Firewall

Uma questão polêmica em torno do Ubuntu é o fato do sistema não incluir nenhum script ou utilitário de configuração de firewall por padrão. Segundo os desenvolvedores, o firewall não é necessário, pois na configuração padrão o sistema não mantém nenhum servidor ativo, fazendo com que a possibilidade de existir qualquer brecha de segurança seja pequena.

Mesmo assim, é sempre interessante manter um firewall ativo num micro conectado diretamente à internet. Você pode fazer isso escrevendo um script simples de firewall, que simplesmente bloqueie o acesso a todas as portas, ou utilizar o Firestarter, o mesmo firewall gráfico incluído no Kurumin.

Um exemplo de firewall manual, que simplesmente fecha todas as portas, permitindo que você consiga acessar a rede e a internet, mas impedindo que outros micros acessem serviços ativos na sua máquina seria:

iptables -A INPUT -p tcp -s 127.0.0.1/255.0.0.0 -j ACCEPT
iptables -A INPUT -p tcp –syn -j DROP

Estes são na verdade dois comandos de terminal, que ativam o Iptables (o firewall nativo do sistema, incluído no próprio Kernel), permitindo que programas se comuniquem internamente usando a interface de loopback, mas bloqueando qualquer acesso externo. Pra desativar as regras, use o comando:

$ sudo iptables -F

Para permitir acessos provenientes dos micros da rede local, você inclui mais uma regra (antes das outras duas), especificando os micros dentro da faixa de endereços usada na rede local. Substitua o “192.168.0.0” pela faixa de endereços usada na sua)

iptables -A INPUT -p tcp -s 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp -s 127.0.0.1/255.0.0.0 -j ACCEPT
iptables -A INPUT -p tcp –syn -j DROP

Estes comandos podem ser executados diretamente no terminal. Para que a mudança torne-se definitiva, inclua-os no final do arquivo “/etc/init.d/bootmisc.sh“, antes do “exit 0”.

Naturalmente, configurar as regras manualmente só é necessário se você realmente gosta da linha de comando. O Firestarter é bem mais simples de usar e inclui mais funções. Ele faz parte do Universe, e (uma vez ativado o repositório) pode ser instalado via apt-get:

$ sudo apt-get install firestarter

Você pode executá-lo usando o comando “sudo firestarter” ou usando o ícone no “Aplicações > Ferramentas de Sistema > Firestarter”. Ele precisa ser sempre executado através do sudo, pois precisa de permissões de root para modificar as regras do IPtables e criar o serviço de sistema onde salva sua configuração.

Ao abrir o Firestarter pela primeira vez, é aberto um assistente que pede algumas informações básicas sobre a configuração da rede e oferece opções para compartilhar a conexão e ativar o firewall sob demanda, ao conectar via modem ou ADSL PPPoE.

Por padrão, uma vez aberto, o Firestarter bloqueia todas as portas e loga todas as tentativas de conexão, uma configuração bastante segura.

Sempre que alguém tenta abrir alguma conexão, seja a partir de outro micro da rede local ou via internet, o ícone ao lado do relógio fica vermelho. Clicando sobre ele, a Interface do Firestarter é aberta, mostrando detalhes sobre a tentativa de acesso.

Digo tentativa, pois por padrão o Firestarter vai bloquear a conexão, fazendo com que a outra pessoa dê com a cara na porta. Mas, clicando sobre a entrada, você tem a opção de autorizar futuros acessos.

Usando a opção “Permitir serviço de entrada para a origem” faz com que daí em diante o endereço possa acessar o SSH, sem disparar novamente o alarme. Como a regra fica vinculada ao IP, esta opção é útil apenas para micros dentro da rede local que estejam configurados para usar IP fixo.

A opção “Permitir conexões a partir da origem” faz com que o endereço em questão possa acessar qualquer serviço disponível na sua máquina, em qualquer porta, sem disparar o alarme, uma opção interessante para micros da rede local.

Finalmente, a opção “Permitir serviço de entrada para todos” abre a porta do SSH para todo mundo, incluindo micros da internet, o que naturalmente deve ser usada com cautela.

Esta natureza “interativa” é justamente o grande diferencial do Firestarter, que faz com que ele seja atualmente a melhor opção de firewall para desktops em geral. Todas as regras adicionadas entram em vigor imediatamente e ficam acessíveis para modificação ou consulta na aba “Política”.

Uma vez ativado o firewall, as regras ficam ativas, mesmo que você feche a interface principal, mas você perde a possibilidade de monitorar as tentativas de acesso e aceitar conexões. O Firestarter fica residente na forma do serviço de sistema “firestarter”.

Para desabilitar o Firewall, não basta fechar a janela, nem mesmo o ícone ao lado do relógio. Fazendo isso você fecha a interface, mas o serviço continua ativo, com as regras ativas. Para desabilitar o Firewall você precisa realmente clicar no “Parar Firewall” dentro da janela principal.