Firewal descomplicado com o uso do ipkungfu no linux
Arquivado em Artigos <> Segurança
Esses dias estava lendo um pouco sobre firewalls e procurando a melhor forma de proteger meu pc. Depois de muita procura, me deparei com um programa muito bom e simples, chamado ipkungfu. Trata-se de um programa que configura as regras (chains) para o iptables.
Precisando apenas de que você configure um arquivo de configuração muito simples.
Vamos dar uma olhada nele: Primeiro baixe a versão mais atual em http://www.linuxkungfu.org/ e descompacte o arquivo$tar jxvf ipkungfu-0.5.0.tar.bz2
ou $tar -zxvf ipkungfu-0.5.0.tar
entre no diretorio q é criado
$ cd ipkungfu-0.5.0
como root (faça um su) instale o programa com o comando
#./install
O executavel vai ser /usr/local/sbin/ipkungfu e o diretorio de configurações /etc/ipkungfu ainda como root, vá até este diretório
# cd /etc/ipkungfu
Está na hora de configurar seu firewall. É muito simples. Com seu editor de textos favorito, edite o arquivo ipkungfu.conf
# vi ipkungfu.conf
ou #mcedit ipkungfu.conf e salve com F10
A primeira coisa é informar onde se encontra o programa iptables. Faça um whereis iptables e coloque o caminho no arquivo
IPTABLES="/sbin/iptables"
Onde fica o modprobe?
MODPROBE="/sbin/modprobe"
Depois você irá informar qual a sua interface de conexão com a internet (pppx se vc usa conexão discada ou adsl, em outros casos, tente ethx, onde x é o numero da interface)
EXT_NET="ppp0"
Agora informe a interface de conexão com a rede interna (ethx, provavelmente.)
INT_NET="eth0"
Informe, agora o campo de endereços que compoem sua rede local
LOCAL_NET="192.168.0.0/255.255.255.0" ##por exemplo##
Se quiser fazer mascaramento (é isso?) de IP (IP Masquerading) informe agora. Se vc tem apenas uma maquina, coloque 0
MASQ_LOCAL_NET=1 ##caso sua maquina seja única use 0 ##
Você quer fazer IP forwarding (compartilhar a conexão com outras maquinas)? Se quiser, diga 1 se só tem uma maquina, 0
IP_FORWARD=1 ##1 habilita o compartilhamento com outras maquinas da sua rede interna ligada em eth1 ##
Se você tiver algum serviço que use uma porta TCP que deseja que possa ser acessado por maquinas externas, informe as portas desses serviços aqui, separadas por um espaço. Se não quiser que nenhum serviço seja acessado externamente, nao informe nada.
ALLOWED_TCP_IN="22"
Porta 22 para acesso ssh
O mesmo acima, só que para portas UDP
ALLOWED_UDP_IN="2049"
Porta 2049 para habilitar NFS
Bloquear portas
FORBIDDEN_PORTS="139"
Não quer que sua maquina responda a pings, coloque 1. Se quiser coloque 0
BLOCK_PINGS=0
A quantos pings você deseja responder?
PING_FLOOD=3
Agora voce vai decidir o que fazer com tentativas suspeitas de conexão. DROP nega e não envia nenhuma confirmação ao remetente, REJECT diz a quem enviou o pacote, que ele foi rejeitado e MIRROR vai pegar o pacote e trocar os endereços origem e destino, ou seja, vai enviar o pacote para quem o enviou. Use esta opção apenas se você realmente souber o que está fazendo...
SUSPECT="DROP"
O mesmo acima para pacotes conhecidamente inválidos
KNOWN_BAD="DROP"
O que fazer com prtscans?
PORT_SCAN="DROP
Deseja salvar as regras? (será feito se houver suporte a isso)
SAVE_RULES=1
Informe agora, como o ipkungfu vai determinar seu ip. As opções são AUTO, NONE ou o próprio IP.
GET_IP="AUTO" ## pega ip de um servidor dhcp ##
ou
GET_IP="192.168.0.1" ## ip fixo ##
Para poder se conectar sem problemas a IRCs ou outros serviços que requeiram ident na porta 113, coloque 1 aqui
DONT_DROP_IDENTD=1
Na proxima opção coloque 0 se você estiver usando o ipkungfu em uma maquina da sua LAN, caso contrario coloque 1
DISALLOW_PRIVATE=1
salve o arquivo. (FIM DA CONFIGURAÇÃO)
Digite #/usr/local/sbin/ipkungfu
Se tudo estiver ok, ele vai iniciar automaticamente.
Lembrando que você precisa ter um kernel da versão 2.4.x ou 2.6.x com netfilter habilitado. Provavelmente quando você rodar o ipkungfu ele vai autocarregar os modulos necessários. Se isso não acontecer, carregue os seguintes módulos (não é necessário fazer isso se estiver compilado diretamente no kernel)
ip_conntracki
ptable_filter
iptable_nat
ip_tables
Se você estiver usando uma distro baseada no RedHat, será criado um script de inicialização em /etc/rc.d/init.d chamado ipkungfu
Para iniciar o firewall faça
# service ipkungfu start
ou
# /etc/rc.d/init.d/ipkungfu start
para parar
# service ipkungfu stop
ou
# /etc/rc.d/init.d/ipkungfu stop
para que ele seja iniciado junto com a inicialização do linux, faça (no RH9 utilize o #ntsysv)
# chkconfig --level 2345 ipkungfu on
Para distribuições Debian faça:
cp ipkungfu /etc/init.d
chmod 755 /etc/init.d/ipkungfu
ln -s /etc/init.d/ipkungfu /etc/rc2.d/S20ipkungfu
Agora você poderá iniciá-lo com
/etc/init.d/ipkungfu start
e parar com
/etc/init.d/ipkungfu stop
Os logs, por padrão serão colocados no arquivo /var/log/syslog.
Fim.
Esse texto é de autoria de Bruno Cunha Torres