File: firewall.sgml

package info (click to toggle)
linuxconf 1.26r4-2
  • links: PTS
  • area: main
  • in suites: woody
  • size: 56,432 kB
  • ctags: 27,217
  • sloc: cpp: 158,803; perl: 7,484; sh: 4,134; java: 3,105; ansic: 2,492; makefile: 2,216; python: 109
file content (152 lines) | stat: -rw-r--r-- 4,684 bytes parent folder | download | duplicates (2) 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
 
<!doctype linuxdoc system>
<article>
<title>Firewall e contabilidade de pacotes
<author>Introduo

<sect>Tarefas
<p>
	Muitas redes privadas no esto conectadas diretamente com a internet
	por razes de segurana. A mquina roteadora que faz a barreira entre
	a rede pblica e a rede privada  chamada firewall. O firewall  como
	se fosse um componente de um carro que protege o passageiro do fogo de
	e uma possvel exploso do motor.

	Essa analogia vem do fato que a <em/internet/  um lugar "quente", s
	vezes muito quente.  uma boa idia limitar o impacto da <em/internet/
	na sua rede privada.

<sect>Filtragem de pacotes
<p>
	A filtragem de pacotes faz com que o seu computador aceite ou descarte
	pacotes IP baseado no seguinte critrio:

	<itemize>
	<item>Origem
	<item>Destino
	<item>Interface de recebimento
	</itemize>

	Origem e destino so qualificados por:

	<itemize>
	<item>Nmero IP
	<item>Nmero da porta
	<item>Protocolo
	</itemize>

<sect>Regras bidirecionais
<p>
	As regras que voc est fazendo so bidirecionais. Em um tela, voc
	qualifica os pacotes que vm da origem para o destino e vice-versa.
	 por isso que voc pode especificar a interface duas vezes.
	
<sect>Regras de bloqueio
<p>
	Voc pode controlar os pacotes que so aceitos por sua mquina quando
	eles chegam. Regras de bloqueio lhe deixam descartar pacotes na hora
	de sua chegada.

<sect>Regras de reenvio
<p>
	Voc pode controlar os pacotes que esto para sair de sua mquina.
	Voc pode descartar pacotes na hora de sua sada. Muitos firewalls
	podem ser implementados usando-se regras de bloqueio. Um caso especial
	das regras de reenvio so as regras de mascaramento, que so
	gerenciadas na mesma tela (usa simples opo).
	
<sect>Ativar as regras global ou seletivamente
<p>
	Voc pode desativar permanentemente uma ou todas as regras sem
	exclui-las. Isso  til para um primeiro teste das capacidades de
	um firewall e para estabelecer polticas "mutveis". Cada regra
	tem uma opo para ativ-la.
	
	Uma tela  dada para ativar/desativar todas as regras de bloqueio
	e todas as de reenvio de uma s vez.

<sect>Quando tudo d errado
<p>
	O firewall no <em/Linux/ pode ser fatal. Uma configurao desapropriada
	pode derrubar a mquina. Um comando que pode salvar sua pele : 

	<tscreen><verb>
	netconf --resetfw
	</verb></tscreen>

	Este comando desativa todas as regras de firewall. Ele no afeta a
	configurao, apenas as regras vigentes. Um 
	
	<tscreen><verb>
	netconf --update
	</verb></tscreen>

	reativar as regras. Voc pode precisar usar estes dois comandos para
	checar se um mal funcionamento de sua rede  causado ou no pelas
	regras de firewall.
	
<sect>A lgica do firewall com o Configurador Linux
<p>
	O firewall no <em/Linux/  altamente flexvel e pode ser muito
	complicado. O <em/Configurador Linux/ prope uma lgica que simplifica
	a composio das regras de firewall. Apesar de essa lgica ajudar a
	criar e manter um firewall bsico, algumas configuraes no podem ser
	criadas com o Configurador Linux. Aqui vai a lgica:
	
<sect1>Lgica positiva
<p>
	Quando voc ativa um dos 3 sistemas de firewall (entrada, reenvio,
	sada), o <em/Configurador Linux/ definir a poltica padro para
	<em/bloquear/. Todas as regras que voc colocar so brechas no
	firewall. Se voc no colocar uma regra, ento sua mquina estar
	isolada, respondendo ou no.
	
<sect1>Uma soluo pr-fabricada de firewall
<p>
	Aqui vai um exemplo para uma rede simples. No mais, voc tem uma eth0
	apontando para a rede local. Ningum de fora deve acessar essa rede.
	A eth1 aponta para um roteador na internet.
	
<sect2>Regras de bloqueio: aceitando todos os pacotes icmp
<p>

	<tscreen><verb>
	Protocolo		icmp
	                -----------De-----------------
	Mquina ou rede 0.0.0.0
	Mscara        
	Faixa de portas
	Outras portas
	Interface		eth1
	                -----------Para---------------
	Mquina ou rede eth1
	Mscara        
	Faixa de portas
	Outras portas
	Interface       Any
	</verb></tscreen>

<sect2>Regras de bloqueio: aceitando apenas pacotes DNS
<p>
	<tscreen><verb>
	Protocolo		udp
	                -----------De-----------------
	Mquina ou rede 0.0.0.0
	Mscara         0.0.0.0
	Faixa de portas
	Outras portas
	Interface		eth1
	                -----------Para-----------------
	Mquina ou rede eth1
	Mscara
	Faixa de portas
	Outras portas
	Interface       Any
	</verb></tscreen>

<sect>Estado do suporte a firewall no <em/Configurador Linux/
<p>
	O firewall  um tpico quente hoje em dia e tambm  uma arte ainda
	obscura. O <em/Configurador Linux/ est tentando torn-lo mais
	acessvel. O autor espera mais comentrios neste tpico.
	
</article>