{"id":6099,"date":"2018-07-31T16:26:04","date_gmt":"2018-07-31T19:26:04","guid":{"rendered":"http:\/\/wiki3.locaweb.com.br\/?post_type=ht_kb&#038;p=6099"},"modified":"2023-06-02T09:24:34","modified_gmt":"2023-06-02T12:24:34","slug":"configurando-iptables-cloud-server-pro","status":"publish","type":"ht_kb","link":"https:\/\/www.locaweb.com.br\/ajuda\/wiki\/configurando-iptables-cloud-server-pro\/","title":{"rendered":"Configurando IPTables &#8211; Cloud Server PRO"},"content":{"rendered":"    \t\t<div class=\"hts-messages hts-messages--alert  hts-messages--withtitle hts-messages--withicon \"   >\r\n    \t\t\t<span class=\"hts-messages__title\">Observa\u00e7\u00e3o<\/span>    \t\t\t    \t\t\t\t<p>\r\n    \t\t\t\t\tA Locaweb se isenta de qualquer responsabilidade pelas configura\u00e7\u00f5es realizadas e n\u00e3o presta qualquer tipo de suporte para esse procedimento que \u00e9 apenas uma sugest\u00e3o permitindo personaliza\u00e7\u00e3o conforme conhecimento.    \t\t\t\t<\/p>\r\n    \t\t\t    \t\t\t\r\n    \t\t<\/div><!-- \/.ht-shortcodes-messages -->\r\n    \t\t\n    \t\t<div class=\"hts-toggle  \"  >\r\n    \t\t\t<div class=\"hts-toggle__title\">Explica\u00e7\u00e3o Basica de par\u00e2metros<\/div>\r\n    \t\t\t<div class=\"hts-toggle__content\">\r\n    \t\t\t\t<div class=\"hts-toggle__contentwrap\">\r\n    \t\t\t\t\t<\/p>\n<p><strong>Tabelas e Chains<\/strong><\/p>\n<p><strong>PREROUTING <\/strong><\/p>\n<ul>\n<li>Quando os pacotes entram para sofrerem NAT.<\/li>\n<\/ul>\n<p><strong>POSTROUTING<\/strong><\/p>\n<ul>\n<li>Quando os pacotes est\u00e3o saindo ap\u00f3s sofrerem NAT<\/li>\n<\/ul>\n<p><strong>OUTPUT<\/strong><\/p>\n<ul>\n<li>Pacotes que s\u00e3o gerados na pr\u00f3pria m\u00e1quina e que sofrer\u00e3o NAT<\/li>\n<\/ul>\n<p><strong>INPUT<\/strong><\/p>\n<ul>\n<li>Pacotes cujo destino final \u00e9 a pr\u00f3pria m\u00e1quina firewall.<\/li>\n<\/ul>\n<p><strong>FORWARD<\/strong><\/p>\n<ul>\n<li>Pacote que atravessa a m\u00e1quina firewall, cujo destino \u00e9 uma outra m\u00e1quina. Este pacote n\u00e3o sai da m\u00e1quina firewall e sim de outra m\u00e1quina da rede ou fonte. Neste caso a m\u00e1quina firewall est\u00e1 repassando o pacote.<\/li>\n<\/ul>\n<p><strong>ACCEPT<\/strong><\/p>\n<ul>\n<li>Aceita e permite a passagem do pacote.<\/li>\n<\/ul>\n<p><strong>DROP<\/strong><\/p>\n<ul>\n<li>N\u00e3o permite a passagem do pacote e abandona-o n\u00e3o dando sinais de recebimento.<\/li>\n<\/ul>\n<p><strong>REJECT<\/strong><\/p>\n<ul>\n<li>Assim como o DROP, n\u00e3o permite a passagem do pacote, mas envia um aviso ( icmp unreachable )<\/li>\n<\/ul>\n<p><strong>LOG<\/strong><\/p>\n<ul>\n<li>Cria um Log referente a regra em \/var\/log\/messages<\/li>\n<\/ul>\n<p><strong>Op\u00e7\u00f5es das regras<\/strong>:<\/p>\n<ul>\n<li><strong>P &#8211;<\/strong> Define uma regra padr\u00e3o<\/li>\n<li><strong>A &#8211;\u00a0<\/strong> Acrescenta uma nova regra as existentes. Este tem prioridade sobre a -P<\/li>\n<li><strong>D &#8211;\u00a0<\/strong> Apaga-se uma regra<\/li>\n<li><strong>L &#8211;\u00a0<\/strong>Lista as regras existentes<\/li>\n<li><strong>F &#8211;\u00a0<\/strong> Apaga todas as regras<\/li>\n<li><strong>I &#8211;\u00a0<\/strong> Insere uma regra nova<\/li>\n<li><strong>h &#8211;\u00a0<\/strong> Muito \u00fatil, pois mostra a ajuda<\/li>\n<li><strong>R &#8211;\u00a0<\/strong> Substitui uma regra<\/li>\n<li><strong>C &#8211;\u00a0<\/strong> Faz uma checagem das regras existentes<\/li>\n<li><strong>Z &#8211;\u00a0<\/strong> Zera uma regra espec\u00edfica<\/li>\n<li><strong>N &#8211;\u00a0<\/strong> Cria uma nova regra com um nome<\/li>\n<li><strong>X &#8211;<\/strong> Exclui uma regra espec\u00edfica pelo seu nome<\/li>\n<\/ul>\n<p>\n    \t\t\t\t<\/div>\r\n    \t\t\t<\/div><!-- \/ht-toggle-content -->\r\n    \t\t<\/div>\r\n    \t\t\n    \t\t<div class=\"hts-toggle  \"  >\r\n    \t\t\t<div class=\"hts-toggle__title\">Adicionando a porta no IPTABLES para origem e destino<\/div>\r\n    \t\t\t<div class=\"hts-toggle__content\">\r\n    \t\t\t\t<div class=\"hts-toggle__contentwrap\">\r\n    \t\t\t\t\t<\/p>\n<p>iptables -A INPUT -p tcp &#8211;dport (adicione aqui o n\u00famero da porta) -j ACCEPT<br \/>\niptables -A OUTPUT -p tcp &#8211;dport (adicione aqui o n\u00famero da porta) -j ACCEPT<\/p>\n<p>iptables -A INPUT -p tcp &#8211;sport (adicione aqui o n\u00famero da porta) -j ACCEPT<br \/>\niptables -A OUTPUT -p tcp &#8211;sport (adicione aqui o n\u00famero da porta) -j ACCEPT<\/p>\n<p>Para garantir coloque estas regras de forward caso a politica de seu firewall seja DROP.<\/p>\n<p>iptables -A FORWARD -p tcp &#8211;sport (adicione aqui o n\u00famero da porta) -j ACCEPT<br \/>\niptables -A FORWARD -p tcp &#8211;dport (adicione aqui o n\u00famero da porta) -j ACCEPT<\/p>\n<p>\n    \t\t\t\t<\/div>\r\n    \t\t\t<\/div><!-- \/ht-toggle-content -->\r\n    \t\t<\/div>\r\n    \t\t\n    \t\t<div class=\"hts-toggle  \"  >\r\n    \t\t\t<div class=\"hts-toggle__title\">Adicionando o IP no IPTABLES para origem e destino<\/div>\r\n    \t\t\t<div class=\"hts-toggle__content\">\r\n    \t\t\t\t<div class=\"hts-toggle__contentwrap\">\r\n    \t\t\t\t\t<\/p>\n<p>iptables -A INPUT -d (adicione aqui o IP) -j ACCEPT<br \/>\niptables -A OUTPUT -d (adicione aqui o IP) -j ACCEPT<\/p>\n<p>iptables -A INPUT -s (adicione aqui o IP) -j ACCEPT<br \/>\niptables -A OUTPUT -s (adicione aqui o IP) -j ACCEPT<\/p>\n<p>Para garantir coloque estas regras de forward caso a politica de seu firewall seja DROP.<\/p>\n<p>iptables -A FORWARD -p tcp &#8211;sport (adicione aqui o IP) -j ACCEPT<br \/>\niptables -A FORWARD -p tcp &#8211;dport (adicione aqui o IP) -j ACCEPT<\/p>\n<p><strong>Salvando as regras<\/strong><br \/>\nDepois das regras prontas podemos salv\u00e1-las com este comando:<br \/>\niptables-save &gt;<\/p>\n<p>Para recuper\u00e1-las use este comando:<br \/>\niptables-restore &gt;<\/p>\n<p><strong>Visualizandos as informa\u00e7\u00f5es<\/strong><br \/>\nPodemos ver todas as regras em andamento ao darmos o comando:<br \/>\n&#8220;iptables -L&#8221; ou &#8220;iptables -nL&#8221;<\/p>\n<p>\n    \t\t\t\t<\/div>\r\n    \t\t\t<\/div><!-- \/ht-toggle-content -->\r\n    \t\t<\/div>\r\n    \t\t\n    \t\t<div class=\"hts-toggle  \"  >\r\n    \t\t\t<div class=\"hts-toggle__title\">Com os comandos abaixo limpamos todas as tabelas e regras:<\/div>\r\n    \t\t\t<div class=\"hts-toggle__content\">\r\n    \t\t\t\t<div class=\"hts-toggle__contentwrap\">\r\n    \t\t\t\t\t<\/p>\n<ul>\n<li>iptables -F<\/li>\n<li>iptables -X<\/li>\n<li>iptables -t nat -F<\/li>\n<li>iptables -t nat -X<\/li>\n<\/ul>\n<p>\n    \t\t\t\t<\/div>\r\n    \t\t\t<\/div><!-- \/ht-toggle-content -->\r\n    \t\t<\/div>\r\n    \t\t\n    \t\t<div class=\"hts-toggle  \"  >\r\n    \t\t\t<div class=\"hts-toggle__title\">Com o comando abaixo deletamos uma regra:<\/div>\r\n    \t\t\t<div class=\"hts-toggle__content\">\r\n    \t\t\t\t<div class=\"hts-toggle__contentwrap\">\r\n    \t\t\t\t\t<\/p>\n<ul>\n<li>iptables -D OUTPUT -d 172.20.5.10 -j ACCEPT<\/li>\n<li>iptables -D FORWARD -s 10.0.0.1 -j DROP<\/li>\n<li>iptables -D FORWARD -d www.chat.com.br -j DROP<\/li>\n<\/ul>\n<p>\n    \t\t\t\t<\/div>\r\n    \t\t\t<\/div><!-- \/ht-toggle-content -->\r\n    \t\t<\/div>\r\n    \t\t\n    \t\t<div class=\"hts-toggle  \"  >\r\n    \t\t\t<div class=\"hts-toggle__title\">Regras mais ultilizadas do IPTABLES:<\/div>\r\n    \t\t\t<div class=\"hts-toggle__content\">\r\n    \t\t\t\t<div class=\"hts-toggle__contentwrap\">\r\n    \t\t\t\t\t<\/p>\n<p><span style=\"color: 00128;\"><b>Libera o apache pra web<\/b><\/span><\/p>\n<ul>\n<li>iptables -A INPUT -p tcp &#8211;destination-port 8080 -j ACCEPT<\/li>\n<li>iptables -A INPUT -p tcp &#8211;destination-port 1080 -j ACCEPT<\/li>\n<\/ul>\n<p><span style=\"color: 00128;\"><b>Libera todo o acesso a interface loopback<\/b><\/span><\/p>\n<ul>\n<li>iptables -t filter -A INPUT -j ACCEPT -i lo<\/li>\n<\/ul>\n<p><span style=\"color: 00128;\"><b>Bloqueando todos os endere\u00e7os vindo de uma determinada rede para a minha m\u00e1quina<\/b><\/span><\/p>\n<ul>\n<li>iptables -A INPUT -s 10.0.0.0\/8 -j DROP<\/li>\n<\/ul>\n<p><span style=\"color: 00128;\"><b>Liberando o endere\u00e7o vindo de uma rede para a minha m\u00e1quina<\/b><\/span><\/p>\n<ul>\n<li>iptables -A INPUT -s 10.0.0.1 -j ACCEPT<\/li>\n<\/ul>\n<p><span style=\"color: 00128;\"><b>Gerando Logs de Portas proibidas<\/b><\/span><\/p>\n<ul>\n<li>iptables -A INPUT -p tcp &#8211;dport 21 -j &#8211;log-prefix &#8220;Servi\u00e7o de FTP&#8221;<\/li>\n<li>iptables -A INPUT -p tcp -m tcp &#8211;dport 21 -j LOG &#8211;log-prefix &#8220;Porta do FTP &#8220;<\/li>\n<\/ul>\n<p><span style=\"color: 00128;\"><b>Gerando log de Backdoors<\/b><\/span><\/p>\n<ul>\n<li>iptables -A INPUT -p tcp &#8211;dport 5042 -j LOG -log-prefix &#8220;Wincrash&#8221;<\/li>\n<li>iptables -A INPUT -p tcp &#8211;dport 12345 -j LOG -log-prefix &#8220;backOrifice&#8221;<\/li>\n<li>iptables -A INPUT -p tcp &#8211;dport 12346 -j LOG -log-prefix &#8220;backOrifice&#8221;<\/li>\n<\/ul>\n<p><span style=\"color: 00128;\"><b>Habilitando porta de FTP<\/b><\/span><\/p>\n<ul>\n<li>iptables -A INPUT -p tcp -s 192.168.0.45 &#8211;dport 21 -j ACCEPT<\/li>\n<\/ul>\n<p><span style=\"color: 00128;\"><b>Habilitando porta de SSH<\/b><\/span><\/p>\n<ul>\n<li>iptables -A INPUT -p tcp -s 192.168.0.45 &#8211;dport 22 -j ACCEPT<\/li>\n<\/ul>\n<p><span style=\"color: 00128;\"><b>Habilitando porta de SMTP<\/b><\/span><\/p>\n<ul>\n<li>iptables -A INPUT -p tcp -s 192.168.0.45 &#8211;dport 587 ou 25 -j ACCEPT<\/li>\n<\/ul>\n<p><span style=\"color: 00128;\"><b>Habilitando porta de DNS<\/b><\/span><\/p>\n<ul>\n<li>iptables -A INPUT -p tcp -s 192.168.0.45 &#8211;dport 53 -j ACCEPT<\/li>\n<\/ul>\n<p><span style=\"color: 00128;\"><b>Habilitando porta de POP3<\/b><\/span><\/p>\n<ul>\n<li>iptables -A INPUT -p tcp -s 192.168.0.45 &#8211;dport 110 -j ACCEPT<\/li>\n<\/ul>\n<p><span style=\"color: 00128;\"><b>Habilitando porta de DNS (UDP)<\/b><\/span><\/p>\n<ul>\n<li>iptables -A INPUT -p udp -s 192.168.0.45 &#8211;source-port 53 -j ACCEPT<\/li>\n<\/ul>\n<p><span style=\"color: 00128;\"><b>Bloqueando todos os pacotes origin\u00e1rios da rede 10.0.0.0 para o host<\/b><\/span><\/p>\n<ul>\n<li>www.tccamargo.com iptables -A FORWARD -s 10.0.0.0\/8 -d www.tccamargo.com -j DROP<\/li>\n<\/ul>\n<p><span style=\"color: 00128;\"><b>Bloqueando uma m\u00e1quina pelo endere\u00e7o MAC<\/b><\/span><\/p>\n<ul>\n<li>iptables -A INPUT -m mac &#8211;mac-source XX:XX:XX:XX:XX:XX -j DROP<\/li>\n<\/ul>\n<p><span style=\"color: 00128;\"><b>Bloqueando ping de um ip<\/b><\/span><\/p>\n<ul>\n<li>iptables -A INPUT -p icmp -s 192.168.1.1\/24 -j DROP<\/li>\n<\/ul>\n<p>\n    \t\t\t\t<\/div>\r\n    \t\t\t<\/div><!-- \/ht-toggle-content -->\r\n    \t\t<\/div>\r\n    \t\t\n    \t\t<div class=\"hts-messages hts-messages--info  hts-messages--withtitle hts-messages--withicon \"   >\r\n    \t\t\t<span class=\"hts-messages__title\">Conhe\u00e7a!<\/span>    \t\t\t    \t\t\t\t<p>\r\n    \t\t\t\t\tAproveite e conhe\u00e7a outros produtos da Locaweb, como o E-mail Locaweb, <a href=\"https:\/\/www.locaweb.com.br\/solucoes-de-email\/email-locaweb\/\" target=\"_blank\" rel=\"noopener noreferrer\">clique aqui<\/a> e saiba mais!    \t\t\t\t<\/p>\r\n    \t\t\t    \t\t\t\r\n    \t\t<\/div><!-- \/.ht-shortcodes-messages -->\r\n    \t\t\n","protected":false},"excerpt":{"rendered":"","protected":false},"author":6,"comment_status":"closed","ping_status":"closed","template":"","format":"standard","meta":{"footnotes":""},"ht-kb-category":[106],"ht-kb-tag":[495],"class_list":["post-6099","ht_kb","type-ht_kb","status-publish","format-standard","hentry","ht_kb_category-cloud-server-pro","ht_kb_tag-categoriacloud-e-dedicados"],"_links":{"self":[{"href":"https:\/\/www.locaweb.com.br\/ajuda\/wp-json\/wp\/v2\/ht-kb\/6099","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.locaweb.com.br\/ajuda\/wp-json\/wp\/v2\/ht-kb"}],"about":[{"href":"https:\/\/www.locaweb.com.br\/ajuda\/wp-json\/wp\/v2\/types\/ht_kb"}],"author":[{"embeddable":true,"href":"https:\/\/www.locaweb.com.br\/ajuda\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/www.locaweb.com.br\/ajuda\/wp-json\/wp\/v2\/comments?post=6099"}],"version-history":[{"count":5,"href":"https:\/\/www.locaweb.com.br\/ajuda\/wp-json\/wp\/v2\/ht-kb\/6099\/revisions"}],"predecessor-version":[{"id":31683,"href":"https:\/\/www.locaweb.com.br\/ajuda\/wp-json\/wp\/v2\/ht-kb\/6099\/revisions\/31683"}],"wp:attachment":[{"href":"https:\/\/www.locaweb.com.br\/ajuda\/wp-json\/wp\/v2\/media?parent=6099"}],"wp:term":[{"taxonomy":"ht_kb_category","embeddable":true,"href":"https:\/\/www.locaweb.com.br\/ajuda\/wp-json\/wp\/v2\/ht-kb-category?post=6099"},{"taxonomy":"ht_kb_tag","embeddable":true,"href":"https:\/\/www.locaweb.com.br\/ajuda\/wp-json\/wp\/v2\/ht-kb-tag?post=6099"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}