ct

    Incremente o iptables com patch-o-matic

    Artigos

    Todos já sabemos o que o iptables é um firewall nativo do kernel do Linux da versão 2.4. O que esse artigo vai sugerir é a aplicação do patch-o-matic, que adiciona mais algumas opções que podem ser muito úteis para o bom andamento da rede.Thiago Alves
    24/10/2004


    Todos já sabemos o que o iptables é, para os que não sabem, o iptables é um firewall nativo do kernel do Linux da versão 2.4. Nas versões anteriores a 2.2 era usado o ipchains. Com o iptables é possível criar varias regras de conexão e com isso ter um firewall muito seguro.

    O que esse artigo vai sugerir é a aplicação do patch-o-matic, que adiciona mais algumas opções que podem ser muito úteis para o bom andamento da rede.


    Download e compilações

    Vamos usar a última versão stable do iptables e do patch-o-matic.

    iptables: http://www.netfilter.org/files/iptables-1.2.11.tar.bz2
    patch-o-matic: http://www.netfilter.org/files/patch-o-matic-ng-20040621.tar.bz2


    Compilação

    Vamos agora partir para a compilação, vou fazer aqui a maneira mais ideal e a que é descrita e também o default, ou seja, vai ser assim mesmo. :-)

    Vamos descompactar e copiar o diretório iptables para o /usr/src:

    $ tar jxvf iptables-1.2.11.tar.bz2
    $ su
    # cp iptables-1.2.11 /usr/src/iptables

    Agora vamos descompactar e executar o pom (vou me referir ao patch-o-matic como pom):

    $ tar jxvf patch-o-matic-ng-20040621.tar.bz2
    $ cd patch-o-matic-ng-20040621

    Existem vários argumentos para rodar o "runme" do pom, mas vou usar o extra para que possamos aplicar o patch psd e o string. O psd para poder bloquear portscan e o string para bloquear algumas strings na conexão, por exemplo, poderemos bloquear o MSN.

    Isso esta sendo rodado dentro do diretório do pom:

    # ./runme extra

    Ele vai executar um script que vai perguntar onde está o source do kernel e depois onde está o source do iptables, ambos em /usr/src.

    Quando aparecer o nome psd, aperte y e depois o enter, faça o mesmo quando aparecer o patch string. Após isso faça o seguinte.

    # cd /usr/src/iptables
    # make
    # make install

    Após instalar o iptables, recompile seu kernel indo na opção do IP: Netfilter Configuration ---> e configurando, colocando built-in o psd e o string.

    Após isso, recompile, configure o boot e reinicie.

    Vamos às regras.


    Criando as regras

    Você pode criar as regras colocando-as num arquivo para iniciar sempre que quiser ou sempre que a máquina der boot. Fica à sua escolha. Nossa primeira regra vai ser para bloquear o MSN, usando string:
    # Bloqueando o MSN
    iptables -A INPUT -p tcp -m string --string "x-msn-messenger" -j DROP

    Assim ele vai bloquear todo pacote que contenha essa string e que esteja chegando.

    Agora para bloquear portscan pode ser usando psd, aconselho dar uma lida nas documentações do netfilter e do pom para obter um resultado mais interessante.


    Conclusões

    Um simples artigo de como aplicar um patch no iptables para aumentar algumas opções na hora de criar as regras para o firewall ficar mais eficaz.

    Aqui abordamos apenas como aplicar o patch, em seguida vamos aprender a usar o iptables, assim espero.

    Qualquer erro ou dúvida, mande um comentário aí que a gente dá um jeito de responder o mais rápido possível.

    URLs recomendadas:

    http://www.netfilter.org
    http://www.kernel.org

    Agradecimentos:
    • kleber: que deu a idéia de atualizar o iptables com o patch-o-matic;
    • indiox e gsoares, que ajudaram com algumas dúvidas que tive a respeito do iptables;
    • pessoal do trampo, que nem ficou atrapalhando enquanto eu escrevia esse artigo.



    Blog:

    Add to Google

    » Gostou do texto? Veja nossos livros impressos:
    Hardware | Redes | Servidores | Kurumin 7

    ... ou encontre o que procura usando a busca:

cb
Livros de Carlos E. Morimoto HOME