Entendendo cadeias do iptables
+------------+ +---------+ +-------------+
Packet -| PREROUTING |--- routing-----| FORWARD |-------+-------| POSTROUTING |- Packets
input +------------+ decision +--------+ | +-------------+ out
| |
+-------+ +--------+
| INPUT |---- Local process -| OUTPUT |
+-------+ +--------+
OUTPUT - Para pacotes originados e depois saindo do fw, processos locais.
INPUT - Qualquer pacote chegando ao fw, processos locais.
FORWARD - Para pacotes sendo roteados através do seu computador; por exemplo, quando um pacote entra por uma interface de rede e sai por outra. Basicamente a mesma estrutura que temos em todas as redes. Duas eth uma para internet e outra para a rede local.
NEW - O pacote está tentando estabelecer uma nova conexão; por exemplo, quando você abre o navegador e este solicita uma uma página web, na verdade ele está tentando criar uma nova conexão com o servidor web onde a página está hospedada.
Outras tabelas do iptables
NAT - Utilizada quando há tradução de endereços (NAT). Exemplo: passagem de dados de uma rede privada para a Internet ou vice-versa. Possui as cadeias PREROUTING, OUTPUT e POSTROUTING.
PREROUTING - Antes de entrar no fw "roteador", fazendo uma manipulação, como um redirecionamento.
POSTROUTING - Utilizado quando se há necessidade de fazer modificação do pacotes depois de ser roteado
MANGLE - Basicamente trabalha com marcação de pacotes e QoS.
EstadosNEW - O pacote está tentando estabelecer uma nova conexão; por exemplo, quando você abre o navegador e este solicita uma uma página web, na verdade ele está tentando criar uma nova conexão com o servidor web onde a página está hospedada.
ESTABLISHED - Um conexão já foi estabelecida pela troca inicial e consensual, de pacotes de estabelecimento de conexão, entre as duas partes; por exemplo, a requisição da página e o código HTML retornado ao navegador.
RELATED - Um pacote que está iniciando uma nova conexão mas é relacionado a uma conexão existente. Um bom exemplo é o download de arquivos sobre o protocolo FTP.Quando você se conecta a um servidor FTP, você está criando uma nova conexão com a porta FTP do servidor remoto.
No entanto, quando você faz o download de um arquivo do servidor FTP utilizando essa conexão, uma segunda conexão é estabelecida entre o seu computador e o servidor para o download específico desse arquivo.
Apesar de ser uma nova conexão, essa está relacionada com a primeira já que sua finalidade á apenas o download do arquivo. Este estilo de filtragem com controle de estado é útil já que essa nova conexão não
utiliza as portas FTP padrão e regras baseadas em portas não são apropriadas nesses casos.
No entanto, quando você faz o download de um arquivo do servidor FTP utilizando essa conexão, uma segunda conexão é estabelecida entre o seu computador e o servidor para o download específico desse arquivo.
Apesar de ser uma nova conexão, essa está relacionada com a primeira já que sua finalidade á apenas o download do arquivo. Este estilo de filtragem com controle de estado é útil já que essa nova conexão não
utiliza as portas FTP padrão e regras baseadas em portas não são apropriadas nesses casos.
INVALID - Um pacote não estabelece conexão e nem está associado a uma conexão conhecida. Este tipo de pacote deve ser descartado.
Serve mais para uma consulta, assim que eu tiver mais vontade vou melhorando o post.
Serve mais para uma consulta, assim que eu tiver mais vontade vou melhorando o post.
Marcos Carraro
Nenhum comentário:
Postar um comentário