Firewall

Esta secção trata da gestão da firewall da IPBrick. Na secção de firewall da IPBrick.C já foram apresentadas algumas regras pré-definidas que não podem ser alteradas pelo utilizador mas podem ser desactivadas. Entretanto, outras regras são exigidas pela configuração de alguns serviços. Apenas na secção Ordenar poderão ser em parte geridas pelo utilizador. Ainda assim, a IPBrick oferece ao seu administrador, esta interface avançada de gestão de firewall, onde é possível definir uma série de regras com um nível de personalização bastante elevado (Figura 7.19).

Figura 7.19: Rede - Firewall

Irá ter ligações para:

1. Inserir: Inserir novas regras em modo avançado;
2. Apagar: Apagar regras já inseridas pelo administrador de rede;
3. Ordenar: Interface de ordenamento de todas as regras presentes na firewall (Figura 7.23). Esta opção é particularmente importante quando são criadas novas regras. Isto porque as primeiras regras que a firewall faz matching são as que vão ser utilizadas. Face a isto é importante as regras mais específicas estarem posicionadas no topo e as mais geralizadas em baixo.

A inserção de novas regras pode ser de três tipos, a saber:

• Regra DNAT: Permite redireccionar o tráfego que chega a um determinado porto para um outro porto/máquina pertencente à rede interna. A regra aqui é só para tráfico TCP (exemplo na Figura 7.22);
• Restrição de uma máquina IP: Permite negar o acesso a um porto de determinada máquina na rede (exemplo na Figura 7.21);
• Configuração geral: Aqui é possível adicionar uma nova regra totalmente personalizada (exemplo na Figura 7.20).

Os campos são os seguintes:

• Regra:

  INPUT: São os dados recebidos pela firewall e destinados à 
         interface que os recebe, independentemente da 
         origem destes;
  OUTPUT: Dados enviados pela firewall;
  FORWARD: Permite a passagem de tráfego de uma interface 
           para outra;
  PREROUTING: Utilizado para alterar os pacotes IP que estão
              a chegar à máquina, antes da decisão de routing;
  POSTROUTING: Utilizado para alterar os pacotes IP que estão
               a sair da máquina, após a decisão de routing;
  

• Interface: Deve escolher a qual interface deseja aplicar a regra;
• Protocolo: Protocolo(s) ao(s) qual(ais) deseja aplicar a regra;
• Módulo: Mostra a listagem de módulos iptables disponíveis para utilização;
• Ip Origem: Endereço ip de origem do pacote;
• Porto Origem: Porto de origem do pacote;
• Ip Destino: Endereço ip de destino do pacote;
• Porto Destino: Porto de destino do pacote;
• : Campo de 16 bits presente no pacote IP original sendo usado para identificação específica do tipo de pacote a filtrar. Exemplos:

     ! --syn
     --state INVALID
     --state ESTABLISHED,RELATED
     --icmp-type echo-request
  

• Política:

  ACEITAR: Para aceitar um pacote e deixá-lo passar as regras da 
           firewall;
  DESCARTAR: Não aceita o pacote, e este é eliminado;
  MARK: Permite guardar uma marca no pacote. Estas marcas podem
        depois ser utilizadas para tomadas de decisão ao nível
        do encaminhamento dos pacotes;
  LOG: Guarda um log de todos os pacotes que satisfaçam a regra.
  

• No caso de uso da regra PREROUTING existem as seguintes políticas extra:

  REDIRECCIONAR: Utilizado para fazer o redireccionamento do
                 tráfego que chega a um porto para uma outro 
                 porto;
  
  DNAT: Permite redireccionar o tráfego que chega a um 
        determinado porto para uma outra máquina e porto
        pertencente à rede interna
  

• No caso de uso da regra POSTROUTING existem as seguintes políticas extra:

  MASQUERADE: Permite modificar a origem do tráfego gerado num 
              determinado ip:porto para o IP do interface de saída
              desejado 
  
  SNAT: Permite modificar a origem do tráfego gerado numa 
        determinado ip:porto para um outro ip:porto
  
  TCPMSS: Permite mudar o campo MSS (segmento máximo dos
          pacotes) do cabeçalho TCP. Apenas pode ser utilizado
          para pacotes TCP SYN ou SYN/ACK uma vez que o MSS 
          apenas é negociado no início das conexções.
  

As regras preconfiguradas não podem ser eliminadas. No entanto, podem ser desativadas clicando no estado da mesma e alterar a opção de activação.

Figura 7.20: Rede - Firewall - Inserir

Figura 7.21: Rede - Firewall - Desactivar Regra de Acesso

Figura 7.22: Rede - Firewall - Regra DNAT

Figura 7.23: Rede - Firewall - Ordem

Listagem de todas as regras controladas pelo utilizador (Figura 7.19). Uma regra pode ser alternada entre o seu estado Activo e Inactivo.
Para eliminar regras, é necessário clicar em Apagar, seleccionar a regra ou regras que se deseja remover e clicar no botão Apagar. As regras que estão definidas por defeito não podem ser eliminadas podendo, no entanto, ser desactivadas bastando para isso clicar no estado da regra e mudar a opção para Desactivar.