Kurumin: Compartilhando a conexão e ativando o firewall

É redundante dizer que é importante manter um firewall ativo em qualquer micro diretamente conectado à internet. Compartilhar a conexão com outros micros da rede também é uma necessidade comum. Vamos então a uma dica rápida de como fazer as duas coisas no Kurumin 7.

Além das opções para configurar a rede, dentro do Painel de Controle, na seção de configuração da rede, você encontra também opções para compartilhar a conexão e configurar o firewall:

Para compartilhar a conexão, seu micro deve ter duas placas de rede, uma conectada à internet e outra conectada à rede local. Também é possível compartilhar uma conexão via modem ou wireless.

Comece conectando-se à internet normalmente e em seguida configure a rede local, usando o "Configurar a rede". Verifique se o servidor consegue enxergar os outros micros da rede e vice-versa e só depois ative o compartilhamento, clicando na opção "Compartilhar a conexão com a rede local":

O script mostra uma lista com as placas de rede instaladas e pergunta qual delas está conectada à internet e se oferece para instalar e configurar os servidores DHCP e DNS, que são opcionais. O DHCP permite que o servidor forneça a configuração da rede para os outros micros automaticamente e o DNS permite que o próprio servidor seja o DNS da rede, dispensando o DNS do provedor.

Ao compartilhar a conexão, o micro passa a ser o gateway da rede. Ao configurar os clientes, use endereços dentro da mesma faixa do servidor (como em: 192.168.0.2) e use o IP do servidor como gateway.

No quesito firewall, você tem duas opções, usar o Kurumin Firewall, um script que faz algumas perguntas e em seguida gera um script com as regras para o IPtables, que passa a ser carregado automaticamente na hora do boot, ou usar o Firestarter, um configurador gráfico, estilo Zone Alarm, que monitora as conexões e permite que você abra ou redirecione portas conforme necessário.

A diferença básica entre os dois é que as regras geradas pelo Kurumin Firewall são estáticas, ou seja, o firewall é configurado uma vez e fica ativo fazendo o que mandou, sem fazer perguntas. O Firestarter, por sua vez, fica residente ao lado do relógio e lhe permite ver as tentativas de conexão ao seu micro e ir alterando a configuração conforme necessário.

Usando o Kurumin Firewall

O Linux possui um firewall integrado diretamente ao Kernel, o Iptables. A vantagem dele sobre firewalls que rodam em nível de aplicativo, como é o caso da maioria dos firewalls para Windows, é que os dados passam pelo firewall antes de passar por qualquer outra camada do sistema, garantindo um melhor desempenho e eliminando a possibilidade de brechas em outros componentes prejudicarem o trabalho do firewall.

O Iptables é configurado através de regras, adicionadas via linha de comando. Com as duas regras abaixo, por exemplo, você bloqueia todas as novas conexões provenientes da rede, permitindo apenas a comunicação interna entre os programas:


O Kurumin Firewall é um script que venho atualizando ao longo das versões do Kurumin, que faz algumas perguntas e em seguida gera as regras automaticamente pra você. Por padrão, ele fecha todas as portas TCP do seu micro para novas conexões, sem, entretanto, impedir que sua máquina inicie novas conexões. O firewall protege sua máquina, sem impedir que você continue navegando, usando o MSN, acessando compartilhamentos da rede e assim por diante. A idéia é que o firewall cause um mínimo de inconvenientes ao ser ativado.

A primeira pergunta é se você deseja abrir o firewall para conexões provenientes dos micros da rede local. Isso permite que outros micros da sua rede consigam acessar impressoras e arquivos compartilhados, sem, contudo, abrir para conexões provenientes da internet. Ao ativar esta opção, você deve informar a faixa de endereços usada na sua rede, como "192.168.0.0" ou "192.168.1.0", por exemplo.

Em seguida, você tem a opção de indicar portas específicas, que devem ficar abertas para a Internet. Se você precisa acessar sua máquina remotamente via SSH, por exemplo, deixaria a porta 22 aberta, se pretende usar o bittorrent seria recomendável manter a 6881 aberta e assim por diante. A pergunta fica em loop até que você responda "não", permitindo que você adicione várias portas, caso necessário.

No final, você tem a opção de acessar um menu de "configurações avançadas", onde você pode também fazer o forwarding de portas para micros da rede local (no caso do firewall ser ativado no micro que compartilha a conexão) e também bloquear portas de saída, o que impede que programas na sua máquina consigam enviar informações para fora.

Ao usar o menu de opções avançadas, você tem a opção de revisar e modificar o arquivo com as regras gerado pelo script. Ou seja, se você conhece ou está estudando sobre as regras do Iptables, pode usar o script gerado pelo Kurumin Firewall como ponto de partida para criar seu script de firewall personalizado. As regras geradas são salvas no arquivo "/etc/init.d/kurumin-firewall".

Usando o Firestarter

O Firestarter é um firewall gráfico, que é ao mesmo tempo bastante poderoso e fácil de usar. Ele é adequado para uso em desktops, onde é necessário uma forma simples de monitorar tentativas de conexão e abrir portas quando necessário. O ícone para ativá-lo está no "Iniciar > Internet > Firestarter (Firewall)".

Ao abrir o Firestarter pela primeira vez, é aberto um assistente que pede algumas informações básicas sobre a configuração da rede e oferece opções para compartilhar a conexão e ativar o firewall sob demanda, ao conectar via modem ou ADSL PPPoE.

O compartilhamento de conexão cria um compartilhamento simples, via NAT, equivalente a usar o script para compartilhar a conexão que vimos há pouco. Ao compartilhar a conexão, é necessário apenas indicar qual é a placa ligada à rede local. A única limitação é que o Firestarter não permite compartilhar usando uma única placa de rede:

Estas configurações podem ser alteradas posteriormente no menu "Editar > Preferências". Se a opção de Habilitar o servidor DHCP aparecer desativada na sua configuração, verifique se o pacote com o servidor DHCP (dhcp3-server) está instalado. O Firestarter apenas altera a configuração de um servidor DHCP já instalado, ele não faz a instalação para você.

Como o Firestarter precisa manipular as regras do Iptables e configurar outros componentes do sistema, ele só pode ser executado como root, por isso ele solicita a senha ao ser aberto. Ao acioná-lo através do menu, isso não acontece, pois ele é acionado usando o sudo. Por padrão, uma vez aberto, o Firestarter bloqueia todas as portas e loga todas as tentativas de conexão, uma configuração bastante segura.

Ainda na janela de configurações, verifique se a opção "Método de rejeição de pacotes preferido" está configurada como "Descartar silenciosamente", em que é usada a política "DROP" do Iptables, ao invés de "REJECT", onde o emissor recebe resposta.

A opção "Tráfego de broadcast" se refere a todos os pacotes direcionados à rede, como, por exemplo, os pacotes usados por servidores Windows (e Samba) para mapear os compartilhamentos disponíveis na rede. Deixe sempre a opção "Block broadcasts from external network" (pacotes de broadcast vindos da internet) habilitada. Caso esteja usando uma rede wireless, ou acessando através de uma rede de terceiros, marque também a opção para bloquear pacotes de broadcast provenientes da rede local.

Um dos recursos mais interessantes do Firestarter, e o principal diferencial com relação a outros projetos, é que ele transforma os logs de tentativas de acesso gerado pelo Iptables em avisos dentro da aba "eventos". Quando uma nova tentativa de acesso é registrada, o ícone ao lado do relógio fica vermelho e você tem a opção de aceitar ou recusar a conexão. Na ilustração, temos uma tentativa de acesso ao servidor SSH, que está habilitado na porta 22, a partir do host 192.168.1.2.
A opção "Permitir serviço de entrada para a origem" faz com que, daí em diante, o host 192.168.1.2 possa acessar o SSH, sem disparar novamente o alarme, enquanto a opção "Permitir conexões a partir da origem" faz com que o 192.168.12 possa acessar qualquer serviço, em qualquer porta, sem disparar o alarme. Esta segunda opção é interessante para micros da rede local. Finalmente, a opção "Permitir serviço de entrada para todos" abre a porta do SSH para todo mundo, incluindo micros da internet. É uma opção que deve ser usada com mais cautela.

Você pode acompanhar as conexões em uso através do campo "Conexões ativas", na tela principal. Note que a lista inclui todas as conexões, tanto as conexões como cliente, contatando outros micros da rede ou internet, quanto as conexões como servidor, recebendo uma conexão a partir de fora.

Outra questão é que muitos programas abrem diversas conexões simultâneas, o Gaim (ou outro cliente de ICQ/MSN), por exemplo, abre uma conexão com o servidor principal, quando você fica online, e mais uma conexão para cada janela de conversa aberta. Uma única instância do Bittorrent pode chegar a abrir mais de 20 conexões, já que baixa e serve o arquivo para vários hosts simultaneamente. Preste atenção nas conexões em que o destino é seu próprio IP, pois elas indicam gente se conectando a servidores ativos na sua máquina.

Uma vez ativado o firewall, as regras ficam ativas, mesmo que você feche a interface principal; mas você perde a possibilidade de monitorar as tentativas de acesso e aceitar conexões. O Firestarter fica residente na forma do serviço de sistema "firestarter". Você pode usar o comando "Iptables -L", que lista as regras de firewall ativas para comprovar isso.

Para realmente parar o firewall, você precisa reabrir a interface e clicar no "Parar firewall" ou usar (como root) o comando "/etc/init.d/firestarter stop". Imagine que, ao contrário dos firewalls para Windows, o firewall em si é independente da interface.