O local certo para se aprender Linux no Brasil, a sua fonte de artigos, dicas, tutoriais, noticias, howto, reviews e muito mais.

Firewal descomplicado com o uso do ipkungfu no linux

Arquivado em Artigos <> Segurança
Firewal descomplicado com o uso do ipkungfu no linux
Configurando o Firewal com o ipkungfu e iptables no sistema operacional linux.

Esses dias estava lendo um pouco sobre firewalls e procurando a melhor forma de proteger meu pc. Depois de muita procura, me deparei com um programa muito bom e simples, chamado ipkungfu. Trata-se de um programa que configura as regras (chains) para o iptables.

Precisando apenas de que você configure um arquivo de configuração muito simples.

Vamos dar uma olhada nele: Primeiro baixe a versão mais atual em http://www.linuxkungfu.org/ e descompacte o arquivo

$tar jxvf ipkungfu-0.5.0.tar.bz2

ou $tar -zxvf ipkungfu-0.5.0.tar

entre no diretorio q é criado

$ cd ipkungfu-0.5.0

como root (faça um su) instale o programa com o comando

#./install

O executavel vai ser /usr/local/sbin/ipkungfu e o diretorio de configurações /etc/ipkungfu ainda como root, vá até este diretório

# cd /etc/ipkungfu

Está na hora de configurar seu firewall. É muito simples. Com seu editor de textos favorito, edite o arquivo ipkungfu.conf

# vi ipkungfu.conf

ou #mcedit ipkungfu.conf e salve com F10

A primeira coisa é informar onde se encontra o programa iptables. Faça um whereis iptables e coloque o caminho no arquivo

IPTABLES="/sbin/iptables"

Onde fica o modprobe?

MODPROBE="/sbin/modprobe"

Depois você irá informar qual a sua interface de conexão com a internet (pppx se vc usa conexão discada ou adsl, em outros casos, tente ethx, onde x é o numero da interface)

EXT_NET="ppp0"

Agora informe a interface de conexão com a rede interna (ethx, provavelmente.)

INT_NET="eth0"

Informe, agora o campo de endereços que compoem sua rede local

LOCAL_NET="192.168.0.0/255.255.255.0" ##por exemplo##

Se quiser fazer mascaramento (é isso?) de IP (IP Masquerading) informe agora. Se vc tem apenas uma maquina, coloque 0

MASQ_LOCAL_NET=1 ##caso sua maquina seja única use 0 ##

Você quer fazer IP forwarding (compartilhar a conexão com outras maquinas)? Se quiser, diga 1 se só tem uma maquina, 0

IP_FORWARD=1 ##1 habilita o compartilhamento com outras maquinas da sua rede interna ligada em eth1 ##

Se você tiver algum serviço que use uma porta TCP que deseja que possa ser acessado por maquinas externas, informe as portas desses serviços aqui, separadas por um espaço. Se não quiser que nenhum serviço seja acessado externamente, nao informe nada.

ALLOWED_TCP_IN="22"

Porta 22 para acesso ssh

O mesmo acima, só que para portas UDP

ALLOWED_UDP_IN="2049"

Porta 2049 para habilitar NFS

Bloquear portas

 

FORBIDDEN_PORTS="139"

Não quer que sua maquina responda a pings, coloque 1. Se quiser coloque 0

BLOCK_PINGS=0

A quantos pings você deseja responder?

PING_FLOOD=3

Agora voce vai decidir o que fazer com tentativas suspeitas de conexão. DROP nega e não envia nenhuma confirmação ao remetente, REJECT diz a quem enviou o pacote, que ele foi rejeitado e MIRROR vai pegar o pacote e trocar os endereços origem e destino, ou seja, vai enviar o pacote para quem o enviou. Use esta opção apenas se você realmente souber o que está fazendo...

SUSPECT="DROP"

O mesmo acima para pacotes conhecidamente inválidos

KNOWN_BAD="DROP"

O que fazer com prtscans?

PORT_SCAN="DROP

Deseja salvar as regras? (será feito se houver suporte a isso)

SAVE_RULES=1

Informe agora, como o ipkungfu vai determinar seu ip. As opções são AUTO, NONE ou o próprio IP.

GET_IP="AUTO" ## pega ip de um servidor dhcp ##

ou

GET_IP="192.168.0.1" ## ip fixo ##

Para poder se conectar sem problemas a IRCs ou outros serviços que requeiram ident na porta 113, coloque 1 aqui

DONT_DROP_IDENTD=1

Na proxima opção coloque 0 se você estiver usando o ipkungfu em uma maquina da sua LAN, caso contrario coloque 1

DISALLOW_PRIVATE=1

salve o arquivo. (FIM DA CONFIGURAÇÃO)

Digite #/usr/local/sbin/ipkungfu

Se tudo estiver ok, ele vai iniciar automaticamente.

Lembrando que você precisa ter um kernel da versão 2.4.x ou 2.6.x com netfilter habilitado. Provavelmente quando você rodar o ipkungfu ele vai autocarregar os modulos necessários. Se isso não acontecer, carregue os seguintes módulos (não é necessário fazer isso se estiver compilado diretamente no kernel)

ip_conntracki
ptable_filter
iptable_nat
ip_tables

Se você estiver usando uma distro baseada no RedHat, será criado um script de inicialização em /etc/rc.d/init.d chamado ipkungfu

Para iniciar o firewall faça

# service ipkungfu start

ou
# /etc/rc.d/init.d/ipkungfu start

para parar

# service ipkungfu stop

ou
# /etc/rc.d/init.d/ipkungfu stop

para que ele seja iniciado junto com a inicialização do linux, faça (no RH9 utilize o #ntsysv)

# chkconfig --level 2345 ipkungfu on


Para distribuições Debian faça:

cp ipkungfu /etc/init.d
chmod 755 /etc/init.d/ipkungfu
ln -s /etc/init.d/ipkungfu /etc/rc2.d/S20ipkungfu

Agora você poderá iniciá-lo com

/etc/init.d/ipkungfu start

e parar com
/etc/init.d/ipkungfu stop

Os logs, por padrão serão colocados no arquivo /var/log/syslog.

Fim.

Esse texto é de autoria de Bruno Cunha Torres

Envie seu comentário
 
 
Copyright © Sputnix.com.br, Seja Livre, Use Linux