Faculdade de Tecnologia Porto das Monções - FAMO

IPFire e aplicações
Instalação e configurações

Porto Feliz/SP

2022

1
 IPFire e aplicações
Instalação e configurações

Trabalho apresentado ao curso de

Analise de sistema como requisito
para obtenção de nota.

Orientador: Abelardo Vilela Neto

Porto Feliz/SP

2022

2
 Introdução
O que é IPFire?
O IPFire é um firewall dedicado que pode ser instalado em qualquer rede - do data
center até sua casa. É seguro, rápido e muito versátil. Além de ser um firewall de
inspeção de estado, ele pode funcionar como um gateway VPN, analisar pacotes de
dados com seu Sistema de Prevenção de Intrusão (IPS) e vem com
muitos complementos que ampliam ainda mais sua funcionalidade.

Para quem é o IPFire?

IPFire é conhecido por executar

 em data centers encaminhando dezenas de gigabits por segundo

 em empresas de centenas de funcionários até trabalhadores de home office
 como um gateway IoT em aplicações industriais
 em casa

Você precisará de algum conhecimento básico sobre como as redes de

computadores funcionam e a equipe por trás do IPFire está gentilmente pedindo que
você leve a segurança a sério. Invista algum tempo pesquisando as melhores
práticas para aproveitar ao máximo o IPFire. Tudo o que você precisa saber é
encontrar neste wiki.

O IPFire pode ser instalado em minutos e é configurado em uma interface de

usuário da web.

IPFire - O Sistema Operacional

O IPFire é um sistema operacional completo sendo instalado no hardware
apropriado. É baseado no Linux, mas ao contrário de uma distribuição padrão como
Debian ou Fedora, o IPFire é reforçado e otimizado para uso como firewall. Cada
componente e pacote de software que está sendo usado é selecionado pelos
desenvolvedores e construído a partir de suas fontes. Frequentemente, eles são
corrigidos para melhorar a segurança do sistema e reduzir a superfície de
ataque. Para dar aos mantenedores esse tipo de flexibilidade, o IPFire não é
baseado em outra distribuição.

3
Sumário
Instalação 5
Configuração 19
Antivírus 19
Bloqueio de Proxy 20

4
 Instalação

Instale o Firewall IPFire no Linux, podendo encontrar facilmente pelo site oficial, em seguida iremos
criar um pendrive bootável para o respectivo OS.

Ao iniciar o modo boot, iremos selecionar o pen drive que encontra o IPFire e iniciaremos.

Lá selecionamos a opção "Instalar IPFire 2.21 - Core 122" para executar o processo
de instalação, as outras opções cobrem aspectos gerais de configuração. Assim que
pressionarmos Enter, devemos definir o idioma a ser usado com o IPFire:

5
 Instalação

Clique em Ok e o seguinte será exibido. Clique no botão "Iniciar instalação" para

iniciar o processo.

6
 Instalação

Na próxima janela devemos aceitar a licença GPL e para isso usamos a tecla Tab
para ir até a caixa "Aceito esta licença" e ativá-la com a barra de espaço

7
 Instalação

Novamente pressionamos Enter, e agora veremos a seguinte mensagem:

8
 Instalação

Lá é indicado que o disco rígido será formatado e, portanto, todos os dados serão
perdidos, ext4 é o sistema padrão para usar com IPFire, clique em "Excluir todos os
dados" e a seguinte janela será exibida onde teremos a oportunidade de selecionar
outro sistema de arquivos, se necessário:

Depois de definir isso, clique em Ok e o processo de instalação do IPFire começará:

9
 Instalação

Assim que o processo de instalação terminar, veremos o seguinte. Prosseguimos

para reiniciar o sistema para concluir as alterações

10
 Instalação

Nos menus a seguir devemos escolher o tipo de teclado, o fuso horário,

o nome do host do próprio IPFire e também o nome de domínio do
sistema operacional

11
 Instalação
Em seguida, devemos inserir a senha de root e a senha de administrador, a senha
de root será usada para acessar o console ou SSH e a senha de administrador para
a interface gráfica do usuário. Um detalhe muito importante é que quando inserimos
a senha no campo senha, a chave não é refletida, nem mesmo com asteriscos,
devemos colocá-la “cega” para segurança, para evitar que outros usuários vejam o
comprimento da chave.

12
 Instalação

O menu principal de configuração do IPFire tem um total de quatro opções, que

devemos configurar para começar a trabalhar com o sistema operacional orientado
a firewall:

 Tipo de configuração de rede : aqui devemos escolher entre VERDE +

VERMELHO, VERDE + VERMELHO + LARANJA, VERDE + VERMELHO +
AZUL, VERDE + VERMELHO + LARANJA + AZUL. O mais normal é ter
GREEN + RED, sem DMZ nem nada, mas depois podemos configurá-lo sem
problema no próprio sistema operacional. Neste tutorial veremos como fazer
isso com GREEN + RED, ou seja, duas interfaces de rede.
 Atribuição de controladores e cartões : devemos atribuir as placas de rede
às suas respectivas interfaces VERDE e VERMELHA. É essencial
atribuirmos a placa de rede na ponte a VERMELHA e a placa de rede em
vmnet1 a VERDE.
 Morada configuração: vamos configurar o servidor DHCP em VERDE e o
modo de conexão à Internet em REDE.
 Configurações de gateway : esta opção só é utilizada se tivermos um IP
fixo na REDE.

A primeira coisa que faremos é selecionar o tipo de configuração de rede VERDE +

VERMELHO, então devemos inserir VERDE e selecionar a placa de rede.

13
 Instalação

Como podemos saber qual placa o seu computador está usando está
em modo bridge? Com o endereço MAC, desta forma, podemos atribuir
as placas corretamente às diferentes redes VERDE e VERMELHA.
clicamos em configurações, status de rede, propriedades selecionamos
uma placa de rede aqui obteremos o endereço MAC, no nosso caso, o
primeiro corresponde a VERDE e o segundo a VERMELHO (por padrão,
só precisamos saber o MAC de uma das placas).

14
 Instalação

Depois de atribuí-los, eles aparecerão da seguinte forma :

15
 Instalação

Em " Configuração de endereço A seção” é onde teremos que

configurar a LAN da interface VERDE e a configuração da Internet da
interface VERMELHA. A seguir, você pode ver todos os menus, no
nosso caso, configuramos a LAN com o IP 192.168.0.254, para acessar
a partir da interface 192.168.0.254 que configuramos anteriormente

16
 Instalação

Em “Configurações do Gateway” não teremos que colocar nada, a

menos que você tenha um IP fixo na interface RED. A seguir nos dirá se
queremos ativar o servidor DHCP, podemos ativá-lo e configurá-lo, mas
depois também poderemos configurá-lo sem problemas. Assim que o
tivermos concluído, isso indicará que a instalação está concluída.

17
 Instalação

Assim que concluirmos o assistente, o sistema operacional iniciará

automaticamente com todas as configurações aplicadas e poderemos
fazer o login através do console com o usuário root. Se quiser acessar
via web, você terá que colocar o seguinte na barra de endereços:
https://192.168.0.254:444 é muito importante que coloquemos a porta
444 com HTTPS, independente do endereço IP privado que você ter.

18
 Agora vamos para as configurações do IPFire

Começaremos instalando os addons -

Squidclamav (clamav) – Anti-virus
Sarg - é uma ferramenta que analisa os arquivos de log proxy e cria
belos relatórios a partir dele.

19
Como bloquear um site ou domínio?

Desde o IPFire 2.15, os recursos de firewall do sistema IPFire foram bastante

aprimorados. Muitos novos recursos foram introduzidos, exigindo uma WebGUI
mais poderosa. 

Impedir o servidor de receber ping.

Tendo em vista aprimorar a segurança do servidor Linux, o administrador de

sistemas tem a opção de bloquear requisições de ping. Em outras palavras, impedir
que qualquer outro computador utilize o comando ping para obter informações sobre
o servidor.

No IPTables, o comando para aplicar a regra é esse:

/etc/sysconfig/firewall.local é um arquivo de script de shell para configurações

personalizadas que não podem ser configuradas com a GUI do firewall. O firewall.
Local arquivo é um script de shell simples e pode ser editado com um editor de
texto. Ele é executado com permissões de root toda vez que o firewall é carregado.

Exemplo:

[root@ipfire ~]# /etc/sysconfig/firewall.local

Usa: /etc/sysconfig/firewall.local {start|stop|reload}

Casos de uso comuns

Isso geralmente é usado para adicionar regras iptables adicionais. Esses devem ser
adicionados na seção "start" e removidos correspondentemente na seção "stop".

Apesar de adicionar regras de firewall, você também pode iniciar e interromper

serviços do sistema ou fazer qualquer outra coisa que possa ser feita a partir de um
shell do Linux.

20
Cadeias de IPTables para regras personalizadas.

Em vez de alterar as cadeias padrão do IPTables (que podem ser muito perigosas
quando o conjunto de regras do firewall não funciona como pretendido), existem
cadeias extras que DEVEM ser usadas para isso. Os pacotes passam por essas
cadeias ANTES de passarem pelo restante do conjunto de regras.

Para tabela de filtro

Use CUSTOMINPUT , CUSTOMFORWARD e CUSTOMOUTPUT

para a tabela de filtros

Para tabela NAT

Use CUSTOMPREROUTING , CUSTOMPOSTROUTING e CUSTOMOUTPUT

para a tabela nat.

Para bloquear um site especifico

Para bloquear um site especifico, usaremos o terminal da ipfire, iremos usar o

www.facebook.com como exemplo.

Abra o terminal e digite:

Iptables -I FORWARD -p TCP –dport 444 -m string –algo bm –string “facebook.com”

-j DROP

Iptables -I FORWARD -p TCP –dport 443 -m string –algo bm –string “facebook.com”

-j DROP

Ao utilizar o comando “DROP” nós derrubamos o site escolhido.

Para liberar o site utilize o “ACCEPT”.

Iptables -I FORWARD -p TCP –dport 444 -m string –algo bm –string “facebook.com”

-j ACCEPT

Iptables -I FORWARD -p TCP –dport 443 -m string –algo bm –string “facebook.com”

-j ACCEPT

21
Configurações avançadas

Habilitar listas de expressões

Bloqueie "anúncios" com a janela vazia.
Habilite isso para substituir banners, janelas pop-up e anúncios por uma
janela em branco. Isso será feito redirecionando para um arquivo .gif de
tamanho de 1 pixel. Requer que a categoria "anúncios" ou "adv" seja
selecionada para bloqueio.
Bloquear sites acessados por seu endereço IP
Se habilitado, todos os sites acessados por seu endereço IP serão
bloqueados. Os mesmos sites estarão disponíveis se acessados por
seu nome de domínio e se não forem bloqueados por outra regra.
Bloquear todos os URLs não explicitamente permitidos
Habilite isso para bloquear todas as solicitações, exceto aquelas
definidas na "Lista de permissões personalizada".
Habilitar log
Gravar sites bloqueados para registrar.
Nome de usuário do log
Escreva nomes de usuário que acionaram a lista negra no arquivo de
log.
Dividir o log por categorias
Apenas um tipo de categoria se for gravado em um log.
Permitir lista branca personalizada para clientes banidos
IP(s) ou rede(s) que são banidos podem navegar em sites definidos na
Lista de Permissões Personalizada.
Salvar(es)
Salvar- Depois de fazer as alterações, pressione o botão Salvar para
salvá-las.
Salvar e Reiniciar- Use o botão Salvar e Reiniciar para salvar e aplicar
alterações.

22
 Configurações de web proxy

Advanced web proxy

Enable green : Ativo
Squidclamav: ativo
Log settings : ativo
Cache management : ativo

Adicionando usuário
23
Primeiro passo: ativar método de autenticação para Local
Segundo passo: user management, la você cria seu usuário e senha
para navegar na internet
Terceiro passo: save and reload e começar a usar o servidor

Conclusão

24
O IPFire vem com uma variedade de recursos que permitem que ele seja executado
em muitos ambientes com requisitos muito diferentes. Começando como um
roteador simples, ele pode executar análises profundas de pacotes, executar
relatórios úteis de gerenciamento de rede e também fornece vários serviços à rede.

 O firewall do IPFire é fácil de usar, mas poderoso. A criação de grupos de

redes, hosts e serviços permite que uma única regra para grandes partes da
rede seja definida de uma só vez. A funcionalidade de limitação de taxa e o
registro também o tornam perfeito para serviços de hospedagem em um data
center.
 A Qualidade de Serviço mantém sua Internet rápida. Alocar a quantidade
certa de largura de banda para aplicativos críticos, como chamadas VoIP, é
feito rapidamente e você nunca mais sofrerá com chamadas de qualidade
ruim ou sites com carregamento lento. Ele também pode limitar os usuários
ofensivos.
 O Sistema de prevenção de intrusos fornece inspeção profunda de pacotes,
verificando-os em um banco de dados de assinaturas em busca de malwares
conhecidos e detectando comportamentos suspeitos para tornar sua rede
mais segura contra invasores mais sofisticados.
 O proxy da web é um dos recursos mais poderosos do IPFire. Cada cliente
que acessa a web será verificado quanto ao acesso, o conteúdo pode ser
armazenado em cache para acelerar a navegação e pode até
mesmo armazenar em cache atualizações inteiras para sistemas
operacionais como o Microsoft Windows, economizando muita largura de
banda em redes maiores. O componente de filtro de URL é comumente
usado em escolas para impedir que os alunos acessem sites adultos e
também pode impedir o malware.
 Se você estiver executando a infraestrutura em mais de um local, convém
conectá-la usando VPNs. Você pode se conectar ao seu data center ou à
nuvem usando IPsec ou OpenVPN e carregar seus backups ou conectar
funcionários remotos aos servidores do escritório. O IPFire pode usar
aceleração criptográfica que alguns aplicações fornecem e totalmente
seguros com largura de banda de até 10 GBit/s são possíveis. É claro que o
IPFire é compatível com outros fornecedores como Cisco, Juniper, Lancom e
muitos outros.
 Para manter sua rede segura e evitar falsificação de DNS, o IPFire emprega
um proxy DNS interno que usa DNSSEC para filtrar qualquer ataque. Ele
armazena em cache as respostas DNS para melhorar o desempenho da
consulta e pode usar DNS sobre TLS (DoT) para se comunicar com
segurança com servidores de nomes upstream.

25