Até o momento, configuramos o acesso à rede 192.168.0.0/24 e à internet sem nenhuma restrição, ou seja, todo e qualquer computador da rede 10.0.0.0/24 pode acessar qualquer recurso externo, além de o próprio Vyatta estar acessível a partir de qualquer computador de qualquer uma das redes às quais ele está ligado, o que não é nada bom do ponto de vista da segurança. Temos que restringir o acesso e, para isso, vamos usar os recursos de firewall do Vyatta.

Antes de iniciar a configuração, é preciso entender como o Vyatta organiza as regras de firewall. O processo consiste de duas etapas: primeiro, cria-se um grupo de regras, que recebe um nome para fácil identificação e, depois, esse conjunto de regras é associado a uma interface de rede.

Cada interface de rede pode ter associadas no máximo três conjuntos de regras de firewall, sendo uma para cada direção do tráfego de rede. As direções aqui são:

• in: tráfego que entra pela interface com destino a um computador de outra rede;
• out: tráfego saindo pela interface vindo de um computador de outra rede;
• local: tráfego entrando pela interface com destino ao Vyatta ou com origem no Vyatta saído pela interface.

Sabendo isso, vamos começar criando um conjunto de regras que permita à estação do administrador (10.0.0.199) acessar a internet. Para que isso seja possível, os seguintes acessos deverão ser liberados:

• Acesso à porta 80/TCP de qualquer IP;
• Acesso à porta 53/UDP dos servidores DNS (192.168.0.72 e 192.168.0.74).

Como o tráfego tem origem na LAN com destino à internet, vamos chamar esse conjunto de regras de "lan-net".

Com esses dados em mãos, vamos criar a primeira regra do nosso firewall:

# edit firewall name lan-net rule 1
# set description "Administrador acessar a internet"
# set source address 10.0.0.199
# set destination port 80
# set protocol tcp
# set state new enable
# set state established enable
# set action accept
# exit

Agora, vamos liberar o acesso aos servidores DNS, regras 2 e 3:

# edit firewall name lan-net rule 2
# set description "Administrador acessar DNS"
# set source address 10.0.0.199
# set destination address 192.168.0.72
# set destination port 53
# set protocol udp
# set state new enable
# set state established enable
# set action accept
# exit
# edit firewall name lan-net rule 3
# set description "Administrador acessar DNS"
# set source address 10.0.0.199
# set destination address 192.168.0.74
# set destination port 53
# set protocol udp
# set state new enable
# set state established enable
# set action accept
# exit

Agora, precisamos associar essas regras a uma interface de rede. No nosso caso, as regras se aplicam ao tráfego de rede que entra pela interface eth1 com direção à rede externa. Portanto, vamos aplicar essas regras na direção "in" da interface eth1 e usar o comando commit para que as regras de firewall entrem em vigor:

# set interfaces ethernet eth1 firewall in name lan-net
# commit

Tenha bastante atenção ao criar suas regras de firewall, pois a partir do momento que você as aplica em uma determinada direção de uma interface de rede, todo o tráfego relacionado que não for explicitamente liberado será bloqueado.

As três regras de firewall mostradas aqui são equivalentes aos seguintes comandos do iptables:

# iptables -A FORWARD -i eth1 -s 10.0.0.199 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -A FORWARD -i eth1 -s 10.0.0.199 -d 192.168.0.72 -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -A FORWARD -i eth1 -s 10.0.0.199 -d 192.168.0.74 -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -A FORWARD -i eth1 -j DROP

• NOTA: Observe a última regra: nós não a criamos, ela foi aplicada automaticamente pelo Vyatta.

Com base nesse exemplo você poderá facilmente configurar outras regras de firewall para gerenciar o tráfego das redes conectadas ao seu roteador.