Manter atacantes remotos fora de uma LAN é um aspecto importante da segurança de rede, se não o mais importante. A integridade de uma LAN deve ser protegida de usuários remotos maldosos, através do uso de regras rígidas de firewall. Entretanto, com uma norma default definida para bloquear todos os pacotes entrando, saindo e encaminhados, é impossível que o firewall/porta de comunicação (gateway) e usuários internos da LAN se comuniquem entre si ou externamente. Para permitir a usuários executar funções relacionadas à rede e a usar aplicações de rede, os administradores devem abrir certas portas para a comunicação.
Por exemplo: para permitir o acesso à porta 80 pelo firewall, adicione a seguinte regra:
iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT |
Isto permite a navegação Web normal através de sites que comunicam através da porta 80. Para permitir o acesso a sites seguros (como https://www.example.com/), você deve abrir a porta 443 também.
iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT |
Algumas vezes você precisa de acesso remoto à LAN de fora dela. Serviços seguros, tais como SSH e CIPE, podem ser usados para conexão remota criptografada aos serviços da LAN. Para administradores com recursos baseados em PPP (tais como bancos modernos ou contas ISP volumosas), o acesso discado pode ser usado para circundar as barreiras do firewall seguramente, já que conexões via modem ficam tipicamente por trás de um firewall/gateway por serem conexões diretas. Entretanto, casos especiais podem ser elaborados para usuários remotos com conexões de banda larga. Você pode configurar o IPTables para aceitar conexões de clientes SSH e CIPE remotos. Por exemplo: para permitir o acesso remoto SSH, as seguintes regras podem ser usadas:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -p udp --sport 22 -j ACCEPT |
Pedidos de conexão CIPE feitas de fora podem ser aceitas com o seguinte comando (substituindo x pelo número de seu dispositivo):
iptables -A INPUT -p udp -i cipcbx -j ACCEPT iptables -A OUTPUT -p udp -o cipcbx -j ACCEPT |
Já que o CIPE usa seu próprio dispositivo virtual que transmite pacotes de datagramas (UDP), a regra permite a interface cipcb para conexões de fora, ao invés de portas de recurso ou de destino (apesar de poderem ser usadas no lugar das opções de dispositivos). Para informações sobre o uso do CIPE, consulte o Capítulo 6.
Há outros serviços para os quais você talvez precise definir regras. Consulte o Guia de Referência do Red Hat Enterprise Linux para informações detalhadas sobre IPTables e suas várias opções.
Estas regras permitem o acesso a serviços regulares e seguros pelo firewall; entretanto, não permitem que os nódulos por trás do firewall acessem estes serviços. Para permitir o acesso LAN a estes serviços, você pode usar o NAT com regras de filtragem do IPTables.