você está aqui: Home  → Colunistas  →  init 5

Firewall Builder

Colaboração: Smailli Hemori Moraes

Data de Publicação: 12 de Dezembro de 2007

Esse documento descreve os procedimentos de manutenção do Firewall Builder para que possa efetuar toda manutenção do Firewall.

O material a seguir tem por objetivo permitir que seja utilizado como fonte de consulta do Firewall Builder. Baseado na versão 2.0.12 com base no Firewall previamente configurado e funcionando.

DIAGRAMA DE REDE PARA DOCUMENTAÇÃO

Utilize a figura abaixo para identificar cada um dos componentes da solução implantada, esta solução é um ambiente de laboratório citado apenas para referenciar os procedimentos e será usado como base em toda a documentação.

Na solução implantada o servidor de e-mail responde pelo endereço externo 200.200.200.203 e o servidor web pelo endereço 200.200.200.204.

CONHECENDO A FERRAMENTA

Tela inicial

Quando o FWBuilder for iniciado ele irá disponibilizar a seguinte janela que estará sendo comentada logo abaixo.

  • 1 - Seleção das databases de objetos e serviços, User ou Standard.
  • 2 - Seleção das abas de regras referentes a políticas de acessos, políticas das Interfaces e NAT.
  • 3 - Listagem dos objetos criados.
  • 4 - Listagem das regras atuais.
  • 5 - Descrição do objeto selecionado.

Objects

São os objetos que serão criados, conforme necessidade, podendo ser desde um único endereço IP até uma faixa de IP. Podendo ser utilizado objetos pré definidos mudando a base User para Standard.

  • Addresses: Cadastro para endereço IP, porém, não é utilizado, pois o objeto Hosts é mais completo para essa função.

  • Address Ranges: Cadastro para faixas de IP.

  • Groups: Cadastro para grupos podendo conter objetos de Addresses, Address Ranges, Hosts e Networks.

  • Hosts: Cadastro para Hosts com uma os mais Interfaces de rede.

  • Networks: Cadastro para redes separados pela máscara de subrede.

Services

São os serviços de rede que serão criados, conforme necessidade. Eles são criados baseado em protocolo, porta e Flag. Podendo ser utilizado serviços pré definidos mudando a base User para Standard.

  • Custom: Cadastro para serviços definido pelo usuário, raramente utilizado.
  • Groups: Cadastro para grupos podendo conter serviços Custom, ICMP, IP, TCP e UDP.
  • ICMP: Cadastro para serviços baseados no protocolo ICMP.
  • IP: Cadastro para serviços baseados no protocolo IP.
  • TCP: Cadastro para serviços baseados no protocolo TCP.
  • UDP: Cadastro para serviços baseados no protocolo UDP.

Regras (Policy)

São as regras de restrição de acesso. A leitura das regras é feita de cima para baixo. Elas servem para restringir/liberar acessos a determinados Hosts e protocolos.

Ex. Liberar o acesso externo ao servidor de e-mail na porta TCP 25 (SMTP).

Sempre mantenha a última regra conforme imagem, ela irá garantir que os serviços não especificados sejam negados.

  • Source: Origem da conexão (uma estação interna, um servidor externo, uma rede...).
  • Destination: Destino da conexão (uma estação interna, um servidor externo, uma rede...).
  • Service: Porta e protocolo.
  • Action: Ação a ser tomada, Accept (acesso liberado), Deny (acesso negado, porém o pacote continuará com o mesmo destino, ocorrendo assim Time Out), Reject (o pacote será negado pelo Firewall, ocorrendo assim acesso negado) ou Accounting (executa a regra com base na ação de outra regra, não utilizado).
  • Time: Hora que a regra estará ativa (não utilizado, pois necessita de módulo externo para o Iptables).
  • Options: Opções da regra Rule Options (opções que raramente são utilizadas), Loggin On (habilitar o Log das conexões), Loggin Off (desabilitar o Log das conexões).
  • Comment: Comentário para facilitar na leitura das regras.

Regras (NAT)

São as regras de NAT Network Address Translation. Elas servem para direcionar determinados acessos para outros Hosts. E mudar o Ip de origem da conexão, dentre outra funcionalidades que não serão citadas nesse documento.

Exemplos:

  • Direcionar o acesso externo no IP 200.200.200.203 para o endereço interno 10.0.0.2.
  • Todo acesso da rede interna para internet sair com o IP externo 200.200.200.202.

  • Original Src: Origem da conexão (uma estação interna, um servidor externo, uma rede...).
  • Original Dst: Destino da conexão (uma estação interna, um servidor externo, uma rede, que esteja em redes diferentes).
  • Original Srv: Porta e protocolo da conexão que foi iniciada.
  • Translated Src: Alterar IP de origem da conexão.
  • Translated Dst: Alterar IP de destino da conexão.
  • Translated Srv: Alterar a porta de destino da conexão.
  • Comment: Comentário para facilitar na leitura das regras.

MANUTENÇÃO DE OBJETOS

Este tópico irá demonstrar como criar/gerenciar objetos com o FWBuilder, contendo exemplos de objetos.

Addresses

Utilize Hosts ao invés de utilizar Addresses.

Address Ranges

Criação de faixas de IP. Usado como exemplo uma faixa da própria rede interna que será denominada como estações do RH.

Clique com o botão direito em Address Ranges - New Address Range

Irá abrir a janela de configuração da faixa, crie a faixa como exemplo e clique em Apply Changes.

Groups

Criação de grupos. Usado como exemplo um grupo contendo o servidor Web, e-mail e arquivos que será denominada como Grupo de Servidores.

Clique com o botão direito em Groups - New Group

Irá abrir a janela de configuração do grupo, arraste os Hosts e clique em Apply Change.

Hosts

Criação de Hosts. Usado como exemplo um Host que será denominada como Estação Gerência.

Clique com o botão direito em Hosts - New Host

Irá abrir a janela de configuração do Host, digite o nome do Host e clique em Next.

Irá abrir a janela de configuração da Interface, selecione Configure interfaces manually e clique em Next.

Irá abrir a janela de configuração da Interface manualmente, adicione uma ou mais Interfaces conforme necessidade e clique em Add para adicioná-las, uma a uma e clique em Finish.

Networks

Criação de redes. Usado como exemplo a rede da Caixa Econômica Federal que será denominada como CEF.

Clique com o botão direito em Networks - New Network

Irá abrir a janela de configuração da rede, adicione o IP e máscara da rede e clique em Apply Changes.

MANUTENÇÃO DE SERVIÇOS

Este tópico irá demonstrar como criar/gerenciar serviços com o FWBuilder, contendo exemplos de serviços.

Custom

Não utilizado.

Groups

Criação de grupos de serviços. Usado como exemplo um grupo contendo os serviços de FTP que será denominado como FTP.

Clique com o botão direito em Groups - New Group

Irá abrir a janela de configuração do grupo, arraste os serviços contidos na base Standard e clique em Apply Changes.

ICMP

Difícilmente utilizado, não entra no escopo da documentação.

IP

Difícilmente utilizado, não entra no escopo da documentação.

TCP

Criação de serviço com o protocolo TCP. Usado como exemplo um serviço com destino à porta 3456 (conectividade social da CEF) que será denominado como CEF.

Clique com o botão direito em TCP - New TCP Service

Irá abrir a janela de configuração do serviço, configure a porta conforme necessidade e clique em Apply Changes.

UDP

Criação de serviço com o protocolo UDP. Usado como exemplo um serviço com destino a porta 6050 (VoIP) que será denominado como VoIP.

Clique com o botão direito em UDP - New UDP Service

Irá abrir a janela de configuração do serviço, configure a porta conforme necessidade e clique em Apply Changes.

MANUTENÇÃO DE REGRAS (POLICY)

Este tópico irá demonstrar como criar/gerenciar regras com o FWBuilder, contendo exemplos de regras.

Acesso de dentro pra fora

Neste exemplo vamos liberar toda rede interna para acessar qualquer Host na Internet com o serviço de VoIP já criado anteriormente.

Clique com o botão direito em cima do número de uma regra já existente para que seja criada uma nova regra tomando o lugar dela. No caso, clicando em cima da regra número 1 e adicionando uma regra nova, a nova irá ocupar a posição 1 e a regra base passará para a posição 2.

Após inserir a regra ela surgirá com o padrão de negar todos os serviços conforme regra 1 abaixo.

  • Arraste o objeto pré criado em Networks - Intranet para o campo Source.
  • Arraste o serviço pré criado em UDP - VoIP para o campo Service.
  • Defina a ação para Accept.
  • Desative a opção de LOG.
  • Crie uma descrição para facilitar na leitura das regras.

  • Salve as modificações em File -> Save
  • Compile as regras em Rules -> Compile confira o retorno, se estiver tudo OK clique em Close.

Instale as regras em Rules -> Install caso ocorra tudo normal as regras já estarão ativas, clique em Close.

  • Salve o arquivo com frequência quando estiver alterando/adicionando alguma regra.

    Podem ser criadas várias regras de uma só vez para que execute somente uma vez a compilação e instalação.

Sobre o autor

Smailli conhece e utiliza o sistema operacional Linux desde 1998 e atua como consultor em conectividade, segurança e servidores Linux pela Integral Informática desde 2003 e como instrutor de Linux Network Administrator pelo Senac desde abril de 2007. Contém varias certificações de Linux e segurança e participa ativamente em toda a cultura de software livre com artigos postados em sua pagina pessoal e em sites de dicas como Dicas-l.

Para se manter atualizado sobre as novidades desta coluna, consulte sempre o newsfeed RSS

init 5

Para saber mais sobre RSS, leia o artigo O Padrão RSS - A luz no fim do túnel.

Recomende este artigo nas redes sociais

 

 

Veja a relação completa dos artigos desta coluna