FIX T.I

http://t.co/LtQz5e7W Swiss dec…

admin — Tue, 06 Dec 2011 11:51:28 +0000

http://t.co/LtQz5e7W Swiss declares legal downloads for personal use. Go Swiss, Go!

http://t.co/LYIARJCT #descobri…

admin — Thu, 01 Dec 2011 19:39:05 +0000

http://t.co/LYIARJCT #descobridoresavell promoção @Avell_Notebooks @NotebookCentury

Beta testing Star Wars Old Rep…

admin — Mon, 28 Nov 2011 02:24:28 +0000

Beta testing Star Wars Old Republic. Looks like it´s going to be a big hit. Nicely done so far. Best story driven MMO i have ever played.

http://t.co/IDBDI7te Why every…

admin — Mon, 28 Nov 2011 02:21:37 +0000

http://t.co/IDBDI7te Why everyone hates the IT department.

Aula de Squid

admin — Wed, 23 Nov 2011 18:01:37 +0000

Como prometido, aula de squid em http://www.fix.inf.br/wiki/doku.php?id=squid_sarg. Honestamente, tenho me divertido e aprendido muito compilando este material. Está sendo uma fonte básica de pesquisa, além de um guia prático. As matérias tem sido simples, mas farei atualizações nas aulas para que elas sejam mais abrangentes, como por exemplo, o iptables que ficou só na parte de firewall.

Peço também que me ajudem com as correções do material. Sei que muita coisa não deve estar exatamente como deveria, portanto ficaria grato se vocês me ajudassem na correção.

Como antes, aqui vai um ctrl+v ctrl+c do texto, mas a leitura fica melhor na wiki.

Table of Contents
Conceitos básicos de Squid
Instalando
Um arquivo de configuração básico
Entendendo as configurações
ACLs
Lista de opções das ACLs
HTTP_ACCESS
A Ordem importa
Bloqueando endereços
Autenticação
Delimitando horários
Deixando coisas de fora do squid
Cache local
Proxy Transparente
Referências
Conceitos básicos de Squid

O Squid é um servidor proxy e cache de web. A sua utilização mais comum é a aceleração de acesso web, através de um cache de dados acessados com frequência. Também pode ser utilizado para realizar controle de acesso a internet, impedindo ou liberando o acesso através de ACLs (Listas de Controle de Acesso). Desenvolvido inicialmente para Unix, roda agora também em sistemas windows.

A melhor fonte de informações sobre o squid é a Squid Wiki, do próprio squid: http://wiki.squid-cache.org/SquidFaq/

Instalando

Em distribuições baseadas em redhat, instalaremos o squid com a ferramenta yum:

yum install squid
Em distribuções baseadas em debian, usamos o apt-get:

apt-get install squid


Além dele, precisamos também do pacote httpd-tools.

E precisamos fazer uma alteração no sistema para permitir o redirecionamento de pacotes

Podemos fazer isso da seguinte forma:



echo 1 > /proc/sys/net/ipv4/ip_forward

Ou podemos editar o arquivo /etc/sysctl.conf e mudar a opção net.ipv4.ip_forward = 0 para 1

Um arquivo de configuração básico
O arquivo de configuração fica em /etc/squid/squid.conf por padrão na maioria das distribuições:
#

# Recommended minimum configuration:

#

#Tradução livre do squid.conf do fedora # Regra de exemplo permitindo acesso de sua rede interna

# Adapte ela para o endereço de ip da sua rede, onde a navegação será liberada

acl localnet src 10.0.0.0/8	# RFC1918 possible internal network

acl localnet src 172.16.0.0/12	# RFC1918 possible internal network

acl localnet src 192.168.0.0/16	# RFC1918 possible internal network

acl localnet src fc00::/7 # RFC 4193 local private network range

acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443

acl Safe_ports port 80	 # http

acl Safe_ports port 21	 # ftp

acl Safe_ports port 443	 # https

acl Safe_ports port 70	 # gopher

acl Safe_ports port 210	 # wais

acl Safe_ports port 1025-65535	# unregistered ports

acl Safe_ports port 280	 # http-mgmt

acl Safe_ports port 488	 # gss-http

acl Safe_ports port 591	 # filemaker

acl Safe_ports port 777	 # multiling http

acl CONNECT method CONNECT

#

# Configurações recomendadas para permissão de acesso

# Somente permitir acesso ao cachemgr pela localhost

http_access allow localhost manager

http_access deny manager

# Negar acesso a certas portas não seguras

http_access deny !Safe_ports

# Negar conexão a outras portas que não sejam de SSL

http_access deny CONNECT !SSL_ports
#

# Insira suas próprias regras aqui para permitir acesso de seus clientes

#

# Regra de exemplo permitindo acesso de sua rede local

# Adapte para o que for necessário para funcionar na sua rede

http_access allow localnet

http_access allow localhost

# E finalmente, negar todos os outros acessoas a este proxy

http_access deny all

# O Squid normalmente escuta na porta 3128

http_port 3128

# Descomente e ajuste a linha seguinte para adicionar o diretório de cache

cache_dir ufs /var/spool/squid 100 16 256

# Deixe coredumps no primeiro diretório do cache

coredump_dir /var/spool/squid

# Adicione suas próprias entradas de refresh abaixo dessas

refresh_pattern ^ftp:	 1440	20%	10080

refresh_pattern ^gopher:	1440	0%	1440

refresh_pattern -i (/cgi-bin/|\?) 0	0%	0

refresh_pattern .	 0	20%	4320
Entendendo as configurações
ACLs
A tag ACL é a lista de acesso, ou regra, que definimos para o nosso servidor. É através delas que vamos fazer as limitações/permissões de uso. As ACLs do squid são compostas sempre por um par. Uma definição de ACL no estilo
acl nomedaacl tipodaacl opção/localdaacl

Então, uma acl chamada Safe_ports que especifique a porta 80, seria a seguinte.
acl Safe_ports port 80

Esta regra, no momento, não bloqueia nem libera essa porta. Simplesmente diz que temos uma ACL chamada Safe_ports que rege sobre a porta 80. As ACLs são somente as listas de acesso. Depois nós iremos dizer se elas deverão ser liberadas ou não.
Uma mesma ACL pode conter mais de uma informação, como por exemplo:
acl Safe_ports port 80

acl Safe_ports port 3128

Chamamos a mesma ACL duas vezes, mas com valores diferentes.
Lista de opções das ACLs
src: source (client) IP addresses

dst: destination (server) IP addresses

myip: the local IP address of a client's connection

arp: Ethernet (MAC) address matching

srcdomain: source (client) domain name

dstdomain: destination (server) domain name

srcdom_regex: source (client) regular expression pattern matching

dstdom_regex: destination (server) regular expression pattern matching

src_as: source (client) Autonomous System number

dst_as: destination (server) Autonomous System number

peername: name tag assigned to the cache_peer where request is expected to be sent.

time: time of day, and day of week

url_regex: URL regular expression pattern matching

urlpath_regex: URL-path regular expression pattern matching, leaves out the protocol and hostname

port: destination (server) port number

myport: local port number that client connected to

myportname: name tag assigned to the squid listening port that client connected to

proto: transfer protocol (http, ftp, etc)

method: HTTP request method (get, post, etc)

http_status: HTTP response status (200 302 404 etc.)

browser: regular expression pattern matching on the request user-agent header

referer_regex: regular expression pattern matching on the request http-referer header

ident: string matching on the user's name

ident_regex: regular expression pattern matching on the user's name

proxy_auth: user authentication via external processes

proxy_auth_regex: regular expression pattern matching on user authentication via external processes

snmp_community: SNMP community string matching

maxconn: a limit on the maximum number of connections from a single client IP address

max_user_ip: a limit on the maximum number of IP addresses one user can login from

req_mime_type: regular expression pattern matching on the request content-type header

req_header: regular expression pattern matching on a request header content

rep_mime_type: regular expression pattern matching on the reply (downloaded content) content-type header. This is only usable in the http_reply_access directive, not http_access.

rep_header: regular expression pattern matching on a reply header content. This is only usable in the http_reply_access directive, not http_access.

external: lookup via external acl helper defined by external_acl_type

user_cert: match against attributes in a user SSL certificate

ca_cert: match against attributes a users issuing CA SSL certificate

ext_user: match on user= field returned by external acl helper defined by external_acl_type

ext_user_regex: regular expression pattern matching on user= field returned by external acl helper defined by external_acl_type
HTTP_ACCESS
A tag “http_access” é quem define o que será feito com a regra que listamos anteriormente, as ACLs. Ela é quem vai dizer se o acesso será liberado ou bloqueado. Para tanto, devemos utilizar a seguinte forma:
http_access allow/deny nomedaacl

A opção allow ou deny é quem vai dizer se iremos liberar ou negar o acesso a aquela ACL. É possível utilizar o caracter ”!” para realizar uma ACL ao contrário. O seguinte código:
http_access allow Safe_ports

libera o acesso para as portas definidas na ACL Safe_ports. Mas o código:
http_access allow !Safe_ports

Liberar para todas as portas MENOS as definidas em Safe_ports
A Ordem importa
As permissões são lidas na ordem que são colocadas. Se primeiros bloquearmos algo e depois liberarmos, não funcionará. É importante colocar a ordem corretamente. Para isso, mantenha seu arquivo de configuração sempre limpo
Bloqueando endereços
Vamos agora ver como podemos fazer para bloquear sites, baseado em uma lista de sites proibidos.
acl proibidos url_regex "/etc/squid/sitesproibidos"

http_access deny proibidos

Vejamos: Na primeira linha, chamamos uma ACL com nome de “proibidos”. A opção url_regex diz ao squid pesquisar dentro do arquivo /etc/squid/sitesproibidos a lista de endereços que queremos bloquear ou liberar. Na segunda linha, o comando http_access deny nos diz que queremos negar o acesso a esta ACL. Depois, é só criar o arquivo /etc/squid/sitesproibidos e adicionar os endereços que queremos. Lembre-se que o squid é case sensitive, ou seja, ele vai ler os endereços na lista da forma que forem digitados. WWW.GOOGLE.COM é diferente de www.google.com ou WwW.GoOgLe.CoM. Para evitar este detalhe , utilize a opção ”-i” como no exemplo:
acl proibidos url_regex -i "/etc/squid/sitesproibidos"

http_access deny proibidos

O que estiver na lista será bloqueado. Podemos colocar endereços inteiros, ou podemos bloquear sites baseado em uma palavra. Se em nosso /etc/squid/sitesproibidos estiver a seguinte listagem:
www.google.com
www.fix.inf.br
somente os sites www.google.com e www.fix.inf.br serão bloqueados. foo.google.com e bar.fix.inf.br não serão bloqueados.
Mas se colocarmos na nossa lista o seguinte:
google
fix
Todos os sites que contiverem essas palavras serão bloqueados. foo.google.com será bloqueado, assim como google.exemplo.com.br
Autenticação
Uma das outras possibilidades do squid é o bloqueio por usuário. Podemos criar uma lista de logins e senhas, ou integrar com outros métodos, como uma base de dados LDAP ou um servidor mysql. Veremos aqui como montar um sistema de autenticação básico, com uma lista de usuários e senhas em um arquivo de texto. Precisamos adicionar a linha
auth_param basic program /usr/lib64/squid/basic_ncsa_auth /etc/squid/passwd

em nosso arquivo /etc/squid/squid.conf se nosso linux for 64 bits e a linha:
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/passwd

em nosso arquivo /etc/squid/squid.conf se nosso linux for 32 bits. A localização do arquivo basic_ncsa_auth pode ser diferente em seu sistema. Utilize um comando como o whereis ou um find para encontrar o arquivo.
Esta linha ativa o sistema de autenticação “basic_ncsa_auth”, com o arquivo /etc/squid/passwd sendo nosso arquivo de usuários e senhas.
Vejamos:
acl todos proxy_auth REQUIRED

http_access allow todos

http_access deny all

Na primeira linha, definimos que uma ACL chamada todos que é de autenticação (proxy_auth). O REQUIRED diz que qualquer usuário autenticado irá se encaixar nessa ACL.

Na segunda linha, o http_access allow todos libera o acesso aos usuários autenticados. Na terceira linha o http_access deny all nega o acesso a todo o resto dos usuários.
O Squid nos permite um controle sobre os usuários que podem ou não acessar a rede, através de ACLs tipo:
acl diretoria proxy_auth usuario1 usuario2 usuario3

Aqui, temos uma acl chamada diretoria, onde serão lidados somente com os usuários chamados usuario1, usuario2 e usuario3.

Podemos ainda, criar um arquivo com esses usuários, assim como criamos um arquivo com sites bloqueados.
acl diretoria proxy_auth "/etc/squid/diretoria"

http_access allow diretoria
Delimitando horários
Agora, iremos limitar o acesso a rede por horário. Que tal deixarmos o acesso aos usuários comuns somente durante o horário comercial?
acl usuarios proxy_auth REQUIRED

acl diretoria proxy_auth "/etc/squid/diretores

acl horariocomercial time 08:00-18:00

http_access allow diretoria

http_access allow usuarios horariocomercial

http_access deny all

Pronto. Definimos a ACL dos usuários, dos diretores e na terceira linha a ACL do horário, dando o nome para ela de “horariocomercial” e definindo ela das 8 até as 18. Depois, liberamos o acesso da diretoria e na quinta linha, liberamos o acesso aos usuários de acordo com a ACL horariocomercial. Finalmente, negamos o resto. Simples, não é?
Deixando coisas de fora do squid
Algumas vezes queremos deixar algum endereço fora do cache. Alguns sites simplesmente funcionam melhor assim. Neste caso, devemos utilizar o código:
acl hotmail dstdomain .hotmail.com

always_direct allow hotmail

Assim, o hotmail.com será acessado diretamente, sem precisar passar pelo cache.
Cache local
O squid usa uma diretório para armazenamento de seu cache de páginas. Para isso, precisamos utilizar a linha “cache_dir” seguido do tipo de armazenamento, diretório a ser usado, número em megabites, do número de diretórios primários criados e depois do número de diretórios secundários. Sendo assim a linha:
cache_dir ufs /var/spool/squid/  7000 16 256

diz que, o sistema a ser usado é o ufs, o diretório principal é o /var/spool/squid, serão usados 7Gb, serão criados 16 diretórios dentro do /var/spool/squid e mais 256 diretórios dentro de cada um desses 16. Este tipo de armazenamento em diretórios é o padrão do squid e funciona muito bem.
AVISO: Não deixe o squid ocupar todo o espaço do seu disco. Se for usar uma partição separada, use 20% a menos do que o tamanho total dela. Se for no seu disco primário, calcule baseado no taamnho do seu disco e em quanto livre você quer ter.
Proxy Transparente
Algumas vezes queremos deixa o squid transparente, ou seja, com que o usuário nem saiba da sua existência. Chama-se proxy transparente. Assim, o usuário não tem escolha, senão usar o proxy, sem precisar configurar ele no navegador.
Para ativarmos esta opção precisamos adicionar a opção:
http_port 3128 transparent

Já devemos ter uma linha chamada http_port 3128 no squid.conf. Simplesmente iremos adicionar a opção transparent ao lado.
Mas ainda precisamos de mais. Temos que fazer com que todas as requisições que entrem na porta 80 do nosso servidor (já que é a padrão da web) sejam reencaminhadas para a 3128 (evitando assim de alterar as configurações no navegador). Quem fará esse serviço é o iptables, com o comando:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Lembrando das configurações de iptables, vemos que nessa linha dizemos ao iptables para utilizar a tabela nat, na chain PREROUTING, utilizando a interface eth0(importante notar se essa é a interface usada), no protocolo tcp, na porta 80, para dar um REDIRECT para a porta 3128. Simples, temos nosso proxy transparente agora.
#echo 1 > /proc/sys/net/ipv4/ip_forward Ou, numa maneira mais “elegante”: #sysctl -w net.ipv4.ip_forward=1
Referências
http://www.picoloto.com.br/linux/squid.php
http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch32_:_Controlling_Web_Access_with_Squid
http://wiki.squid-cache.org/
http://wiki.squid-cache.org/SquidFaq/
http://www.mlaureano.org/guias_tutoriais/GuiaInstSquid.htm



Até quarta, aulas de Squid e …
admin — Tue, 22 Nov 2011 02:09:00 +0000
Até quarta, aulas de Squid e Sarg em http://t.co/TIcKBmF6.



Aula sobre NFS
admin — Mon, 21 Nov 2011 17:46:56 +0000
Gostaria de compartilhar com vocês algumas informações sobre NFS.  Como a de iptables, as informações estão na wiki, no link http://www.fix.inf.br/wiki/doku.php?id=nfs
Aconselho que leiam por lá, pois a visualização é bem melhor.
 
 
 


Table of Contents



Conceitos básicos de NFS


Explicando o arquivo de configuração


Instalando o NFS


Configurando o NFS


Aplicando as configurações


Clientes de NFS




Referências



Conceitos básicos de NFS

O NFS é um sistema de compartilhamento de arquivos incialmente desenvolvido pela Sun. A sua função principal é a de compartilhar pastas e arquivos em uma rede de um modo transparente ao usuário, para que os mesmos processos que podem ser realizados em uma pasta local sejam realizados em uma pasta remota. O principal arquivo de configuração dele fica em:
/etc/exports
É neste arquivo que ficarão guardados as informações necessárias para o servidor nfs funcionar.

Explicando o arquivo de configuração

O arquivo de configuração é composto de duas colunas. A primeira corresponde a pasta que será compartilhada em rede. A segunda consiste nas configurações que serão utilizadas para esta pasta. Veja o exemplo abaixo:
/mnt/share1 host1.mydomain.com(ro,root_squash)
/mnt/share2 host2.mydomain.com(ro,root_squash)
Este arquivo está definindo a pasta /mnt/share1 e /mnt/share2 como pastas compartilhadas e nos mostrando as opções definidas para ela.

Instalando o NFS

Verifique com o comando (para derivados de redhat)
rpm -q nfs-utils
Se o nfs está instalado em seu computador. Caso não, instale com o comando
yum install nfs-utils

Configurando o NFS

Volte no arquivo de configuração do NFS, em /etc/exports. Editando ele, coloque a pasta que você deseja compartilhar. Ao lado, devemos colocar o endereço de ip ou faixa de ip que queremos que tenha permissão para acessar esta pasta. Pode ser colocado um nome de host ou um endereço ip. E, finalmente, entre parenteses, as permissões. Caso mais de uma, separamos elas por vírgula.
As permissões possíveis podem ser lidas aqui http://nfs.sourceforge.net/nfs-howto/ar01s03.html, mas as mais comuns são:
ro, ReadOnly - somente leitura
rw, ReadandWrite - gravação e leitura
no_root_squash - Por padrão, o acesso feito por um usuário root remoto é configurado como o usuário "nobody" local.
Com esta opção, o usuário root remoto acessa como se fosse o usuário root local. Isto é uma risco a sua segurança. Não ative esta opção em servidores de produção
Um arquivo de configurações de teste ficaria da seguinte forma:
/mnt/share1     192.168.0.0/255.255.255.0(rw)
este arquivo libera o compartilhamento da pasta /mnt/share1, para toda a rede 192.168.0.0 com leitura e escrita.

Aplicando as configurações

Depois de termos criado as configurações desejadas, devemos reiniciar o servidor nfs com o comando:
service nfs-server restart

Clientes de NFS

Para conectar ao servidor NFS, só precisamos utilizar o comando “mount”, que fará todo o trabalho, apontado para o servidor que queremos montar, da seguinte forma:
mount ipdoservidor:/mnt/share1  /mnt
esta linha vai montar a pasta /mnt/share1 do servidor na pasta local /mnt. Veja que precisamos saber quais pastas estão compartilhadas em um servidor para poder montar corretamente. Com a saída do comando mount podemos identificar se a pasta foi montada corretamente. Veja:
localhost:/mnt/share1 on /mnt/montado type nfs4 (rw,relatime,vers=4,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=0,timeo=600,retrans=2,
sec=sys,clientaddr=127.0.0.1,minorversion=0,local_lock=none,addr=127.0.0.1)

Referências

http://www.discipulosdopinguim.com.br/tutorial/nfs-tutorial

http://fedoraproject.org/wiki/Administration_Guide_Draft/NFS

http://nfs.sourceforge.net/nfs-howto/ar01s03.html

http://www.idevelopment.info/data/Unix/Linux/LINUX_ExportingaFileSystemforNFS.shtml

http://www.server-world.info/en/note?os=Fedora_16&p=nfs





Aula sobre Iptables
admin — Mon, 21 Nov 2011 13:37:15 +0000
Caros leitores. Gostaria de compartilhar com vocês algum conteúdo sobre iptables, que estou montando aqui:

http://www.fix.inf.br/wiki/doku.php?id=iptables

É um pequeno tutorial/aula sobre iptables. Espero que seja útil. Sugiro que leiam o tutorial dentro da wiki acima, é bem melhor de visualizar e o conteúdo será atualizado. Ainda não encontrei uma boa forma de mostrar direto o conteúdo da página da wiki no wordpress. Caso alguém conheça, por favor me avise.
Table of Contents
Iptables – O que é:

Primeiro comando: Listar regras em uso.

Limpando o iptables

Comandos básicos

Tabelas

Chains

Sintaxe

Primeira Regra

Liberação de portas e protocolos

Liberar SSH

Liberar Porta 80

Bloqueando o restante

Liberando Loopback

Liberando de um ip específico

Deletando regras

Outras possibilidades

Salvando as regras

Referências
Iptables – O que é:
O Iptables é o firewall mais utilizado em todas as distribuições de linux.Outros sistemas utilizam outras implementações de firewall. Existem muitas informações na internet e a documentação do iptables/netfilter é muito grande, sendo ele uma das mais complexas (senão a mais) ferramentasde firewall. De um modo simples, o iptables pode ser utilizado com poucas regras para criar um bom e efetivo firewall para sua rede.
O sistema todo é composto de duas partes. O módulo do kernel netfilter e o aplicativo que controla as regras, chamado iptables. Quem realmente faz a função é o netfilter, mas é comum encontrar referências ao firewall como iptables, já que é o comando usado. Quando um pacote de rede passa pelo netfilter, ele compara as informações com as regras inseridas pelo iptables. Se alguma regra bater com o pacote, ele faz a ação indicada na regra (aceitar, negar, etc) .

Primeiro comando: Listar regras em uso.
Para ir se familiarizando com o iptables, utiliza o comando
iptables -L
Esta opção lista as regras atualmente em uso.
Caso não exista nenhuma regra, o que você deve ver é algo como isso:
Chain INPUT (policy ACCEPT)

target prot opt source destination

Chain FORWARD (policy ACCEPT)

target prot opt source destination

Chain OUTPUT (policy ACCEPT)

target prot opt source destination
Caso alguma regra apareça é porque:

1 – Você criou regras anteriores

2 – Sua distribuição de linux já vem com regras como padrão.

Limpando o iptables
No caso do debian/ubuntu, as regras do iptables vem vazias. No caso das distribuições baseadas em redhat como centos e scientific linux, o arquivo /etc/sysconfig/iptables já vem com algumas regras regras. Neste caso, precisamos começar desabilitando todas elas com os comandos:
iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

iptables -t mangle -F

iptables -t mangle -X

iptables -P INPUT ACCEPT

iptables -P FORWARD ACCEPT

iptables -P OUTPUT ACCEPT
O comando iptables -F limpa todas as regras do iptables e a opção -X limpa todas as chains personalizadas. Utilizamos o mesmo comando para todas as outras tabelas (aqui, nat e mangle). Depois colocamos as políticas padrão para as chains INPUT, FORWARD e OUTPUT com a opção -P
Estes comandos limpam todas as regras do iptables, em sua tabela filter, mangle e nat. Cuidado, este comando pode eliminar regras necessárias para compartilhamento de internet e outros. Verifique suas regras e faça os testes em uma instalação nova.

Comandos básicos
O iptables aceita, dentre vários, estes comandos mais utilizados (direto do help)
-A – Append this rule to a rule chain. Valid chains for what we’re doing are INPUT, FORWARD and OUTPUT, but we mostly deal with INPUT in this tutorial, which affects only incoming traffic.\\

-L – List the current filter rules.\\

-m conntrack – Allow filter rules to match based on connection state. Permits the use of the –ctstate option.\\

–ctstate – Define the list of states for the rule to match on. Valid states are:\\

NEW – The connection has not yet been seen.\\

RELATED – The connection is new, but is related to another connection already permitted.\\

ESTABLISHED – The connection is already established.\\

INVALID – The traffic couldn’t be identified for some reason.\\

-m limit – Require the rule to match only a limited number of times. Allows the use of the –limit option. Useful for limiting logging rules.\\

–limit – The maximum matching rate, given as a number followed by “/second”, “/minute”, “/hour”, or “/day” depending on how often you want the rule to match. If this option is not used and -m limit is used, the default is “3/hour”.\\

-p – The connection protocol used.\\

–dport – The destination port(s) required for this rule. A single port may be given, or a range may be given as start:end, which will match all ports from start to end, inclusive.\\

-j – Jump to the specified target. By default, iptables allows four targets:\\

ACCEPT – Accept the packet and stop processing rules in this chain.\\

REJECT – Reject the packet and notify the sender that we did so, and stop processing rules in this chain.\\

DROP – Silently ignore the packet, and stop processing rules in this chain.\\

LOG – Log the packet, and continue processing more rules in this chain. Allows the use of the –log-prefix and –log-level options.\\

–log-prefix – When logging, put this text before the log message. Use double quotes around the text to use.\\

–log-level – Log using the specified syslog level. 7 is a good choice unless you specifically need something else.\\

-i – Only match if the packet is coming in on the specified interface.\\

-I – Inserts a rule. Takes two options, the chain to insert the rule into, and the rule number it should be.\\

-I INPUT 5 would insert the rule into the INPUT chain and make it the 5th rule in the list.\\

-v – Display more information in the output. Useful for if you have rules that look similar without using -v.\\

-s –source – address[/mask] source specification\\

-d –destination – address[/mask] destination specification\\

-o –out-interface – output name[+] network interface name ([+] for wildcard)\\
Tabelas
o Iptables trabalha com o conceito de tabelas, cada uma com funções diferentes, dependendo do que queremos fazer com o pacote de dados. As três mais comuns são:
FILTER

NAT

MANGLE

Lembrando que quanto não especificamos qual tabela do iptables iremos usar (com o -t) ele assume por padrão que é a filter. Quando limpas as regras anteriormente, tivemos que executar os comandos para várias tabelas, pois por padrão, ele só limpará a tabela FILTER Para que o iptables faça o papel de firewall, a tabela utilizada é a filter, que cuida justamente da filtragem dos pacotes recebidos.

Chains
Cada tabela possue algumas chains, que são associadas a algum tipo de tráfego de dados. Dentro desta tabela FILTER temos 3 chains principais:
INPUT

FORWARD

OUTPUT
Essas chains tratam justamente da entrada, encaminhamento e saida. Quando precisarmos lidar com um pacote, nós iremos verificar a origem e/ou destino dele e falar ao iptables para aplicar a função que queremos (ACCEPT, REJECT, DROP), aceitar ou negar o pacote.

Sintaxe
A sintaxe do iptables
# iptables -t TABLE -A CADEIA REGRAS -j ALVO Onde:
TABLE identifica a tabela (lembrando que se não for usada nenhuma, a FILTER é a padrão. O -t pode ser abstraído nesse caso) CADEIA identifica a cadeia (CHAIN usada, INPUT, OUTPUT) REGRAS compõe as regras de seleção de pacotes no qual o ALVO deve atuar (Se é protocolo TCP ou UDP ou todos, se é uma porta específica ou um grupo de portas, etc) ALVO ação a ser executada (Permitir, bloquear, recusar, registrar, etc)
Como você já deve ter visto também, o iptables assim como o Linux em geral, é case sensitive. Então, o que estiver em maiúsculo precisa estar em maiúsculo e não pode ser colocado em minúsculo.

Primeira Regra
Tendo isso em vista, a primeira coisa que preciamos é liberar no nosso firewall que quando tivermos conexões já estabelecidas, elas possam receber tráfego. Toda conexão no kernel do linux tem um estado. Ela pode ser NOVA, ESTABELECIDA, RELACIONADA, etc.
#iptables -A INPUT -m conntrack –ctstate ESTABLISHED,RELATED -j ACCEPT
Com este comando, falamos ao iptables para adicionar uma nova regra (-A) dentro da chain INPUT (entrada), ativando a opção de verificação de estado da conexão (-m conntrack), com as seguintes opções de estado (–ctstate ESTABLISHED,RELATED) e que devemos aceitar essas conexões (ACCEPT)
Todas as conexões em nossa máquina tem um estado e a opção -m conntrack nos permite trabalhar com estes estados no iptables. As que utilizamos neste comando são a ESTABLISHED e a RELATED. A ESTABLISHED refere-se a todas as conexões já estabelecidas e a RELATED refere-se as conexões novas mas que são relacionadas a conexões já estabelecidas.
Assim, queremos dizer que todas as conexões que entrarem na nossa máquina que sejam respostas de conexões já estabelecidas ou conexões novas referentes a conexões já estabelecidas devem ser aceitas.

Liberação de portas e protocolos
A partir de agora, iremos começar a trabalhar em nossas regras. Por padrão, um firewall bom deve negar todas as conexões que não forem explicitamente permitidas. Não podemos negar uma por uma, seria impossível listas todas. Por isso, precisamos definir o que queremos liberar e depois bloquear tudo.

Liberar SSH
Começaremos então liberando o acesso a porta 22, que é a porta do servidor SSH, o servidor de acesso remoto. É sempre importante saber qual protocolo o aplicativo que queremos utiliza. Neste caso, é o protocolo TCP. Para descobrir isso é necessário pesquisar na internet ou procurar no manual de utilização do aplicativo.
Então, começaremos criando uma regre para liberar o nosso acesso a porta 22. O comando utilizado é o seguinte:
#iptables -A INPUT -p tcp -i eth0 –dport ssh -j ACCEPT
Explicando: chamamos aqui o iptables, dizendo que queremos adicionar uma regra (-A). Este regra é referente ao protocolo tcp (-p tcp), deve ser aplicada somente na interface eth0 (-i eth0) e tem como porta de destino a porta do ssh (–dport ssh) e finalmente falomos ao iptables que queremos aceitar esta regra (-j ACCEPT). Note que utilizamos a palavra “ssh” no lugar do número da porta do ssh. Se tivessemos colocado 22 teria funcionado também. O ipables aceita algumas palavras no lugar de portas. Você pode verificar quais no arquivo /etc/services

Liberar Porta 80
Ótimo! Agora nosso ssh já está liberado. Outras regras serão bem parecidas com essa. Vejamos o seguinte exemplo. Digamos que queremos agora permitir também o acesso a porta 80 pois temos um servidor web nela.
#iptables -A INPUT -p tcp -i eth0 –dport 80 -j ACCEPT
Bloqueando o restante
Pronto. Nosso firewall agora permite todo o acesso a porta 80 e a porta 22 de entrada. Agora, iremos bloquear todo o resto:
#iptables -A INPUT -j DROP
Com este comando, adicionamos uma regra nova na chain INPUT que nega o acesso a todas as conexões. O iptables uma vez que lê uma regra, obedece ela mesmo que outra regra modifique o comportamento. Uma vez configurada, ela não muda. Sendo assim, a nossa terceira regra vai bloquear todo o acesso de entrada em nosso computador, menos nas portas 80 e 22 porque já foram definidas antes. Digitando iptables -L podemos ver como ficou
# iptables -L INPUT

Chain INPUT (policy ACCEPT)

target prot opt source destination

ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED

ACCEPT tcp — anywhere anywhere tcp dpt:ssh

ACCEPT tcp — anywhere anywhere tcp dpt:www

DROP all — anywhere anywhere
Veja que bloqueamos todo o trafego de entrada, em qualquer interface de rede e permitimos o acesso a 80 e a 22 somente na eth0.Se tivessemos outra interface de rede, ela estaria com toda a sua entrada negada.

Liberando Loopback
Mas esta configuração de iptables tem um grande problema. Ele bloqueou o acesso a nossa interface de loopback também. Isso é ruim, pois muitos programas utilizam ela para suas conexões internas. Sendo assim precisamos adicionar uma regra que libere ela (ou especificar a interface no comando anterior). Mas se colocarmos a regra iptables -A INPUT -i lo – j ACCEPT, ela não teria efeito, pois uma regra anterior já tinha sido definida para ignorar todo o tráfego de rede de entrada e adicionar outra regra não vai mudar isso. Nossa regra precisa vir antes da regra de negar.

Utilizaremos então a opção -I (insert) no lugar da -A . A regra fica assim:
#iptables -I INPUT 4 -i lo -j ACCEPT
A única difereça é que utilizamos o -I e falamos em qual posição da lista queremos que ela fique, no caso, quarta posição. Um iptables -L mostra que a regra está na quarta posição, antes do bloqueio e por isso, efetiva.
iptables -L INPUT

Chain INPUT (policy ACCEPT)

target prot opt source destination

ACCEPT all — anywhere anywhere state RELATED,ESTABLISHED

ACCEPT tcp — anywhere anywhere tcp dpt:ssh

ACCEPT tcp — anywhere anywhere tcp dpt:www

ACCEPT all — anywhere anywhere

DROP all — anywhere anywhere
====Listando as regras com modo verbose====

Olhando a listagem, vemos que ficou um pouco difícil entender sobre qual interface a regra numero 4 se referencia. Daremos então um outro comando


iptables -L INPUT -v


iptables -L INPUT -v

Chain INPUT (policy ACCEPT 227 packets, 22599 bytes)

pkts bytes target prot opt in out source destination

56 3996 ACCEPT all -- any any anywhere anywhere ctstate RELATED,ESTABLISHED

0 0 ACCEPT tcp -- eth0 any anywhere anywhere tcp dpt:ssh

0 0 ACCEPT tcp -- eth0 any anywhere anywhere tcp dpt:http

0 0 ACCEPT all -- lo any anywhere anywhere

0 0 DROP all -- any any anywhere anywhere
Liberando de um ip específico
Agora vamos olhar outra regra, um pouco mais complexa. Aqui nós liberamos todo o tráfego de ssh de entrada. Mas digamos que temos uma máquina com ip fixo e só queremos utilizar este IP para acessar nosso servidor. Usaremos uma opção chamada -s (source, fonte) que nos fala de onde é a origem da conexão, de qual ip ela vem:
#iptables -A INPUT -p tcp -i eth0 -s 192.168.0.1 –dport ssh -j ACCEPT
O comando é igual ao de antes, mas com a adição da opção -s e um ip de origem (192.168.1.1). Poderia ter sido usado também uma rede inteira, com a opção -s 192.168.0.0/24, especificando a máscara 24.

Deletando regras
É possível também deletar uma regra do iptables se soubermos qual a ordem dela. O comando #iptables -L INPUT -n –line-numbers mostra a numeração das linhas das regras de INPUT do iptables.
iptables -L INPUT -n –line-numbers

Chain INPUT (policy ACCEPT)

num target prot opt source destination

1 ACCEPT all — 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED

2 ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:22

3 ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:80

4 ACCEPT all — 0.0.0.0/0 0.0.0.0/0

5 DROP all — 0.0.0.0/0 0.0.0.0/0
Sabendo o número, podemos deletar uma regra com a opção iptables -D INPUT «número». Claro que podemos sempre limpar todo o iptables com o -F, mas nem sempre queremos fazer isso. Tentaremos então deletar a regra que dá DROP em todos os pacotes. Ela é a regra de número 5. Então o comando é:
iptables -D INPUT 5

iptables -L

ACCEPT all — anywhere anywhere ctstate RELATED,ESTABLISHED

ACCEPT tcp — anywhere anywhere tcp dpt:ssh

ACCEPT tcp — anywhere anywhere tcp dpt:http

ACCEPT all — anywhere anywhere
Assim, a linha 5 foi deletada.

Outras possibilidades
Outras opções possíveis são: –sport (source port)porta de origem, caso conheçamos a porta de origem do que queremos bloquear

-p protocolos tcp, udp, icmp ou all para todos os protocolos

-s (source) fonte da conexão com ip ou rede

-d (destination) mesma coisa que o -s, mas com relação ao destino na conexão

-j Possíveis alvos da regra, como ACCEPT, DROP, REJECT. Tanto o DROP como o REJECT negam a coenxão, mas o REJECT manda um retorno avisando que a conexão foi negada, enquanto o DROP simplesmente ignora o pacote.

-i (input interface) interface de entrada

-o (output inteface) interface de saida

Salvando as regras
O iptables limpa suas regras toda vez que o computador é reiniciado. Para que as regras fiquem ativas durante todo o tempo, é preciso adicionar um script que as carregue durante a inicialização do sistema. O arquivo /etc/sysconfig/iptables é lido na inicialização dos sistemas baseados em redhat e o conteúdo do seu script de firewall pode ser adicionado lá.
Uma outra opção é o comando iptables-save. Ele salva as regras do iptables atual em um arquivos que você especificar (ou mostra na tela se não for especificado nada) com o comando #iptables-save > nomedoarquivo. E o comando iptables-restore pode ser utilizado para restaurar as configurações da seguinte forma, iptables-restore < nomedoarquivo. Quando executamos o iptables-save sozinho temos como saída algo parecido: # iptables-save # Generated by iptables-save v1.4.12 on Mon Nov 21 11:12:26 2011 *nat  REROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [18:1099]  OSTROUTING ACCEPT [18:1099] COMMIT # Completed on Mon Nov 21 11:12:26 2011 # Generated by iptables-save v1.4.12 on Mon Nov 21 11:12:26 2011 *mangle  REROUTING ACCEPT [452:636466] :INPUT ACCEPT [452:636466] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [441:100355]  OSTROUTING ACCEPT [443:100419] COMMIT # Completed on Mon Nov 21 11:12:26 2011 # Generated by iptables-save v1.4.12 on Mon Nov 21 11:12:26 2011 *filter :INPUT ACCEPT [2:4832] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [2:104] -A INPUT -s 192.168.0.1/32 -i eth0 -p tcp -m tcp –dport 22 -j ACCEPT COMMIT # Completed on Mon Nov 21 11:12:26 2011 Para salvarmos estas regras, é preciso direcionar a saída do iptables-save para um arquivo de texto com o comando iptables-save > nomedoarquivo. Será criado o arquivo no local onde você apontou.
Para restaurar as regras, é só rodar o programa ipables-restore. Ele aceita como entrada a saída do iptables-save
#iptables-restore < nomedoarquivo
Assim, é simples criar um script com suas regras personalizadas.

Referências
http://www.frozentux.net/iptables-tutorial/iptables-tutorial.html
https://help.ubuntu.com/community/IptablesHowTo
http://www.thegeekstuff.com/2011/02/iptables-add-rule/
http://ornellas.apanela.com/dokuwiki/pub:pt-br:linuxfwrt



Rodando Skyrim em um notebook …
admin — Wed, 16 Nov 2011 16:21:00 +0000
Rodando Skyrim em um notebook #avell da comprado na #notebookcentury  O jogo escolheu high Quality como padrão. Lindo!



http://t.co/bkDpZ8wf US Homela…
admin — Sun, 13 Nov 2011 21:38:57 +0000
http://t.co/bkDpZ8wf US Homeland Security wants #Mozilla to ban addon that circumvent domain blocking.  They refused. Go Mozilla!