segunda-feira, dezembro 17, 2018
Home » Linux » iptables » Comandos Iptables

Comandos Iptables

Boa tarde Leitores, apenas para fins de consulta, segue uma breve lista de comandos iptables para quem tá começando a “brincar” com firewall no Pinguim.

Comandos básicos

Criar regra:

iptables –A
iptables –-append
Criar uma regra em determinada “linha” de prioridade:
iptables –I [linha] iptables -–insert [linha]

Deletando uma regra:
iptables –D [Regra] iptables –-delete [Regra]
Substituindo uma regra:
iptables -R [regra] iptables –-replace [Regra]
Listando Regras:
iptables –L
iptables –-list
iptables –L OUTPUT
iptables –t nat –L
Removendo todas as regras:
iptables –F
iptables -–flush
iptables –F INPUT
iptables –t nat –F
Zerar contadores:
iptables –Z
iptables –-zero
iptables –Z INPUT
Criar nova CHAIN
iptables –N NOVACHAIN
iptables –-new-chain NOVACHAIN
iptables –t nat –N novachain
Renomeando CHAINS
iptables –E ANTIGACHAIN NOVACHAIN
iptables –-rename-chain ANTIGACHAIN NOVACHAIN
Deletando CHAINS
iptables –X NOMEDACHAIN
iptables -–delete-chain NOMEDACHAIN
vale ressaltar que para apagar a chain, nenhuma regra deve estar sendo utilizada, portando, antes de apagar rode um
iptables –F NOMEDACHAIN
Regras padrão:
iptables –P
iptables –-policy
Ajuda do Iptables
iptables –h
iptables –-help
 

Opções do Iptables

Modo detalhado

-v
–verbose
funciona com –A, –D, –X, –I e –R
Modo detalhado em bytes
-x
–xact
Mostrar Números em vez de nomes no  -L
-n
–numeric
Contar linhas no  -L
–line-number
carregar módulos específicos
–modprobe=[comando]
setar contadadores
-c
–set-counters
 

Parâmetros genéricos do Iptables

Arquivo com a numeração dos protocolos fica em /etc/protocols, pra vê-lo:

cat /etc/protocols
especificar protocolo:
-p
–protocol
Especificar a origem do pacote:
-s
–src
–source
Especificar destino do pacote:
-d
–dst
–destination
specificar interface de entrada:
-i
–in
–interface
Especificar interface de saida:
-o
–out-interface
Especificar ação (Aceitar, negar, etc)
-j
–jump
Tipo de Ação (Argumentos que vêm depois do –-jump:
ACCEPT (aceita a regra)
DROP (descarta o pacote sem avisar o host remetente)
REJECT (descarta o pacote e por padrão, retorna para o host o erro port-unreacheble).
RETURN (retorna o processo para a chain anterior)
LOG (registra eventos no log, por padrão, em /var/log/messeges
Especificando porta de origem:
–sport
–source-port
Especificando porta de destino:
–dport
–destination-port
O arquivo com nome dos serviços, por padrão estão em /etc/services
cat /etc/services
 

Exemplos de comandos

Dropando todos os acessos:

iptables –P INPUT DROP
iptables –P FORWARD DROP
iptables –P OUTPUT DROP
gravando em Log um ip e em seguida bloqueando
iptables –A OUTPUT –d 220.220.x.y –j LOG
iptables –A OUTPUT –d 220.220.x.t –j REJECT
liberando todos os pacotes de uma rede local para entrar, passar pelo kernel e sair pela interface eth1
iptables –A INPUT –s 192.168.1.0/24 –i etj1 –j ACCEPT
iptables –A FORWARD –d 192.168.1.0/24 –j ACCEPT
iptables –A OUTPUT –d 192.168.1.0/24 –o eth1 –j ACCEPT
Aceitando de qualquer origem tcp em portas abaixo de 3000:
iptables –A INPUT –p tcp –-sport ! 3000:65535 –j ACCEPT
*Lembre-se: o ! significa exceto e poderiamos retirar o  65535 e deixar apenas 3000:, que o iptables assume que o : sem nada na frete seria até o fim das portas.
Liberando apenas a porta udp 53:
iptables –A INPUT –p udp –sport !53 –j REJECT
 
Fico por aqui e até a próxima.

Sobre Diego Duarte

Diego Duarte atua como coordenador de suporte, é apaixonado por TI e arranha um violãozinho nos finais de semana

8 comentários

  1. Para se especificar uma tabela usamos o -t nometebela.
    Supondo que estejamos falando de NAT, logo, fariamos:
    iptables -t nat -A (criar regra) POSTROUTING …
    No exemplo acima usamos a tabela nat pois é a unica que contem POSTROUTING. caso nao especificarmos, seria usada a tabela filter, e geraria um erro

  2. jonatas

    Me fala quais são os 4 comandos importantes no iptables na configuração dele.

Gostou do conteúdo? Deixe seu comentário