Nesse artigo demonstrarei como instalar e configurar o GuFW, ou seja, a interface gráfica para o firewall UFW, disponível nas versões do Ubuntu e em distros nele baseadas.
O passo sobre a instalação do firewall e da sua interface gráfica servirá apenas aos usuários de distros em que os mesmos não vem instalados por padrão, caso do Debian e de distros que utilizam outros formatos de pacotes, no Debian e em qualquer distro Debian-like:
Após instalado, o ícone do programa ficará disponível em Sistema > Configuração do Firewall, sua tela inicial é a seguinte e por padrão o mesmo vem desativado:
Clicamos na opção "Habilitado" e mantemos o campo por definição como "Negar":
A seguir clicamos na opção "Adicionar" e escolhemos o que liberar ou negar. No exemplo, liberarei acesso ao cliente BitTorrent Transmission e ao cliente eD2K aMule:
E abaixo está o que será liberado:
* no caso do aMule, apesar do mesmo constar na aba "Pré-configurado", optei por utilizar a aba 'Simples' e liberei acesso ilimitado a porta TCP 4462 e acesso a porta UDP 4665, pois com isso o desempenho do programa melhora.
Nesse ponto o firewall já está quase pronto para uso e bastaria apenas um teste no site:
Porém, com essa configuração o teste não nos dará o 'selo' de PASSED visto que a máquina aceita requisições ICMP (Pings), isso é o padrão do UFW, pois às vezes essas requisições são necessárias para efetuar testes em redes, para alterá-las editamos o arquivo /etc/ufw/before.rules e alteramos a política de ACCEPT para DROP no campo '# ok icmp codes':
De:
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT
Para:
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j DROP
-A ufw-before-input -p icmp --icmp-type source-quench -j DROP
-A ufw-before-input -p icmp --icmp-type time-exceeded -j DROP
-A ufw-before-input -p icmp --icmp-type parameter-problem -j DROP
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP
Daí podemos prosseguir com os testes no referido site que certamente obteremos o PASSED tão desejado:
[2] Comentário enviado por mauriicio em 10/08/2011 - 12:32h
Olá Edinaldo,
há 1 mês migrei do Ubuntu para o Arch, distro fantástica.
Aos poucos, vou aprendendo e me habituando.
Fiz as mudanças sugeridas no arquivo /etc/ufw/before.rules, porém o site da GRC não me retornou PASSED...
Alguma sugestão ?
Desde já, obrigado pela atenção !
[3] Comentário enviado por removido em 10/08/2011 - 16:28h
No LinuxMint o GUFW já vem instalado por padrão.
No Ubuntu eu instalo via central de programas.
Terminal é p/ linuxer "de verdade" como vc!
Eu corro da telinha preta!
rsrsrsrsrs...
[5] Comentário enviado por removido em 10/08/2011 - 18:53h
Valeu galera, obrigado pelos comentários.
@mikeitaly, já uso a um tempinho.
@mauriicio, o UFW|GuFW é o firewall que utilizo no Arch Linux. Sobre a questão do 'PASSED' verifique se não existe alguma porta aberta, pois quando isso ocorre no gráfico do resultado a porta aberta fica com marcada com a cor azul. Veja o ADENDO logo abaixo deste comentário.
@clodoaldops, de fato vem instalado no Ubuntu e na maioria das distros que nele se baseiam e também no LMDE. É bom conhecermos ao menos um pouquinho como as coisas funcionam no terminal, pois como visto no artigo algumas coisas não estão disponíveis para configurar via interface gráfica, como por exemplo o passo das requisições ICMP.
@Izaias meu brother, estás coberto de razão em manter um FW sempre ativo. Na outra máquina daqui de casa (da minha filha) que roda além do LMDE o WinXP, neste uso um FWzinho básico chamado iSafer, apenas para bloqueio de tráfego de entrada|saída visto que o FW da M$ é uma piada.
[6] Comentário enviado por removido em 10/08/2011 - 18:56h
ADENDO AO ARTIGO.
Uma coisa que esqueci de comentar é que ao alterar diretamente os arquivos de configuração, no caso das requisições ICMP (ver 2º comentário) devemos reiniciar o firewall.
Então, nas distros Debian-like:
$ sudo /etc/init.d/ufw restart
ou
$ sudo service ufw restart
[7] Comentário enviado por andretyn em 10/08/2011 - 21:50h
Eu gostaria de saber se o firestarter (também um configurador de firewall) é ou não melhor que o GUFW ou até similar que o mesmo. E qual a sua opinião sobre ele?
[8] Comentário enviado por removido em 10/08/2011 - 22:02h
@andretyn, obrigado pelo comentário,
apesar de possuir mais opções de configurações que o GuFW, eu não gosto do FireStarter! é questão de gosto mesmo e também porque antigamente pelo que eu saiba era necessário mexer em algumas configurações para que ele iniciasse junto ao ambiente gráfico, ao contrário do GuFW que estando configurado é o serviço 'ufw' que inicia junto ao sistema independente da interface gráfica.
[9] Comentário enviado por mauriicio em 16/08/2011 - 20:31h
Olá Edinaldo !
Então, assim que eu entro no site GRC, e clico em "Proceed", ele me retorna a negativa (Greetings! Without your knowledge or explicit permission, the Windows networking technology which connects your computer to the Internet may be offering some or all of your computer's data to the entire world at this very moment!)
Depois disso, eu clico em "All service ports", e ele faz a análise e retorna o procurado PASSED.
É desse jeito mesmo ?
Obrigado pela atenção !
Ah, nadaver com o tópico: o que você acha do archbang para um netbook ?
Abraço
[13] Comentário enviado por removido em 19/08/2011 - 23:34h
@annakamilla,
não tenho nenhuma dica, mas acho bom que tenhamos conhecimentos das portas utilizadas pelos serviços e etc, assim não deixamos brechas que nos tornem vulneráveis a ataques.
como não uso IRC, verifique a possibilidade de rodá-lo através de proxy ou da rede TOR.
[14] Comentário enviado por pedrohne em 23/05/2012 - 17:04h
Sem dúvida é um ótimo firewall, mas estou com problemas: ele bloqueia os clientes de e-mail. Já liberei as portas 25 / 366 / 465 (smtp), 110/995 (pop3) e 143 / 993 (imap4) e não funcionou! Se alguém puder ajudar, agradeço.