Usando o Firestarter

O Firestarter é um firewall gráfico, que é ao mesmo tempo bastante poderoso e fácil de usar. Ele é adequado para uso em desktops, onde é necessário uma forma simples de monitorar tentativas de conexão e abrir portas quando necessário. O ícone para ativá-lo está no “Iniciar > Internet > Firestarter (Firewall)”.

Ao abrir o Firestarter pela primeira vez, é aberto um assistente que pede algumas informações básicas sobre a configuração da rede e oferece opções para compartilhar a conexão e ativar o firewall sob demanda, ao conectar via modem ou ADSL PPPoE.

O compartilhamento de conexão cria um compartilhamento simples, via NAT, equivalente a usar o script para compartilhar a conexão que vimos há pouco. Ao compartilhar a conexão, é necessário apenas indicar qual é a placa ligada à rede local. A única limitação é que o Firestarter não permite compartilhar usando uma única placa de rede:

Estas configurações podem ser alteradas posteriormente no menu “Editar > Preferências”. Se a opção de Habilitar o servidor DHCP aparecer desativada na sua configuração, verifique se o pacote com o servidor DHCP (dhcp3-server) está instalado. O Firestarter apenas altera a configuração de um servidor DHCP já instalado, ele não faz a instalação para você.

Como o Firestarter precisa manipular as regras do Iptables e configurar outros componentes do sistema, ele só pode ser executado como root, por isso ele solicita a senha ao ser aberto. Ao acioná-lo através do menu, isso não acontece, pois ele é acionado usando o sudo. Por padrão, uma vez aberto, o Firestarter bloqueia todas as portas e loga todas as tentativas de conexão, uma configuração bastante segura.

Ainda na janela de configurações, verifique se a opção “Método de rejeição de pacotes preferido” está configurada como “Descartar silenciosamente”, em que é usada a política “DROP” do Iptables, ao invés de “REJECT”, onde o emissor recebe resposta.

A opção “Tráfego de broadcast” se refere a todos os pacotes direcionados à rede, como, por exemplo, os pacotes usados por servidores Windows (e Samba) para mapear os compartilhamentos disponíveis na rede. Deixe sempre a opção “Block broadcasts from external network” (pacotes de broadcast vindos da internet) habilitada. Caso esteja usando uma rede wireless, ou acessando através de uma rede de terceiros, marque também a opção para bloquear pacotes de broadcast provenientes da rede local.

Um dos recursos mais interessantes do Firestarter, e o principal diferencial com relação a outros projetos, é que ele transforma os logs de tentativas de acesso gerado pelo Iptables em avisos dentro da aba “eventos”. Quando uma nova tentativa de acesso é registrada, o ícone ao lado do relógio fica vermelho e você tem a opção de aceitar ou recusar a conexão. Na ilustração, temos uma tentativa de acesso ao servidor SSH, que está habilitado na porta 22, a partir do host 192.168.1.2.

A opção “Permitir serviço de entrada para a origem” faz com que, daí em diante, o host 192.168.1.2 possa acessar o SSH, sem disparar novamente o alarme, enquanto a opção “Permitir conexões a partir da origem” faz com que o 192.168.12 possa acessar qualquer serviço, em qualquer porta, sem disparar o alarme. Esta segunda opção é interessante para micros da rede local. Finalmente, a opção “Permitir serviço de entrada para todos” abre a porta do SSH para todo mundo, incluindo micros da internet. É uma opção que deve ser usada com mais cautela.

Você pode acompanhar as conexões em uso através do campo “Conexões ativas”, na tela principal. Note que a lista inclui todas as conexões, tanto as conexões como cliente, contatando outros micros da rede ou internet, quanto as conexões como servidor, recebendo uma conexão a partir de fora.

Outra questão é que muitos programas abrem diversas conexões simultâneas, o Gaim (ou outro cliente de ICQ/MSN), por exemplo, abre uma conexão com o servidor principal, quando você fica online, e mais uma conexão para cada janela de conversa aberta. Uma única instância do Bittorrent pode chegar a abrir mais de 20 conexões, já que baixa e serve o arquivo para vários hosts simultaneamente. Preste atenção nas conexões em que o destino é seu próprio IP, pois elas indicam gente se conectando a servidores ativos na sua máquina.

Uma vez ativado o firewall, as regras ficam ativas, mesmo que você feche a interface principal; mas você perde a possibilidade de monitorar as tentativas de acesso e aceitar conexões. O Firestarter fica residente na forma do serviço de sistema “firestarter”. Você pode usar o comando “Iptables -L”, que lista as regras de firewall ativas para comprovar isso.

Para realmente parar o firewall, você precisa reabrir a interface e clicar no “Parar firewall” ou usar (como root) o comando “/etc/init.d/firestarter stop”. Imagine que, ao contrário dos firewalls para Windows, o firewall em si é independente da interface.