Assine a Lista Dicas-L
Receba diariamente por email as dicas
de informática publicadas neste site
Para se descadastrar, clique aqui.
Shell Scripts do Firestarter
Colaboração: Francisco Aparecido da Silva
Data de Publicação: 18 de julho de 2010
O Firestarter apresenta diversas funcionalidades que podem ser observadas no seu manual em Inglês. Não é sempre que temos acesso ao ambiente gráfico do Gnome por exemplo, e em muitas situações o que temos é uma conexão por ssh de baixa velocidade. Portanto, vejo que conhecer o ssh e os arquivos de configurações dos programas é fundamental.
Nesta linha de pensamento, relaciono a seguir alguns comentários sobre os principais scripts do firestarter. Não esqueça também de consultar a man page.
Em /etc/firestarter temos os seguintes scripts:
configuration events-filter-hosts events-filter-ports firestarter.sh firewall non-routables sysctl-tuning user-post user-pre
configuration` é o arquivo principal e muito bem comentado por seção como External Interface, Network Address Translation etc. É possível alterar o comportamento do firewall através destas opções. Use-as com cuidado.
events-filter-hosts e events-filter-ports normalmente sem configuração nas opções padrão do firestarter, indica o que deve ser filtrado baseado em hosts ou em portas.
firestarter.sh é o arquivo responsável em chamar as regras e fazer subir os serviços.
Observe atentamente os diretórios /etc/firestarter/inbound e /etc/firestarter/outbound. Nestes diretórios estão as suas definições das regras criadas. Por exemplo, se estiver usando um firewall permitindo tudo para saída, você deve checar as regras em /etc/firestarter/outbound e nestes arquivos fazer alteração, porém sem nunca alterar o arquivo setup presente neste diretório. Se suas regras tem bloqueios na entrada do firewall, o diretório onde deve ser observado e alterado as regas seria /etc/firestarter/inbound, porém sem alterar o arquivo setup. Perceba os aquivos allow-from e allow-service, nestes é possível adicionar ou excluir regras facilmente.
Exemplo do allow-service (em /etc/firestarter/inbound):
SSH, 22, everyone, ssh de qualquer lugar
HTTP, 80, 192.168.1.10, apache somente para a máquina 192.168.1.
Trata-se de uma regra por linha, cada linha iniciando pelo nome da regra, seguida do protocolo e para quem é o acesso, pode ser um ip ou everyone. Após a terceira vírgula pode-se colocar um comentário ou mesmo deixar em branco. Neste caso portanto, somente a porta 22 esta aberta para todos e a porta 80 está aberta para o ip 192.168.1.10.
Exemplo do deny-service (em /etc/firestarter/outboud). Neste caso temos um cenário onde tudo é permitido e os serviços constantes do deny-services são negados conforme a regra:
DNS, 53, everyone, bloqueia dns HTTP, 80, everyone, bloqueia http HTTPS, 443, everyone, bloqueia https
Ainda, considerando as regras em /etc/firestarter/outbound, e pensando em uma regra onde tudo seja bloqueado e liberado as excessões, observe o arquivo allow-service. Neste temos somente o que é permitido sair da máquina em questão.
DNS, 53, everyone, permite dns HTTP, 80, everyone, permite http HTTPS, 443, everyone, permite https
Conclusão: Mesmo que utilize o wizard para suas configurações iniciais, não deixe também de conhecer os arquivos de configuração usando seu shell preferido. O firewall firestarter é robusto e permite várias combinações de acordo com seu desejo de segurança. É preciso ter um cenário definido antes de fazer suas regras.
Francisco Aparecido da Silva trabalha atualmente com administração de redes e aulas na graduação na www.santacruz.br com segurança de sites. Utiliza GNU/Debian como sua distro linux preferida tanto em servidores quanto nos desktops. Blog Pessoal http://blog.silva.eti.br.
Referências Adicionais
Referências adicionais sobre os assuntos abordados neste site podem ser encontradas em nossa Bibliografia.
Avalie esta dica
Opinião dos Leitores
18 Set 2010, 15:07
28 Jul 2010, 23:33
19 Jul 2010, 00:49
Ao autor, o meu muito obrigado! :)
