You are on page 1of 9

Shorewall um Front-end para Iptables

Julio Cezar Gross Junior, Andr´ e Luiz Silva de Moraes Faculdade de Tecnologia Senac (FATEC) Curso Superior de Tecnologia em Redes de Computadores Rua Gonc ¸ alves Chaves, 602 - Centro.
julio.gross@linuxrs.com.br
1

Abstract. This article aims to present a Shorewall Front-end for iptables and demonstrate the necessary settings to set up a hybrid firewall, doing packet filtering and port forwarding. Resumo. Este artigo tem o objetivo de apresentar o Shorewall um Front-end para Iptables e demonstrar as configurac ¸o arias para montar um Fi˜ es necess´ rewall hibrido , fazendo filtragem de pacotes e redirecionamento de portas.

˜o 1. Introduc ¸a
˜ es se fala muito sobre seguranc ˜ o e uma Hoje em dia nas grandes instituic ¸o ¸ a da informac ¸a ´ utilizando um Firewall .O presente artigo das maneiras de deixar uma rede mais segura e aborda o Shorewall uma ferramenta de alto n´ ıvel para configurar o Iptables.

2. Conceitos B´ asicos
˜ o tem o objetivo de apresentar os conceitos b´ Esta sec ¸a asicos de Firewall para apos enten˜ es necess´ dermos o cen´ ario proposto termos base para implementar as configurac ¸o arias no Shorewall e manipularmos o Iptables. 2.1. Firewall ˜ o regular o tr´ Firewalls s˜ ao dispositivos que tˆ em como func ¸a afego entre redes distintas ˜ es, uso de programas ou acesso a dispositivos da rede. restringindo o fluxo de informac ¸o Geralmente operam na camada 4 (Transporte) do modelo OSI (Open Systems Interconnection). Firewalls podem conter diversas interfaces de rede, duas para redes locais, uma para DMZ (DeMilitarized Zone ), outras duas para acesso a internet e mais uma para conex˜ oes via VPN (Virtual Private Network), dependendo da necessidade. Ele pode vir em forma de software ou em forma de hardware (appliances).[Madeira 2010] 2.2. Caracter´ ısticas comuns de um firewall ´ a func ˜ o mais • Bloquear o recebimento de dados baseado na origem ou destino: E ¸a comum de firewall, impedindo o recebimento de dados nocivos. • Bloquear o acesso a dados baseado na origem ou destino: Muitos firewalls podem ` dados na internet. Por exemplo, o firewall de uma tamb´ em restringir o acesso a empresa pode impedir um funcion´ ario a acessar um determinado website. • Bloquear dados baseado em conte´ udo: Firewalls mais avanc ¸ ados podem analisar um conte´ udo antes de bloquear o dado. Por exemplo um firewall pode ser integrado com um Antiv´ ırus para prevenir que um v´ ırus entre em sua rede atrav´ es de outros arquivos. Muitos firewalls tamb´ em s˜ ao integrados com servic ¸ os de email para filtrar emails aceit´ aveis.

O shorewall n˜ ´ um de firewall dedicado. ´ poss´ • Em redes corporativas. • O firewall pode bloquear portas onde traf´ egam alguns v´ ırus e outras pragas digitais ou bloquear portas de programas n˜ ao autorizados.4.5. • Hibrido: Esta Classe de Firewall. Motivos para se utilizar um firewall ˜ o. e todos os pacotes emitidos por ele ou por sua rede. listando tais atividades. quem tentou acessar material inapropriado Muitos Firewalls possuem um mecanismo de reportagem. Vocˆ e Configurara o seu firewall usando entra˜ o. configura o subsistema de rede do Liconfigurac ¸a ` s suas necessidades. • O firewall pode ser usado para impedir que sua rede seja acessada sem autorizac ¸a ˜ es sejam capturadas ou que sistemas tenham seu funcioevitando que informac ¸o namento prejudicado por conex˜ oes indesejadas. SHOREWALL ´ uma ferramenta de alto O Firewall Shoreline. [Neto ] 2. Ocorre mediante an´ alise de regras previamente inseridas pelo administrador. O filtro de pacotes tem a capacidade de analisar cabec ¸ alhos de pacotes .Mediante essa analise pode decidir o destino de um pacote como um todo.e ter o ˜ es realizadas na rede. simulando um cen´ rewall para implantac ¸a ario de uma rede local que esta isolada da internet por um Firewall posicionado entre as duas . Shorewall lˆ das em um conjunto de arquivos de configurac ¸a e os arquivos de ˜ o e com a ajuda do iptables. existem 3 argumentos para por completo. Trabalho Proposto Este Artigo tem como proposta principal explorar as funcionalidades do Sho˜ o de um Firewall. Tipos de firewall ´ respons´ • Filtro de pacotes: Esta classe de Firewall e avel por filtrar o tr´ afego direcionado ao pr´ oprio firewall ou a rede que o mesmo is´ ola. e ıvel bloquear servic ¸ os ou sistemas indevidos. quem tentou entrar na sua rede. Alguns Firewalls possuem uma funcionalidade VPN e permitem tais conex˜ oes de maneira mais f´ acil. seguranc ¸ a e vigilˆ ancia. Trata-se da uni˜ ao de ambas as classes e n˜ ao de uma classe isolada. [UFRJ 2011] 2. Isso lhe agrega diversas funcionalidades como por exemplo a de manipular o enderec ¸ o de origem (SNAT) e o de destino (DNAT) dos pacotes. uma vez configurado o subsistema de rede do Linux. mais conhecido como Shorewall e nivel para configurar Iptables . seu trabalho est´ a completo e n˜ ao h´ a processo Shorewall rodando. Shorewall pode ser usado em um sistema nux para atender a ˜ o multi-gateway ou roteador . ´ • Reportar o tr´ afego na rede e as atividades do Firewall: E muito importante tamb´ em saber o que o seu Firewall tem feito. agrega tanto filtragem de pacotes quanto NAT. func ¸a ao e daemon.• Permitir conex˜ oes com uma rede interna: Um m´ etodo comum de um empregado se ´ usando VPNs (Virtual Private Networks). VPNs permitem conectar a uma rede e um acesso seguro da internet a uma rede interna. Este tipo de Firewall e implementar uma filtragem de pacotes: Controle. • NAT: Esta Classe de firewall. parar sua trajet´ oria ou ignora-lo ´ o mais utilizado. A filtragem pode deixar o pacote trafegar.3. possui o objetivo de manipular a rota padr˜ ao de ˜ o de pacotes que atravessam o firewall aplicando o que conhecemos por traduc ¸a enderec ¸ amento.[Alecrim 2004] controle sobre as ac ¸o 2. tal como realizar Masquerading sobre conex˜ oes PPP entre outras potencialidades.[Eastep 2011] 3.

postgres e mysql • Redirecionamentos: Redirecionar o trafego vindo da internet com destinos aos bancos e http para os servidores onte est˜ ao hospedados os bancos de dados Postgres . e o acesso a cameras de vigilancia na porta 5131 • Da rede local e internet para o firewall: Http.imap.ntp.https. pois se esta regra n˜ ao estivesse Ok n˜ ao seria possivel filtrar os pacotes da rede e tambem fazer os redirecionamentos propostos no cen´ ario.1.conf.ntp. Teste realizados Primeiramente ap´ os ter o cen´ ario montado foi feito um teste para verificar se a regra de passagem estava funcionando.pop.interfaces.pop.smtp. Ap´ os verificar que a regra estava funcionando foi a hora de comec ¸ ar ˜ o da politica padr˜ a configurar as regras do Firewall.dns. que foram sanadas rapidamente ap´ de configurac ¸a os uma leitura minuciosa das regras inseridas.Portanto foram criadas algumas regras para implantar no firewall: • Rede local para internet: Http. Cenario 4.map. Arquivos de configurac ¸a ´ necess´ Para Configurar o shorewall e ario editar os seguintes arquivos: shorewall.smtp.icmp. l´ a tamb´ em encontram-se outros arquivos que podem .policy e rules.dns. ˜ o: 4.redes.https. na implantac ¸a ao do firewaal ´ a Drop n˜ que e ao foi encontrado problemas para implantar. Todos estes arquivos se encontram em /etc/shorewall/.imap e ping. Ssh para m´ aquina do administrador.Mysql e para o servidor Http. ´ Figura 1.masq.smtp. liberac ¸a ¸a m´ aquinas dos diretores do proxy.https. zones . redirecionamento para ˜ o do software receitanet e liberac ˜ o das o proxy de toda a rede local.ntp e ping Liberar o acesso ao banco de dados Postgres e Mysql. msn para os gerentes .dns. • Internet para rede local: Http. Nos redirecionamentos n˜ ao tive problemas uma vez implantados j´ a sairam funcionando. mas quando comecei a ˜ es tive alguns erros devido a posic ˜ o que inseri as regras no arquivo criar as excec ¸o ¸a ˜ o.pop.

Shorewall.3. source´ e dest S˜ ao reservados e n˜ ao podem ser utilizados como nomes de zona. Cada interface deve n˜ ao e ¸a ¸a ser relacionada a uma zona que foi criada anteriormente.1. Ip forwarding =on .Este parˆ ametro determina tar com a configurac ¸a se o Shorewall habilita ou desabilita o IPV4 Encaminhamento de pacotes (/ ´ assumido o valor proc/sys/net/ipv4/ip forward). ˜ es: Neste arquivo utilizamos as seguintes configurac ¸o ##################################################################### #ZONE INTERFACE BROADCAST OPTIONS net eth0 detect loc eth1 detect .˜ o mais avanc ser editados para executar uma configurac ¸a ¸ ada mas n˜ ao ser˜ ao aborda˜ es dos neste artigo. 4. Se esta vari´ avel n˜ ao for definida e on 4. Nele Este arquivo define as opc ¸o ˜ es: Startup enable=on . A ordem das entradas nesse arquivo ´ importante na determinac ˜ o da composic ˜ o das zona.conf ˜ es que se aplicam a Shorewall como um todo. any.2. none. interfaces Este arquivo define as interfaces do firewall . Os nomes de zonas all. abaixo segue a funcionalidades de cada arquivo e as configurc ¸o que foram utilizadas ap´ os concluir os testes com sucesso. por padr˜ o firewall ira rodar na inicializac ¸a ao esta ˜ o vem desabilitada para evitar o que firewall rode acidentalmente sem esopc ¸a ˜ o correta. Zones Este arquivo define as zonas do seu firewall que ap´ os ser˜ ao relacionadas as interfaces.Este parˆ foi alterado as seguintes opc ¸o ametro define que ˜ o do sistema operacional. ˜ es: Neste arquivo utilizamos as seguintes configurac ¸o ##################################################################### #ZONE TYPE OPTIONS IN OUT OPTIONS OPTIONS fw firewall net ipv4 loc ipv4 # Onde fw representa o pr´ oprio firewall.1.1. 4.1. net representa a internet e loc representa a rede local.

Este arquivo define as excec ¸o ###INICIO DAS REGRAS DA REDE LOCAL E INTERNET PARA O FIREWALL ### Ping/ACCEPT all fw HTTP/ACCEPT all fw HTTPS/ACCEPT all fw DNS/ACCEPT all fw NTP/ACCEPT all fw IMAP/ACCEPT all fw .1. ordem de entrada neste arquivo e ##################################################################### #SOURCE DEST POLICY LOG LIMIT: CONNLIMIT: # LEVEL BURST MASK fw all ACCEPT all all DROP Onde estamos definido que do fw firewall para all todas as interfaces sera aceito tr´ afego e de all para all sera bloqueado . Rules ˜ es as regras do arquivo policy. 4. 4.1. Masq Este arquivo define o NAT (Masquerading) .1.6. Source NAT (SNAT) e Destiantion NAT (DNAT).5. portanto estamos adotando a politica DROP.´ a interface que possui o link externo e eth1 e ´ a interface da Onde eth0 e rede local. a Este arquivo define a pol´ ıtica de alto n´ ıvel para as ligac ¸o ´ muito importante. ˜ es: Neste arquivo utilizamos as seguintes configurac ¸o ##################################################################### #INTERFACE SOURCE ADDRESS PROTO PORT(S) IPSEC MARK USER/ eth0 eth1 # Onde primeiramente deve vir a interface que contem o link externo para fazer o mascaramento de IP 4.4. Policy ˜ es entre as zonas.

12 net tcp 1863 ###LIBERA RECEITANET ### ACCEPT loc net tcp 3456 ####LIBERA CAMERA DE VIGILANCIA PARA O IP DA EMPRESA DE VIGILANCIA##### ACCEPT loc net:200.10 net tcp 22 ###LIBERA MSN MAQUINAS DOS GERENTES ### ACCEPT loc:192.60.30.168.POP3/ACCEPT all fw SMTP/ACCEPT all fw SSH/ACCEPT all fw ###LIBERA ACESSO AO BANCO DE DADOS POTGRES ### ACCEPT all fw tcp 5432 ACCEPT all fw udp 5432 ###LIBERA ACESSO AO BANCO DE DADOS MYSQL ### ACCEPT all fw tcp 3306 ACCEPT all fw udp 3306 ###FIM DAS REGRAS DA REDE LOCAL E INTERNET PARA O FIREWALL ### ˜ ###INICIO DAS REGRAS DE LIBERAC ¸ AO DA REDE LOCAL PARA INTERNET ### Ping/ACCEPT loc net DNS/ACCEPT loc net IMAP/ACCEPT loc net HTTP/ACCEPT loc net HTTPS/ACCEPT loc net POP3/ACCEPT loc net SMTP/ACCEPT loc net NTP/ACCEPT loc net ###LIBERA SSH MAQUINA DO ADMINISTRADOR ### ACCEPT loc:192.30.99 tcp 5131 .30.203.11 net tcp 1863 ACCEPT loc:192.168.168.

168.168.99 loc:192.30.10:5432 tcp 5432 .203.###REDIRECONAMENTO POSTGREE### DNAT net loc:192.30.###REDIRECONAMENTO HTTP### .˜ DA REDE LOCAL PARA IN###FIM DAS REGRAS DE LIBERAC ¸ AO TERNET### ˜ DA INTERNET PARA REDE ###INICIO DAS REGRAS DE LIBERAC ¸ AO LOCAL ### Ping/ACCEPT net loc DNS/ACCEPT net loc IMAP/ACCEPT net loc HTTP/ACCEPT net loc HTTPS/ACCEPT net loc POP3/ACCEPT net loc SMTP/ACCEPT net loc NTP/ACCEPT net loc ###LIBERA ACESSO AO BANCO DE DADOS POSTGRES ### ACCEPT net loc tcp 5432 ACCEPT net loc udp 5432 ###LIBERA ACESSO AO BANCO DE DADOS MYSQL ### ACCEPT net loc tcp 3306 ACCEPT net loc udp 3306 ###LIBERA ACESSO A CAMERA DE VIGILANCIA SOMENTE PARA A EMPRESA DE VIGILANCIA ### ACCEPT net:200.168.20:3306 tcp 3306 .60.168.30.168.20:3306 udp 3306 .30.DNAT net loc:192.30.43 tcp 5131 ˜ ###FIM DAS REGRAS DE LIBERAC ¸ AO DA INTERNET PARA REDE LOCAL### ###REDIRECIONAMENTOS### ###REDIRECONAMENTO MYSQL### DNAT net loc:192.DNAT net loc:192.10:5432 udp 5432 .

com/firewall.30. Firewall: http://www.origem .SSH # # This macro handles secure shell (SSH) traffic.21 3128 tcp 80 Para enterdermos este arquivo primeiro vamos enterder oque s˜ ao os macros : Os macros s˜ ao nomes simbolicos que podem s˜ ao associados a uma ou mais regras do iptables.168. Para interpretar as regras do arquivo rules utilizamos a seguinte sintaxe: ˜ o .20. dns. conceitos e tipos. ##################################################################### ACTION SOURCE DEST PROTO DEST SOURCE RATE USER/ # PORT(S) PORT(S) LIMIT GROUP PARAM .30.168. . E.*.30.168.tcp 22 Como podemos ver este recurso foi muito utilizado em nosso arquivo de ˜ o para representar v´ configurac ¸a arios servic ¸ os como http. e etc.10:80 udp 80 . Mesmo sendo uma ferramenta em linha de comando seu asquivos e codigos s˜ ao mais simples de entender faciliando a vida do Adminstrador. Referˆ encias Alecrim.168.destino ac ¸a Vamos interpretar a seguinte regra: ACCEPT net loc tcp 5432 Aceita da rede externa para rede local utilizando o protocolo tcp na porta 5432 5.30.php. Conclus˜ ao ´ uma excelente ferramenta para No presente artigo conclui-se que o Shorewall e ˜ o para pessoas que tem uma certa dimanipular o Iptables e tambem uma opc ¸a ficuldade e enterder os comando do Iptables.DNAT net loc:192.###REDIRECIONAMENTO PROXY### REDIRECT loc:!192. (2004).192. https. abaixo segue o macro.10:80 tcp 80 .DNAT net loc:192.infowester.SSH # Shorewall version 4 .. eles se encontram em /usr/share/shorewall e s˜ ao definidos como macro.SSH Macro # # /usr/share/shorewall/macro.

T. year = 2004.gta. edition = 1th. Firewalls analisando mais a fundo. http://www.shorewall.eng.br. ´ isso e por que precisamos deles? UFRJ (2011).ufrj.Eastep. (2010). Neto. (2011). M. publisher = Ciˆ encia Moderna Ltda. F. .htm. Madeira. www. Shoreline Firewall. The Dominando Linux Firewall Iptables. Firewall: O que e http://www.madeira.br/grad/071 /f irewall/indexf iles/P age739.net/. U.