Esta secção trata da gestão da firewall da IPBrick. Na secção de firewall da IPBrick.C já foram apresentadas algumas regras pré-definidas que não podem ser alteradas pelo utilizador mas podem ser desactivadas. Entretanto, outras regras são exigidas pela configuração de alguns serviços. Apenas na secção Ordenar
poderão ser em parte geridas pelo utilizador. Ainda assim, a IPBrick oferece ao seu administrador, esta interface avançada de gestão de firewall, onde é possível definir uma série de regras com um nível de personalização bastante elevado (Figura 7.19).
Irá ter ligações para:
Inserir
: Inserir novas regras em modo avançado;
Apagar
: Apagar regras já inseridas pelo administrador de rede;
Ordenar
: Interface de ordenamento de todas as regras presentes na firewall (Figura 7.23). Esta opção é particularmente importante quando são criadas novas regras. Isto porque as primeiras regras que a firewall faz matching
são as que vão ser utilizadas. Face a isto é importante as regras mais específicas estarem posicionadas no topo e as mais geralizadas em baixo.
A inserção de novas regras pode ser de três tipos, a saber:
Regra DNAT
: Permite redireccionar o tráfego que chega a um determinado porto para um outro porto/máquina pertencente à rede interna. A regra aqui é só para tráfico TCP (exemplo na Figura 7.22);
Restrição de uma máquina IP
: Permite negar o acesso a um porto de determinada máquina na rede (exemplo na Figura 7.21);
Configuração geral
: Aqui é possível adicionar uma nova regra totalmente personalizada (exemplo na Figura 7.20).
Os campos são os seguintes:
Regra
:
INPUT: São os dados recebidos pela firewall e destinados à interface que os recebe, independentemente da origem destes; OUTPUT: Dados enviados pela firewall; FORWARD: Permite a passagem de tráfego de uma interface para outra; PREROUTING: Utilizado para alterar os pacotes IP que estão a chegar à máquina, antes da decisão de routing; POSTROUTING: Utilizado para alterar os pacotes IP que estão a sair da máquina, após a decisão de routing;
Interface
: Deve escolher a qual interface deseja aplicar a regra;
Protocolo
: Protocolo(s) ao(s) qual(ais) deseja aplicar a regra;
Módulo
: Mostra a listagem de módulos iptables disponíveis para utilização;
Ip Origem
: Endereço ip de origem do pacote;
Porto Origem
: Porto de origem do pacote;
Ip Destino
: Endereço ip de destino do pacote;
Porto Destino
: Porto de destino do pacote;
: Campo de 16 bits presente no pacote IP original sendo usado para identificação específica do tipo de pacote a filtrar. Exemplos:
! --syn --state INVALID --state ESTABLISHED,RELATED --icmp-type echo-request
Política
:
ACEITAR: Para aceitar um pacote e deixá-lo passar as regras da firewall; DESCARTAR: Não aceita o pacote, e este é eliminado; MARK: Permite guardar uma marca no pacote. Estas marcas podem depois ser utilizadas para tomadas de decisão ao nível do encaminhamento dos pacotes; LOG: Guarda um log de todos os pacotes que satisfaçam a regra.
REDIRECCIONAR: Utilizado para fazer o redireccionamento do tráfego que chega a um porto para uma outro porto; DNAT: Permite redireccionar o tráfego que chega a um determinado porto para uma outra máquina e porto pertencente à rede interna
MASQUERADE: Permite modificar a origem do tráfego gerado num determinado ip:porto para o IP do interface de saída desejado SNAT: Permite modificar a origem do tráfego gerado numa determinado ip:porto para um outro ip:porto TCPMSS: Permite mudar o campo MSS (segmento máximo dos pacotes) do cabeçalho TCP. Apenas pode ser utilizado para pacotes TCP SYN ou SYN/ACK uma vez que o MSS apenas é negociado no início das conexções.
As regras preconfiguradas não podem ser eliminadas. No entanto, podem ser desativadas clicando no estado da mesma e alterar a opção de activação.
Listagem de todas as regras controladas pelo utilizador (Figura 7.19). Uma regra pode ser alternada entre o seu estado Activo
e Inactivo
.
Para eliminar regras, é necessário clicar em Apagar
, seleccionar a regra ou regras que se deseja remover e clicar no botão Apagar
.
As regras que estão definidas por defeito não podem ser eliminadas podendo, no entanto, ser desactivadas bastando para isso clicar no estado da regra e mudar a opção para Desactivar
.
IPBRICK