Gerenciando regras de Iptables com Firewall Builder

Talvez algumas pessoas gostem de editar suas regras de firewall utilizando scripts de texto. Eu não tenho nada contra! Neste artigo irei mostrar um pouco do funcionamento do Firewall Builder, usado para gerenciar e documentar suas regras de Iptables de maneira simples e bem organizada.

[ Hits: 82.187 ]

Por: Alan Cota em 20/03/2005


O Firewall Builder



O download da ferramenta e busca de outras informações pode ser feito em www.fwbuilder.org.

A versão que eu uso é a 2.0.2, porém a ferramenta já está com a 2.0.6 que suporta impressão das regras.

O Firewall Builder possui versões gratuitas para Linux e versões shareware para Windows. A idéia central é ter um ambiente que armazena de maneira gráfica suas regras e depois gere um script que deve ser executado em seu firewall. E pronto, todas as regras estarão lá! Isso mesmo, ele monta todas as regras em scripts automaticamente.

Apesar de ser uma ferramenta completa, o firewall builder pode parecer um pouco complicado num primeiro contato com a ferramenta, porém basta se acostumar com os seguintes conceitos.

As regras são armazenadas em um arquivo FWB e cada arquivo desse deve ter no mínimo 1 firewall, podendo existir outros, caso seja sua necessidade. Porém aconselho a ter arquivos FWB para cada firewall. Por exemplo, se você tem 1 firewall corporativo e 1 na sua DMZ, o melhor é ter um arquivo chamado "fw_corp.fwb" e outro chamado "fw_dmz.fwb".

Dentro do software será criado um objeto firewall, que deve apontar para um dos firewalls que a ferramenta suporta, que são: Iptables, ipfilter, OpenBSD pf, Cisco PIX, dentre outros. O objeto firewall deve possuir suas interfaces, que por sua vez tem seus endereços IP, públicos, privados, dmz, etc.

Após criar o objeto firewall, juntamente com suas interfaces e endereços, você verá que existem abas de política à sua direita. Existirá sempre a aba Policy, que são as políticas padrão do firewall, que se aplicarão a todas as interfaces. Existirão também uma aba de política para cada interface criada em seu objeto Firewall. Por exemplo, se você criou as interfaces: Externa, Privada e DMZ, existirão as seguintes abas de políticas: Policy, Externa, Privada, Loopback, DMZ, NAT. A política loopback refere-se a regras da interface loopback do firewall e a NAT a regras de transformações de endereço. É possível fazer graficamente regras de SNAT, DNAT, NAT e PAT. Tudo muito fácil e intuitivo.

Aqui já surge uma das grandes dúvidas e confusões que me ocorreram. Para que serve a aba Policy? E já que ela é padrão, por que existem as outras? Calma que tudo se explica! :P Primeiro temos que entender que os pacotes irão entrar na seguinte ordem:

NAT > Interface Policy > Global Policy

A diferença entre as políticas de interface e a aba Policy (global policy) é que as políticas de interface especificam uma interface, visto que a global não. Confuso não?! Trazendo para a linha de comando do iptables, as políticas de interface são aquelas que nós especificamos uma interface, seja de entrada ou de saída ("-i" ou "-o"), enquanto nas políticas globais são aquelas regras em que não precisamos especificar uma interface de entrada ou saída, para o pacote.

No objeto firewall é possível configurar e habilitar uma série de parâmetros necessários a um bom funcionamento de um gateway/firewall de internet, como habilitação do roteamento entre as interfaces, dentre outros.

Uma das características mais fascinantes do Firewall Builder é a possibilidade de se criar objetos que representam os servidores, usuários, protocolos, serviços, dentre outras funcionalidades. Ele já vem com uma gama de serviços e protocolos pré-configurados, que ficam na opção Starndard, selecionada em um drop-down que já vem com a palavra "User".

Quando uma regra estiver pronta para entrar em produção no firewall, basta clicar no botão de compilação e aguardar ele terminar a detecção de sobreposição de regras e gerar um script com o mesmo nome do objeto firewall e com extensão ".fw". Este script é gerado no mesmo diretório que armazena o arquivo FWB.

Agora é deixar sua imaginação falar mais alto. Vá criando suas regras, recortando e colando objetos, criando grupos de servidores ou serviços e gerando scripts.

Espero ter dado uma luz e mostrado uma tecnologia nova para que possamos aprender! :)

Um abraço e até a próxima.

Página anterior    

Páginas do artigo
   1. Introdução
   2. O Firewall Builder
Outros artigos deste autor

Certificações Novell para Linux

Implementando uma política de segurança eficaz

IPCop Firewall - Uma ótima opção de proteção para sua rede ADSL

Autenticação no Iptables

Por que o Linux é uma melhor opção comparado ao Windows?

Leitura recomendada

Addon URL Filter - Filtrando URLs no seu firewall

Como construir um firewall de baixo custo para sua empresa (parte 2)

Bloqueando programas P2P com iptables

NoCatAuth - Construindo um firewall/gateway autenticado

Entendendo a teoria do iptables

  
Comentários
[1] Comentário enviado por jeffestanislau em 21/03/2005 - 11:16h

Fala Rapaz,

Pô, quando ví o título e já sabendo que vc tinha feito outros artigos sobre firewall, pensei que você iria descrever realmente as rotinas para se criar regras com o Firewall Builder... neste caso... ficou um pouco a desejar...

Para uma introdução, o texto está bom.... mais seria interessante fazer uma segunda parte dando mais explicações...

[]´s


[2] Comentário enviado por shocker em 21/03/2005 - 11:29h

Obrigado pelo comentário Jefferson.
Vou tentar expandir mais este artigo, e criar algo maior e mais completo sobre o FW.
Atc,
Alan Cota.

[3] Comentário enviado por agk em 21/03/2005 - 13:58h

O Firewall Builder é uma ferramente realmente interresante, para que não consegue viver sem um ambiente gráfico e com ferramentas gráficas ele é indispensável, mas nada como o bom e velho script onde você sabe exatamente o que está fazendo e pode fazer tudo, ou até mais que o fw faz.
PS: poderia ter ensinado a usar o fw, para o pessoal que nunca mexeu com firewall acho que vai ser bastante complicado entender como ele funciona.
[ ]'s

[4] Comentário enviado por shocker em 21/03/2005 - 14:03h

Fala Galera VOL! :)
Seguinte, peço desculpas por não ter me aprofundado mas no Firewall Builder, e para corrigir isto eu estou preparando o artigo Gerenciando regras de Iptables com Firewall Builder - Parte II que conterá absolutamente TUDO, sobre o FWBuilder! Desde o download e instalação dos pacotes corretos, até a criação e manutenção de um firwall! :)
Aguardem os próximos dias.....

Um abraço.

[5] Comentário enviado por crayon em 22/03/2005 - 09:42h

Putz ...
Voce vai fazer isso mesmo?!?
Parabéns, acho que só assim para entender claramente (ou não) as regras desse "nosso" firewall ... :-))

Um abraço,

¬ cRaYoN ¬

[6] Comentário enviado por diter em 05/03/2006 - 21:11h

Excelente artigo, vou tentar aplicar a parte II, depois replico aqui!

Abração

Diter

[7] Comentário enviado por shocker em 06/03/2006 - 09:18h

Serve este: http://vivaolinux.com.br/artigos/verArtigo.php?codigo=2363

:P

[]'s
Alan Cota.

[8] Comentário enviado por fabricio.passos em 17/11/2006 - 17:25h

Um ótimo artigo para aqueles que não conhecem o fwb.

Um grande abraço .

Fabricio Passos

[9] Comentário enviado por lindajineth em 05/01/2007 - 19:05h

Hola a Todos soy Colombiana pero con este articulo, ademas de aprender y conocer mas o fondo sobre fwbuilder, tambien aprendi, este idioma, y la verdad no me parece tan complicado, ahhh por cierto el articulo estabuenisimo, y super sencillo, explican bien todo y los componente de fwbuilder, con el despeje algunas dudas

[10] Comentário enviado por marceloespindola em 07/07/2007 - 15:32h

Pessoal estou escrevendo um artigo aqui para o viva o linux sobre scrippt de firewall, ele está completo, pois levei muito tempo para desenvolve-lo e tinha objetivo de reunir as principais soluções e dúvidas sobre firewall iptables/netfilter para este artigo, mas como quero construir um bom artigo ainda está em fase de construção para o vivaolinux, entretanto estou disponibilizando no endereço

http://marcelolinux.blogspot.com/2007/07/meu-primeiro-artigo-do-vivaolinux.html

os arquivos e o artigo referente a script de firewall completo.

[11] Comentário enviado por rogeriojlle em 27/05/2008 - 17:42h

é possível "importar" regras já existentes para o fwb? é que já uso os recursos do Yast para compartilhar rede, mas ele não permite maiores personalizações que seriam de grande valia pra mim


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts