalhado

-v
–verbose
funciona com –A, –D, –X, –I e –R

Modo detalhado em bytes

-x
–xact

Mostrar Números em vez de nomes no -L

-n
–numeric

Contar linhas no -L

–line-number

carregar módulos específicos

–modprobe=[comando]

setar contadadores

-c
–set-counters

Parâmetros genéricos do Iptables

Arquivo com a numeração dos protocolos fica em /etc/protocols, pra vê-lo:

cat /etc/protocols

especificar protocolo:

-p
–protocol

Especificar a origem do pacote:

-s
–src
–source

Especificar destino do pacote:

-d
–dst
–destination

specificar interface de entrada:

-i
–in
–interface

Especificar interface de saida:

-o
–out-interface

Especificar ação (Aceitar, negar, etc)

-j
–jump

[ads1] Tipo de Ação (Argumentos que vêm depois do –-jump:

ACCEPT (aceita a regra)
DROP (descarta o pacote sem avisar o host remetente)
REJECT (descarta o pacote e por padrão, retorna para o host o erro port-unreacheble).
RETURN (retorna o processo para a chain anterior)
LOG (registra eventos no log, por padrão, em /var/log/messeges

Especificando porta de origem:

–sport
–source-port

Especificando porta de destino:

–dport
–destination-port

O arquivo com nome dos serviços, por padrão estão em /etc/services

cat /etc/services

Exemplos de comandos

Dropando todos os acessos:

iptables –P INPUT DROP
iptables –P FORWARD DROP
iptables –P OUTPUT DROP

gravando em Log um ip e em seguida bloqueando

iptables –A OUTPUT –d 220.220.x.y –j LOG
iptables –A OUTPUT –d 220.220.x.t –j REJECT

liberando todos os pacotes de uma rede local para entrar, passar pelo kernel e sair pela interface eth1

iptables –A INPUT –s 192.168.1.0/24 –i etj1 –j ACCEPT
iptables –A FORWARD –d 192.168.1.0/24 –j ACCEPT
iptables –A OUTPUT –d 192.168.1.0/24 –o eth1 –j ACCEPT

Aceitando de qualquer origem tcp em portas abaixo de 3000:

iptables –A INPUT –p tcp –-sport ! 3000:65535 –j ACCEPT

*Lembre-se: o ! significa exceto e poderiamos retirar o 65535 e deixar apenas 3000:, que o iptables assume que o : sem nada na frete seria até o fim das portas.
Liberando apenas a porta udp 53:

iptables –A INPUT –p udp –sport !53 –j REJECT

Fico por aqui e até a próxima.