  Firewall para Internet
  Introdução


  No momento que um computador é conectado à internet, é possível para
  qualquer número de usuários na internet se conectar nele. Nem todos
  poderão ter boas intenções. Este simples firewall para internet foi
  feito para aqueles que querem contato com a internet, mas tem um con­
  junto descomplicado de serviços para oferecer aos outros. Isto
  provavelmente cobre mais que 90% de todos os servidores de internet.

  11..  PPrriinnccííppiiooss

  _L_i_n_u_x oferece na caixa um conjunto padrão de serviços. Isto inclui
  servidores web, telnet, ftp, etc. Eles normalmente estão habilitados
  como padrão. Pode ser difícil para os iniciantes determinar o que
  estes serviços oferecem e por que eles devem ser inacessíveis a partir
  da internet.

  Este firewall determina primeiro quais são estes serviços, procurando
  por serviços de escuta. Esta lista é apresentada com um botão a ser
  clicado se o serviço necessitar ser acessível a partir da internet.

  Se o computador não oferece serviços à internet, ainda assim pode ser
  uma boa idéia habilitar ao menos um serviço. Este é o 113/auth que
  habilitará os sistemas _o_t_h_e_r para determinar quem é _y_o_u quando você
  efetua conexões em _t_h_e_m.


  22..  EEnnttrraaddaa

  Toda entrada pela interface de internet será direcionada a uma cadeia
  de filtros. As portas aceitas são abertas. Além disso, todas as portas
  de 1024 e acima são abertas (estas portas são utilizadas para acesso
  local através da internet). Quaisquer outros serviços ativos nesta
  faixa os quais não são aceitos serão explicitamente negados.

  Qualquer serviço novo que é ativado no sistema posteriormente será
  inacessível até que a porta correspondente seja aberta.

  Entretanto, se um novo serviço é ativado na faixa de portas acima de
  1024, será possível acessá-lo até que o firewall seja reconstruído.
  Apenas entre no diálogo e clique em _O_K e isto será feito.


  33..  MMaassccaarraammeennttoo//NNAATT

  Se você tem uma rede local, você provavelmente desejará acessar a
  internet a partir de outros sistemas conectados nela. Este firewall
  assume que este é o caso, se o encaminhamento estiver ativado em
  _L_i_n_u_x.

  Se uma rede local tem uma das faixas de endereços
  10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255 ou
  192.168.0.0-192.168.255.255 (RFC1918), o mascaramento será executado.

  Esta é uma técnica que habilita o acesso à internet por qualquer
  computador na rede local sem fazer com que os outros saibam que você
  tem mais de um computador.

  44..  EEnnccaammiinnhhaammeennttoo

  Este firewall também assume que o encaminhamento normalmente é
  habilitado em _L_i_n_u_x. Caso contrário nenhuma máquina na rede local será
  capaz de acessar a internet.

  Se o encaminhamento estiver habilitado, serão inseridas regras para
  encaminhar o tráfego.


  55..  SSaaííddaa

  Este firewall faz apenas filtro de entrada. Com uma exceção. Ele
  assegura que todos os pacotes que saem pela interface de internet tem
  o mesmo endereço IP de origem da interface. Parece óbvio mas é
  razoável, pois previne algum intruso de utilizar seu sistema como uma
  plataforma conveniente para ataques em outros sistemas.


  66..  IInntteerrffaacceess ee ppoollííttiiccaa

  Algumas interfaces são provisórias. Elas podem ser conexões de modem
  de entrada e saída, ISDN, etc. Estas interfaces não são manipuladas
  por este firewall, a menos que estejam na rota para a internet. Este
  firewall não tem uma política para interfaces desconhecidas. Desta
  forma, a menos que a política padrão seja alterada, os serviços
  através destas interfaces serão aceitos.


  77..  EEnnddeerreeççooss IIPP ddiinnââmmiiccooss

  Conexões Dial up normalmente resultam em diferentes endereços IP a
  cada conexão. Então não existe forma de determinar uma única vez qual
  endereço você obterá quando conectado à internet. Neste caso o
  firewall deve ser ativado no momento em que a conexão é efetuada e o
  endereço conhecido. O script /etc/ppp/ip-up (e /etc/ppp/ip-up.local
  para RedHat) conhece o endereço e será capaz de iniciar o firewall.

  A ativação do firewall não é inserida neste script de forma que isto
  terá que ser feito manualmente.


  88..  EEnnddeerreeççooss IIPP eessttááttiiccooss

  Se um endereço IP estático pode ser usado (como é o caso da conexão
  direta) o firewall pode ser iniciado durante a inicialização através
  de um rc-script.


  99..  AAttiivvaaççããoo ddoo DDaaeemmoonn

  Existe uma outra forma de ativar o firewall. Isto significa utilizar
  um programa daemon especial para monitorar todas as interfaces de rede
  no sistema.  Sempre que uma interface for alterada, o script do
  firewall será executado. Se a interface é a interface para a internet,
  o firewall será ativado. Isto também previne uma possível alteração do
  endereço IP desta interface.

  O dameon é rápido e é capaz de fazer a verificação várias vezes por
  segundo.

  O daemon é iniciado através do botão Act/Changes no Linuxconf ou
  executando

  linuxconf --update.

  Ele também pode ser iniciado diretamente a partir de um rc-script:

  /usr/lib/linuxconf/lib/firewalld -d


  1100..  OO ssccrriipptt eexxeeccuuttáávveell

  Este firewall cria um script executável que pode ser executado tanto
  atravé de um endereço estático como de um endereço dinâmico.

  O script é utilizado desta forma:

  /usr/lib/linuxconf/lib/firewall.sh start interface ip-address

  or

  /usr/lib/linuxconf/lib/firewall.sh stop interface

  A opção stop remove todas as regras de firewall (mas ainda habilita um
  possível mascaramento).


  1111..  OOppççõõeess ddee lliinnhhaa ddee ccoommaannddoo

  Existem ainda algumas opções de linha de comando que podem ser úteis.
  Para habilitar o firewall com supervisão do daemon:

  linuxconf --modulemain inetdconf --firewall enable

  linuxconf --update

  Para interromper o firewall (e o daemon):

  linuxconf --modulemain inetdconf --firewall disable

  linuxconf --update


  1122..  EEmm ccaassoo ddee ffaallhhaass

  Este firewall nunca será tão generalizado a ponto de conseguir
  manipular todas as redes possíveis.  Existe um outro firewall no
  Linuxconf o qual é mais geral para lidar com todas as situações, mas
  ao custo de uma complexidade maior.

  A intenção é que este firewall seja simples de usar em uma
  configuração simples de rede.  Em caso de falhas ou outros problemas
  funcionais, por favor não hesite:

  envie um mail a: Torbjorn Gard tgard@netg.se