1. Prepare o Roteador da Internet Antes de comear, prepare seu roteador ADSL ou dedicado. Desabilite o servio de DHCP.

Configure o IP da interface interna como 192.168.0.1 e mscara de sub-rede 255.255 .255.252. Garanta o retorno dos pacotes provenientes da Internet para sua rede local. Voc t em trs alternativas. S implemente uma delas: Adicione uma rota esttica no seu roteador ADSL. a melhor forma, porm nem todos os roteadores ADSL permitem esta configurao. Configure a seguinte rota: route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.0.2 Configure o Roteador ADSL em modo bridge. Dessa forma o firewall que ter que se p reocupar em discar e estabelecer a conexo ADSL. A interface eth0 ir receber o IP pb lico fornecido pela fornecedora do servio de Internet. No irei tratar disto neste artigo. Configure o Shorewall para fazer NAT masquerade de todas os pacotes destinados p ara a Internet. Eles recebero o IP da interface eth0 e assim o roteador ADSL sabe r como devolver os pacotes para a rede interna. Esta configurao ser mostrada mais ab aixo, quando estivermos configurando o Shorewall. Tenha em mente que esta altern ativa implica em dois NAT's para os pacotes, um no firewall e outro do roteador ADSL. Apesar no deve apresentar nenhum problema, apesar de no ser a soluo mais elega nte. 2. Configure as interfaces de rede do Firewall Edite o arquivo /etc/network/interfaces e altere-o conforme abaixo. 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet static address 192.168.0.2 netmask 255.255.255.252 gateway 192.168.0.1 auto eth1 iface eth1 inet static address 192.168.1.1

netmask 255.255.255.0 No esquea de configurar o DNS, editando o arquivo /etc/resolv.conf. Se voc possuir um servidor de DNS interno, com Bind ou Active Directory, recomend o apontar a primeira entrada nameserver do resolv.conf para o IP dele. Voc pode u tilizar o DNS de seu provedor de Internet, do google (8.8.8.8 e 8.8.4.4) ou do O penDNS (208.67.222.222 e 208.67.220.220). Abaixo um exemplo de configurao do arquivo /etc/resolv.conf, apontando para um sup osto servidor de DNS interno com IP 192.168.1.10, e configurando o domnio padro de busca para empresa.com.br 1 2 3 4 5 nameserver 192.168.1.10 nameserver 8.8.8.8 namserver 8.8.4.4 domain empresa.com.br search empresa.com.br A maioria dos firewalls ainda no est bem preparada para operar em redes IPv6. Se v oc no tem necessidade de usar IPv6 melhor desabilit-lo. Para fazer isso, edite o /e tc/sysctl.conf e inclua as seguintes linhas no final do arquivo: 1 2 3 4 #disable ipv6 net.ipv6.conf.all.disable_ipv6=1 net.ipv6.conf.default.disable_ipv6=1 net.ipv6.conf.lo.disable_ipv6=1 Se voc usa ssh para administrar o firewall, e eu recomendo que o faa, edite o arqu ivo /etc/ssh/sshd_config e descomente a linha ListenAddress 0.0.0.0, mantendo co mentada a linha ListemAddress ::. Isto ir evitar que o servio ssh tente ouvir cone xes na rede IPv6. As linhas ficaro assim: 1 2 #ListenAddress :: ListenAddress 0.0.0.0 Reinicie o servidor e verifique se o IPv6 foi desabilitado com o seguinte comand o: 1 cat /proc/sys/net/ipv6/conf/all/disable_ipv6 Se o resultado for 1 ento porque o IPv6 foi desabilitado com sucesso. 3. Instale e configure o Shorewall Recomendo atualizar sua distribuio Ubuntu e reiniciar o servidor: 1 2 apt-get dist-upgrade reboot Instale o Shorewall: 1

apt-get install shorewall Edite o arquivo padro de configurao do shorewall (/etc/shorewall/shorewall.conf) e certifique-se que os parmetros de inicializao automtica (STARTUP_ENABLED) e encaminh amento de pacotes entre interfaces (IP_FORWARDING) estejam habilitados, conforme abaixo. Estas linhas j existem no arquivo, voc s precisa ajust-las. 1 2 STARTUP_ENABLED=Yes IP_FORWARDING=Yes Edite tambm o arquivo /etc/default/shorewall e altere o valor de startup=0 para s tartup=1: 1 startup=1 Copie os arquivos padro de configurao para sua instalao do shorewall: 1 cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ Configure as zonas (redes) do seu firewall, deixando o arquivo /etc/shorewall/zo nes assim: 1 2 3 4 5 #ZONE TYPE OPTIONS IN OUT # OPTIONS OPTIONS fw firewall local ipv4 adsl ipv4 As palavras local e adsl podem ser substitudas por outras de sua preferncia, desde que no tenham mais do que 5 caracteres. Elas servem apenas para definir e ajusta r as demais regras do firewall. Mais informaes em http://www.shorewall.net/manpage s/shorewall-zones.html. Configure as interfaces e a associao com as zonas recm criadas editando o arquivo / etc/shorewall/interfaces: 1 2 3 #ZONE INTERFACE BROADCAST OPTIONS local eth1 detect adsl eth0 detect Mais informaes sobre as possveis configuraes deste arquivo podem ser encontradas em h ttp://www.shorewall.net/manpages/shorewall-interfaces.html. O prximo passo configurar o arquivo /etc/shorewall/policy. Este arquivo ter as reg ras em mais alto nvel sobre o que seu firewall deve permitir ou bloquear. Meu arq uivo de policy sugerido: 1 2 3 4 SOURCE DEST # adsl all

POLICY DROP

LOG LIMIT: LEVEL BURST info

CONNLIMIT: MASK

all all REJECT info Da forma como est, o arquivo informa ao shorewall que todas as conexes iniciadas a partir do firewall esto permitidas para qualquer destino. As conexes iniciadas a partir da ADSL so descartadas e as conexes iniciadas de qualquer outra rede (no ca so da rede local) so negadas, porm um pacote enviado para a origem para informar a negao. Mais opes podem ser visulizadas em http://www.shorewall.net/manpages/shorewa ll-policy.html. E para finalizar a configurao precisamos editar o arquivo /etc/shorewall/rules. ne ste arquivo que iro todas as regras de liberao ou bloqueio do firewall. 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 #ACTION SOURCE ORIGINAL RATE # DEST LIMIT #SECTION ESTABLISHED #SECTION RELATED SECTION NEW

DEST USER/ GROUP

MARK

PROTO DEST CONNLIMIT PORT

SOURCE TIME PORT(S)

# Permite acesso SSH para o firewall SSH/ACCEPT local $FW SSH/ACCEPT adsl $FW # Permite ping para o firewall ACCEPT local $FW icmp

# Permite acesso completo para a internet a partir de alguns IPS internos ACCEPT local:$IPS_ACESSO_COMPLETO adsl # Libera acesso para algumas portas a partir do proxy interno ACCEPT local:$IP_SRV_PROXY adsl tcp 443,563,1935,2082,8245 #Permite requisies DNS a partir do servidor de DNS interno. DNS/ACCEPT local:$IP_SRV_DNS adsl 80,81,8080,8081,