Menu Topo

Ligações para:

1. Inserir: Inserir novas regras em modo avançado(Figura );
2. Apagar: Apagar regras já inseridas pelo administrador de rede;
3. Ordenar: Interface de ordenamento de todas as regras presentes na firewall (Figura ). Esta opção é particularmente importante quando são criadas novas regras. Isto porque as primeiras regras que a firewall faz matching são as que vão ser utilizadas. Face a isto é importante as regras mais específicas estarem posicionadas no topo e as mais geralizadas em baixo.

A inserção de novas regras pode ser de três tipos, a saber:

• Regra DNAT: Permite redireccionar o tráfego que chega a um determinado porto para um outro porto/máquina pertencente à rede interna;
• Restrição de uma máquina IP: Permite negar o acesso a um porto de determinada máquina na rede.
• Configuração geral: Aqui é possível adicionar uma nova regra totalmente personalizada. Os campos são os seguintes:
  • Regra:

    INPUT: São os dados recebidos pela firewall e destinados à 
           interface que os recebe, independentemente da 
           origem destes;
    OUTPUT: Dados enviados pela firewall;
    FORWARD: Permite a passagem de tráfego de uma interface 
             para outra;
    PREROUTING: Utilizado para alterar os pacotes IP que estão
                a chegar à máquina, antes da decisão de routing;
    POSTROUTING: Utilizado para alterar os pacotes IP que estão
                 a sair da máquina, após a decisão de routing;
    

  • Interface: Deve escolher a qual interface deseja aplicar a regra;
  • Protocolo: Protocolo(s) ao(s) qual(ais) deseja aplicar a regra;
  • Módulo: Mostra a listagem de módulos iptables disponíveis para utilização;
  • Ip Origem: Endereço ip de origem do pacote;
  • Porto Origem: Porto de origem do pacote;
  • Ip Destino: Endereço ip de destino do pacote;
  • Porto Destino: Porto de destino do pacote;
  • Identificador: Campo de 16 bits presente no pacote IP original sendo usado para identificação específica do tipo de pacote a filtrar. Exemplos: ! -syn, --state INVALID;
  • Política:

    ACEITAR: Para aceitar um pacote e deixá-lo passar as regras da 
             firewall;
    DESCARTAR: Não aceita o pacote, e este é eliminado;
    MARK: Permite guardar uma marca no pacote. Estas marcas podem
          depois ser utilizadas para tomadas de decisão ao nível
          do encaminhamento dos pacotes;
    LOG: Guarda um log de todos os pacotes que satisfaçam a regra.
    

    • No caso de uso da regra PREROUTING existem as seguintes políticas extra:

      REDIRECCIONAR: Utilizado para fazer o redireccionamento do
                     tráfego que chega a um porto para uma outro 
                     porto;
      
      DNAT: Permite redireccionar o tráfego que chega a um 
            determinado porto para uma outra máquina e porto
            pertencente à rede interna
      

    • No caso de uso da regra POSTROUTING existem as seguintes políticas extra:

      MASQUERADE: Permite modificar a origem do tráfego gerado num 
                  determinado ip:porto para o IP do interface de saída
                  desejado 
      
      SNAT: Permite modificar a origem do tráfego gerado numa 
            determinado ip:porto para um outro ip:porto
      
      TCPMSS: Permite mudar o campo MSS (segmento máximo dos
              pacotes) do cabeçalho TCP. Apenas pode ser utilizado
              para pacotes TCP SYN ou SYN/ACK uma vez que o MSS 
              apenas é negociado no início das conexções.
      

Figura: Rede - Firewall - Inserir

Figura: Rede - Firewall - Ordenar