Estou com dificuldade nos seguintes tópicos: nmap, tcpdump e iptables.

[projetoubuntu]

Gostaria de tirar algumas dúvidas e resolvi vim aqui no fórum.

Como faço para verificar os serviços TCP e UDP remotamente e local? (nmap)
Como capturar os pacotes que trafegam pela interface da máquina? (tcpdump)
Como habilitar e desabilitar uma regra do Firewall? (iptables)

Grato se alguém puder me ajudar com essas dúvidas.

[zekkerj]

O nmap vc instala ("sudo apt-get install nmap") e chama para escanear uma rede ou host. Mas ele tem dezenas e dezenas de opções, fica difícil explicar tudo de uma vez. Tem que pegar o manual ("man nmap") e ler com cuidado. Alguns exemplos simples:

- Verificar os hosts ativos da rede com ping
nmap -sP 192.168.1.*

- Verificar as portas TCP abertas de um host, se ele responde a ping:
nmap -sT 192.168.1.100

- Verificar as portas TCP abertas de um host, se ele não responde a ping:
nmap -sT -PN 192.168.1.100

- Verificar se uma porta TCP específica está aberta:
nmap -sT -PN -p 3000 192.168.1.100

[A partir daqui, todas as verificações precisam ter acesso de supervisor pra funcionar]
- Verificar a impressão digital do host, ou seja, descobrir qual é o seu sistema operacional:
sudo nmap -sT -O -PN 192.168.1.100

- Verificar as portas abertas em modo furtivo, ou seja, sem gerar log no sistema verificado:
sudo nmap -sS -PN 192.168.1.100

- Verificar as portas UDP abertas no host:
sudo nmap -sU -PN 192.168.1.100

Daí em diante, vai da tua curiosidade e criatividade em misturar os vários parâmetros possíveis.

[zekkerj]

O tcpdump é instalado com o comando "sudo apt-get install tcpdump".

Você pode ativá-lo sem ser root, mas nesse caso não vai poder colocar a interface em modo promíscuo.
Sem modo promíscuo, vc só pega pacotes direcionados à máquina, broadcasts e multicasts. Em um ambiente de switches, vc vai precisar de outros recursos pra fazer a captura do tráfego de outras máquinas.

Vc pode passar pro tcpdump um filtro onde vc diz quais pacotes vc quer capturar. Isso é sempre uma boa idéia.

Exemplos:

- Captura tudo que chegar na primeira interface do sistema (normalmente a eth0):
sudo tcpdump

- Capturar só pacotes da porta 80/tcp, sem traduzir DNS reverso:
sudo tcpdump -n tcp and port 80

- Capturar sem modo promíscuo na interface wireless:
tcpdump -p -i wlan0

Investigue os diversos filtros e brinque com a opção "verbose" (-v) que pode ser usada até 3x para aumentar o nível de detalhamento da saída (-vvv).

Observe que saber **chamar** o tcpdump é uma coisa. Saber interpretar a saída dele é outra completamente diferente. E apesar de eu adorar ajudar todo mundo, não vou ajudar você com isso. Conto com sua compreeensão.

[zekkerj]

Pro iptables, eu não vou perder seu tempo tentando te explicar... dá uma olhada nos tutoriais do Carlos Morimoto, no site Guia do Hardware (http://www.hardware.com.br/tutoriais), ele explica muito melhor que eu.

[projetoubuntu]

Caraaaa, muitoooooo obrigadooo!!!! Ajudou muitoo!!!
Fiz uns testes e de fato, resultou no que eu queria!!!
Com relação ao iptables, vou dar uma olhada no que vc indicou e ver se acho o que procuro!!
Valeu mesmo!

Abraço.