Já com nosso projeto de firewall criado, vamos agora configurá-lo. Uma das grandes facilidades do Firewall Builder é centralizar em um único lugar não só as configurações de scripts iptables, mas também configurações que devem ser passadas para o kernel, como habilitação do ip_forward, dentre outras. Algumas você verá que ele já traz automaticamente e te indica mostrando que são necessárias para a segurança, outras ele deixa você fazer manualmente.

Bem, assumindo que seu firewall builder está aberto na tela inicial, como mostra abaixo:

Vamos criar um objeto Firewall, lembrando que um projeto de firewall pode ter 1 ou mais objetos de firewall. Por exemplo, se você tem um firewall corporativo e outro na entrada da DMZ, o firewall builder te proporciona a facilidade de administrar os dois num mesmo projeto, com scripts separados para cada um.

Criando um novo objeto Firewall

Clique sobre a pasta Firewall, que está localizada abaixo de User, depois clique com o botão direito do mouse, e selecione "New Firewall".

Entre com o nome do seu novo firewall. Aqui você pode colocar o nome do servidor que é responsável pelo serviço de firewall na sua rede, ou o que você preferir.

Depois de batizar seu firewall, selecione qual filtro de pacotes ele utiliza, lembrando que estou utilizando "iptables" neste artigo. Selecione também qual seu sistema operacional. Não marque o check-box "Use pre-configured templates firewall objects" para que você possa configurar suas interfaces (eth) manualmente. Clique em Next quanto tiver terminado.

Agora a seguinte tela aparecerá:

Apenas clique no botão Next. Agora vamos configurar as interfaces e seus endereços IP:

Nesta etapa nós vamos informar ao Firewall Builder quais são as interfaces de rede existentes em seu Linux. Caso você seja como eu que nunca decora, basta apelar para o comando ifconfig, que executado como root nos mostra quais são as interfaces configuradas.

Você precisará dos seguintes dados:

• Nome da interface;
• Endereço IP;
• MAC Address;
• Máscara de subrede.

Quando é executado o ifconfig, os seguintes dados são retornados:

eth0       Encapsulamento do Link: Ethernet  Endereço de HW 00:08:0D:71:64:F8
          inet end.: 192.168.2.153  Bcast:192.168.2.255  Masc:255.255.255.0
          endereço inet6: fe80::208:dff:fe71:64f8/64 Escopo:Link
          UP BROADCASTNOTRAILERS RUNNING MULTICAST  MTU:1500  Métrica:1
          RX packets:352924 errors:0 dropped:0 overruns:0 frame:0
          TX packets:190656 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:486174356 (463.6 Mb)  TX bytes:12714469 (12.1 Mb)

Você necessitará dos dados em negrito. Tomando o exemplo acima, nós teríamos:

• Nome da interface: eth0
• Endereço IP: 192.168.2.153
• MAC Address: 00:08:0D:71:64:F8
• Máscara de subrede: 255.255.255.0

Bem, com todos os dados de todas as suas interfaces levantados e em mãos, vamos cadastrá-los no firewall builder.

1. Insira o nome da sua interface nos campos "Name" e "Label";
2. Adicione o endereço IP no campo "Address";
3. Adicione a máscara de subrede no campo "Netmask";
4. Adicione o MAC Address no campo "MAC".

IMPORTANTE: Caso você adicione uma interface que está ligada diretamente a um Velox ou Speedy (utilizam ppoe), você deve marcar o check-box "Unnumbered Interface" e "Dynamic Address". Caso sua interface tenha um IP fixo, desconsidere estas opções e não marque nenhuma delas.

Quando entrar com suas opções, clique no botão Add e em Finish quando terminar de cadastrar todas as suas interfaces.

Agora vamos configurar o host Firewall que acabamos de criar. A seguinte tela se abrirá, após o cadastro das interfaces de rede:

Na aba General, clique em Host OS Settings. Aqui é importante configurar o que você tem conhecimento. O que você não souber para que ser, deixe com status de No Change. Com certeza você poderá modificar e setar como On, as seguintes opções:

1. Packet Forwarding
2. Kernel Anti-Spoofing Protection

As demais opções podem se tornar pessoais, como bloquear pings e outras. Por isso fica a critério de cada um. Ao terminar de configurar, clique em OK.

Agora clique no botão Firewall Settings, para abrir as configurações de firewall.

Na primeira tela de Firewall Settings (Compiler) você pode deixar as opções default do sistema, porém será necessário habilitar algumas opções ou personalizar outras, caso você necessite:

1. Bridging firewall: torna seu firewall um bridge.
2. Default action on Reject: aqui você especifica ação padrão que seu firewall toma, quando um pacote deve ser rejeitado.
3. Always permit ssh access... : esta opção pode ser utilizada para permitir um acesso SSH de uma estação específica. Eu particularmente não gosto desta opção, pois eu acho mais produtivo criar uma regra apontando para um grupo de Firewall Admins, que contém os hosts que podem entrar via SSH no firewall. Mais, como eu já mencionei, fica a seu critério.

Na aba Installer ficam as configurações para instalação automática das regras no mesmo host ou em outro. Eu não uso esta opção, porém pela documentação parece bem simples de implementar.

Na guia Logging é possível modificar as configurações default de tratamento de logs. Você poderá modificar de acordo com sua necessidade.

Deixe as opções de script do jeito que estão e clique no botão OK. A janela do objeto Firewall criado, pode ser fechada.

Pronto, agora você tem um objeto firewall, juntamente com suas interfaces criadas.