Firewall

Diferente do Ubuntu que dispensa o uso de um firewall por padrão, adotando uma política de não manter portas abertas, o Fedora dá uma grande ênfase à configuração do firewall, bloqueando todas as portas por padrão (com com exceção do SSH) e oferecendo um utilitário de configuração bastante poderoso, o “system-config-firewall”, disponível no “Sistema > Administração > Firewall”:

m6daa5098

Ele segue a política básica de permitir que você especifique as portas ou intervalos de portas que deseja abrir, oferecendo também opções para definir interfaces confiáveis (nas quais todas as portas ficam abertas), compartilhar a conexão e encaminhar portas.

Para abrir portas adicionais, basta marcar os serviços desejados na seção “Serviços confiáveis” (que inclui uma lista de serviços comuns), ou especificar manualmente as portas desejadas na seção “Outras portas”, verificando sempre se o serviço desejado utiliza conexões TCP ou UDP. Ao fazer cada alteração, é necessário clicar no “Aplicar”, para que o configurador salve as novas regras no arquivo “/etc/sysconfig/iptables” e recarregue as regras do firewall.

Se você tiver a curiosidade de verificar as regras do Iptables ativas em uma instalação padrão do Fedora (sem nenhuma alteração na configuração do Firewall) usando o comando “iptables -L“, vai encontrar o seguinte:

m5d08113b

Essas regras fazem com que o firewall aceite respostas às conexões iniciadas por você (ou seja, não bloqueie as respostas de servidores remotos quando você acessar um site ou baixar um arquivo), aceite pacotes ICMP (o que inclui resposta a pings), aceite conexões na porta do SSH (é importante desmarcá-la na seção “Serviços confiáveis” se você não quiser que sua máquina fique acessível via SSH) e rejeite conexões nas demais portas, juntamente com o encaminhamentos de pacotes. Como não são especificadas interfaces confiáveis, essas regras valem para todos, incluindo os PCs da rede local.

Para aceitar conexões na interface da rede local, você deve marcá-la manualmente na seção “Interfaces confiáveis”. A partir daí, o sistema passará a aceitar todas as conexões na interface especificada, mas continuará bloqueando conexões em outras interfaces. Se você se conectasse diretamente usando um modem USB 3G, por exemplo (o que adicionaria a interface ppp0), o sistema bloquearia todas as conexões provenientes da Internet automaticamente.

51947591

Se você decidisse mais adiante compartilhar a conexão do modem 3G, bastaria marcar a interface “ppp0” na seção “Mascarar”. Isso equivaleria à compartilhar a conexão executando manualmente o comando “iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE”, que citei nos exemplos de firewall para o Ubuntu.

Ao compartilhar a conexão, uma necessidade comum é encaminhar portas para PCs da rede local, para que eles possam rodar servidores ou aplicativos diversos que precisem de portas de entrada. Isso pode ser feito através da seção “Encaminhamento de portas”, onde você deve especificar a interface de Internet, a porta de entrada e o endereço do PC da rede local que receberá o encaminhamento:

49273f4b

O default é fazer com que a porta de entrada seja encaminha para a mesma porta no PC de destino, mas você pode especificar uma porta diferente marcando a opção “Encaminhar para outra porta”. Isso permite que você encaminhe as requisições recebidas na porta 2222 do servidor para a porta 22 do PC na rede interna, por exemplo.

A seção Filtro ICMP permite bloquear seletivamente determinados tipos de pacotes ICMP, incluindo o ping (“requisição de eco”). Embora os pacotes ICMP possam ser usados para descobrir algumas informações sobre a máquina (o ping é o mais óbvio, já que é a maneira mais simples de descobrir se uma máquina está online), a importância deles é frequentemente superestimada, desviando o foco das atenções das questões mais importantes, que são as portas abertas e as atualizações de segurança para os serviços. Não adianta remover seu nome da lista telefônica se você deixa porta da frente de casa aberta.

Sobre o Autor

Redes Sociais:

Deixe seu comentário

X