FWBuilder

Faculdade Mauricio de Nassau

Curso: REDES E COMPUTADORES
Turno: NOITE Turma: NB
Matéria: ADMINISTRAÇÃO DE REDES I
Professor: FRED MADEIRA
Alunos: Dinarte Pereira
Jefferson Oliveira
Luiz Flavio

1
 Introdução

Firewall Builder é uma ferramenta de gerenciamento e configuração

para firewall baseado em interface GUI que suporta iptables
(netfilter), ipfilter, ipfw, Cisco PIX e lista de acesso estendida para
Roteadores Cisco. Firewall Builder aproxima o uso de orientação a
objetos, pois ajuda a administradores manter a uma base de dados de
objetos de rede e permite edição de políticas usando simples
operações de arrastar e clicar com o mouse.

A ferramenta permite que administradores possam gerenciar

múltiplos firewalls
Usando a mesma base de dados de objetos de rede. Pode mudar um
determinado objeto que imediatamente será refletido na política de
todos os firewalls que utilizam o determinado objeto.

A comunicação da Interface gráfica como o firewall propriamente dito

se faz por
meio de comunicação via SSH e pode automaticamente gerar
políticas e ativálas para que entre em atividade no mesmo momento.

2
 ESCOLHA DO EQUIPAMENTO

A escolha do equipamento de hardware a ser utilizado como

firewall é muito subjetiva, pois depende diretamente do seu tráfego
de rede, o seqüentemente pode se inferir que quanto mais tráfego na
sua rede mais processador e disco o firewall deverá ter, pois a análise
das regras de um firewall estão intimamente ligadas ao uso de
processador da máquina a fim de interpretar cada uma das regras
para cada pacote de entrada ou saida em questão e esse tráfego todo
é gravado em forma de LOGS o que acarreta um uso de disco
relativamente considerável.

INSTALAÇÃO

Para instalar o FWBUILDER no debian é muito simples, pois

basta realizar a instalação do pacote de forma gráfica ou de maneira
manual representada abaixo:

# apt-get install fwbuilder

# yum install fwbuilder

Pela primeira vez deve-se optar pela opção < CREATE NEW PROJECT
FILE >
para que seja criado o arquivo que conterá toda a configuração do
firewall a ser criado como mostra abaixo:

3
 Nesta etapa deve-se colocar o diretório onde irá conter os
arquivos de configuração do firewall que no nosso exemplo ficará no
diretório “/firewall” e o nome do arquivo. Neste exemplo, o nome do
arquivo foi dado como meu firewall bastando clicar no icone <OK>
para prosseguir e abrir em definitivo o software.

4
 DEFININDO O DIRETÓRIO DE TRABALHO PADRÃO

Para configurar o diretório padrão onde o FWBUILDER irá trabalhar

deve-se
Clicar no item <Edit> \ <Preferences> permitindo abrir a tela abaixo:

Nesta tela deve-se colocar o diretório onde será o padrão das

configurações e na opção < ON STARTUP > selecionar a opção “
LOAD LAST EDITED FILE ” para que toda a vez que se abrir o
FWBUILDER possa carregar automaticamente o arquivo configurado
pela última vez.

5
 MONTANDO E PREPARANDO UM FIREWALL

Ao posicionar o cursor em cima da palavra firewall no canto superior

esquerdo da tela do FWBUILDER clicar com o botão esquerdo e
selecionar a opção < NEW FIREWALL > abrindo a tela:

Colocar o NOME DO SERVIDOR: ex: jacarandá

Escolher
o TIPO DE REGRAS firewall: iptables
SISTEMA OPERACIONAL do servidor: Linux 2.4/2.6

6
Caso se deseje utilizar modelos predefinidos de firewall do
FWBUILDER poderá setar a opção < USE PRECONFIGURED TEMPLATE
FIREWALL OBJECTS > mas no nosso caso não será necessário haja
vista que faremos a configuração das placas de rede do firewall
manualmente para se ter o maior controle do firewall.

Ao clicar em <Next> abrirá a tela para a configuração das placas de

rede do
servidor firewall como tela abaixo que mostra as opções para
configurar as interfaces manualmente como é o nosso caso ou utilizar
snmp para descobrir as interfaces automaticamente.:

Ao se escolher a opção de configurar manualmente abrirá a tela para

entrarmos com as informações de cada placa de rede como se pode
perceber abaixo:

7
Após essa tela ao cliclar em <Next> deveria abrir outras abas para ir
acrescentando as placas de rede mas aqui se encontra o primeiro bug
do FWBUILDER que conseqüentemente abre a tela de configuração
específica de filtro de pacotes do firewall.

Existe várias
configurações que
se originam desta
tela acima como o
nome do
firewall, biblioteca
de usuário,
plataforma, versão
do iptables, Sistema
Operacional e o
principal que é o <
FIREWALL SETTINGS
>

A aba < COMPILER

> da opção <
FIREWALL SETTINGS
> Possui várias
diretivas de
configuração do

8
firewall, pois devemos observar os checkbox da imagem abaixo onde
se tem o padrão correto utilizado na maioria dos firewalls
configurados.

Entendendo as opções:

a) Assume Firewall is part of 'any': o firewall se inclui no item any na

criação das regras de política;

b) Accept TCP sessions opened prior to firewall restart: quando se

reinicia o firewall ele aceita as conexões que já estão abertas;

c) Accept ESTABLISHED and RELATED packets before the first rule:

aceita conexões estabilizadas antes mesmo de ativar a primeira regra
de política;

d) Drop packets that are associated with no known connection: dropar

pacotes que não estão associados a uma conexão;

e) Bridging firewall: utilizar o firewall como forma de brigde (ponte);

f) Detect shadowing in policy rules: detecta regras repetidas em suas

políticas;

9
g) Ignore empty groups in rules: ignora grupos vazios isto é sem um
objeto atribuido;

h) Enable support for NAT of locally originated connectios: habilita

suporte a regras NAT para conexões locais;

i) Clamp MSS to MTU: Impõe o MSS (maximo tamanho de segmento

no TCP) para o host.

remoto ao MTU ( maior unidade de transmissão no data grama ou

pacote IP) local para evitar o máximo a fragmentação de pacotes
quando se sabe que você tenha problemas de fragmentação em
roteadores de borda.

Na aba < INSTALLER > do < FIREWALL SETTINGS > temos as opções
abaixo:

Neste momento, acrescentamos a interface externa eth0 mas

ainda não atribuímos IP para a placa correspondente, pois para se
atribuir um IP para esta placa do firewall deve-se clicar com o botão

10
direito em cima da interface de rede a esquerda e escolher a opção <
ADD IP ADDRESS >

A tela seguinte mostra o cadastramento do IP de acordo com a placa

escolhida.
Basta preencher e clicar em < APPLY CHANCES > para aplicar a
mudança.

11
Neste ponto o firewall está pronto para ser configurado com regras,
entidades,
Objetos e serviços para utilizarmos de maneira plena.

12
 ENTENDENDO AS ENTIDADES DO FIREWALL

OBJETOS

São os objetos que serão criados, conforme necessidade, podendo ser

desde um único endereço IP até uma faixa de IP. Podendo ser
utilizado objetos pré definidos mudando a base USER para
STANDARD.

•Addresses: Cadastro para endereço IP, porém, não é utilizado, pois o

objeto Hosts é mais completo para essa função.

• Address Ranges: Cadastro para faixas de IP.

•Groups: Cadastro para grupos podendo conter objetos de Addresses,

Address
Ranges, Hosts e Networks.

• Hosts: Cadastro para Hosts com uma os mais Interfaces de rede.

• Networks: Cadastro para redes separados pela máscara de subrede.

13
 SERVIÇOS

São os serviços de rede que serão criados, conforme necessidade.

Eles são
criados baseado em protocolo, porta e Flag. Podendo ser utilizado
serviços pré definidos mudando a base User para Standard.

• Custom: Cadastro para serviços definido pelo usuário, raramente

utilizado.

• Groups: Cadastro para grupos podendo conter serviços Custom,

ICMP, IP, TCP eUDP.

• ICMP: Cadastro para serviços baseados no protocolo ICMP.

• IP: Cadastro para serviços baseados no protocolo IP.

• TCP: Cadastro para serviços baseados no protocolo TCP.

• UDP: Cadastro para serviços baseados no protocolo UDP.

14
 REGRAS DE POLÍTICAS

São as regras de restrição de acesso. A leitura das regras é feita

de cima para baixo. Elas servem para restringir/liberar acessos a
determinados Hosts e protocolos. Ex. Liberar o acesso externo ao
servidor de email na porta TCP 25 (SMTP).

Sempre mantenha a última regra conforme imagem, ela irá garantir

que os serviços não especificados sejam negados.

Source: Origem da conexão (uma estação interna, um servidor

externo, uma
rede...).
• Destination: Destino da conexão (uma estação interna, um servidor
externo, uma rede...)

• Service: Porta e protocolo.

•Action: Ação a ser tomada, Accept (acesso liberado), Deny (acesso

negado, porém o pacote continuará com o mesmo destino, ocorrendo
assim Time Out), Reject (o pacote será negado pelo Firewall,
ocorrendo assim acesso negado) ou Accounting (executa a regra com
base na ação de outra regra, não utilizado).

•Time: Hora que a regra estará ativa (não utilizado, pois necessita de
módulo
externo para o Iptables).

15
• Options: Opções da regra Rule Options (opções que raramente são
utilizadas), Loggin On (habilitar o Log das conexões), Loggin Off
(desabilitar o Log das conexões).

• Comment: Comentário para facilitar na leitura

GROUPS

Criação de grupos. Usado como exemplo um grupo contendo o

servidor Web, email e arquivos que será denominada como Grupo de
Servidores.

Clique com o botão direito em Groups New Group.

Irá abrir a janela de configuração do grupo, arraste os Hosts e clique

em Apply Change.

16
 HOSTS

Criação de Hosts. Usado como exemplo um Host que será

denominada como Estação Gerência.

Clique com o botão direito em Hosts New Host.

Irá abrir a janela de configuração do Host, digite o nome do Host e

clique em Next.

17
Irá abrir a janela de configuração da Interface, selecione Configure
interfaces manually e clique em Next.

18
Irá abrir a janela de configuração da Interface manualmente, adicione
uma ou mais Interfaces conforme necessidade e clique em Add para
adicionálas,
uma a uma e clique em Finish.

19
 NETWORKS

Criação de redes. Usado como exemplo a rede da Caixa Econômica

Federal que será denominada como CEF.

20
Clique com o botão direito em Networks New Network

Irá abrir a janela de configuração da rede, adicione o IP e máscara da

rede e clique em Apply Changes

TCP

21
Criação de serviço com o protocolo TCP. Usado como exemplo um
serviço com destino à porta 3456 (conectividade social da CEF) que
será denominado como CEF.

Clique com o botão direito em TCP New TCP Service.

Irá abrir a janela de configuração do serviço, configure a porta

conforme
necessidade e clique em Apply Changes.

UDP

22
Criação de serviço com o protocolo UDP. Usado como exemplo um
serviço com destino a porta 6050 (VoIP) que será denominado como
VoIP.

Clique com o botão direito em UDP New UDP Service.

Irá abrir a janela de configuração do serviço, configure a porta

conforme necessidade e clique em Apply Changes.

23
 ADICIONANDO REGRAS DE POLÍTICA NO FIREWALL

Para adicionarmos uma regra deve-se clicar na aba Policy do lado

direito da tela. Na parte direita da tela deve-se clicar com o botão
direito do mouse e selecionar a opção Insert Rule gerando então uma
regra em branco como abaixo:

Neste ponto para se transforma essa regra vazia em regra

propriamente dita basta arrastarmos da esquerda para a direita em

24
cima dos itens Any as entidades necessárias para a criação das
regras como um exemplo abaixo:

Para se atribuir colorização na regra basta clicar com o botão direito

em cima da parte acinzentada da regra e escolher a cor desejada.

25
EXEMPLO DE UM MINI FIREWALL COM REGRAS IMPORTANTES

Regra 0: Libera a Internet a acessar o servidor de email por meio do

protocolo smtp, imap, http e https.

Regra 1: Libera a Internet a acessar o servidor de páginas da OM por

meio do protocolo http e https.

Regra 2: libera os servidores a terem acesso total de saída.

Regra 3: Libera a EBNet a acessar ftp nos servidores por meio do

protocolo ftp.

Regra 4: Bloqueia tudo o resto que não foi liberado

26
 REGRAS NAT
Para regras NAT é o mesmo procedimento de inclusão de regras
policy bastando apenas escolher do lado direito a aba <NAT>

EXEMPLOS DE REGRAS NAT

Regra 0: Não converter da rede interna para a EBNET.

Regra 1: Converte todas as requisições da internet direcionadas a

200.193.140.80 para o servidor na rede interna srvwww

Regra 2: Faz o mascaramento de saida do servidor srvwww sair com

pacotes
200.193.140.80 (para ser reconhecido na internet)

Regra 3: Converte todas as requisições da internet direcionadas a

200.193.140.79 para o servidor na rede interna serve mail

Regra 4: Faz o mascaramento de saida do servidor srvemail

responder com pacotes 200.193.140.79 (para ser reconhecido na
internet)

27
 APLICANDO AS REGRAS DE FIREWALL NO SERVIDOR

Após ter criado todas as regras de políticas e regras NAT devemos

aplicar duas ações específicas para teste de regra e aplicação:

a) compilar as regras:

A compilação das regras é utilizada para que o FWBuilder possa

analisar as regras e verificar possíveis erros ou duplicidades lógicas
de seqüência de regras. Para realizar a compilação basta no menu
principal clicar na opção RULES e depois em COMPILE.

Compilando de maneira correta o sistema apresentará a seguinte

tela:

b) aplicar no servidor propriamente dito:

Após ter compilado as regras devemos aplicálas clicando na

mesma aba RULES e depois em INSTALL para que a interface aplique
as regras propriamente dita nos servidor firewall dentro do diretório
/firewall como se ta mos no início do manual na parte de
Configuração geral do FWBuilder.

28
29
 FAZENDO O SCRIPT DO FIREWALL SER RODADO
AUTOMATICAMENTE

Se você quiser correr o script de firewall automaticamente pode-se

adicionar no
arquivo /etc/rc.local a chamada para o script que no nosso exemplo
se encontra dentro do /firewall como pode ser ver abaixo:

#!/bin/bash
# arquivo rc.local
# habilita roteamento

echo 1 > /proc/sys/net/ipv4/ip_forward

# carrega regras do firewall
/firewall/jacaranda.fw
exit 0

30
 CONCLUSÃO

Este curso básico teve como finalidade ter uma visão geral da criação
de um
Firewall básico, mas o Fwbuilder é muito poderoso e propicia N
maneiras de
Configuração, desde o básico até o avançado.

31
 REFERÊNCIAS

– www.fwbuilder.org

– www.fwbuilder.org/docs/UsersGuide.pdf

– http://sourceforge.net/projects / fwbuilder

32