Como configurar uma firewall

Assim que tudo estiver configurado e testado, você pode adicionar novas regras para a firewall, usando qualquer ferramenta para firewall incluída em sua distribuição. Algumas delas são as seguintes:

• firestarter - um cliente gráfico para o Gnome, o que requer que seu servidor execute o ambiente Gnome

• knetfilter - um cliente gráfico para o KDE, o que requer que o seu servidor execute o ambiente KDE

• Shorewall - um conjunto de scripts e arquivos de configuração que facilitam a configuração de uma firewall iptables. Há também interfaces para a shorewall, como o webmin-shorewall

• fwbuilder - uma ferramenta gráfica poderosa, mas um tanto complexa, que permite que você crie scripts iptables numa máquina diferente do servidor e depois os transfira para o mesmo. Não é necessário que o servidor execute um desktop gráfico, e a ferramenta é uma opção robusta para uma segurança eficiente.

Uma vez que tudo esteja devidamente configurado, certifique-se de que todas as configurações estão refletidas nos scripts de inicialização do sistema. Desta forma, elas continuarão válidas mesmo que a máquina tenha que ser reinicializada.

Access point como bridge transparente

Este cenário pode ser usado tanto para um repetidor com dois rádios como para um ponto de acesso wireless ligado a uma Ethernet. Usamos uma bridge (ponte) ao invés de roteamento quando queremos que ambas as interfaces do ponto de acesso wireless compartilhem a mesma sub-rede. Isto pode ser particularmente útil em redes com múltiplos ponto de acesso wireless onde preferimos ter uma única firewall, central, e talvez também um servidor de autenticação. Como todos os clientes compartilham a mesma sub-rede eles podem ser facilmente administrados com um único servidor de dhcp e firewall. Por exemplo, você pode configurar um servidor como no primeiro cenário, mas usar dois interfaces Ethernet cabeados ao invés de um interface com fio e outro sem. Um interface será a sua ligação com a internet e a outra será ligada a um switch. Depois ligue quantos APs você precisar no mesmo switch, configurando-os como bridges transparentes. Assim, todos passarão pelo mesma firewall e usarão o mesmo servidor dhcp. A simplicidade de montagem de uma bridge tem, como contrapartida, o prejuízo na eficiência. Uma vez que todos os clientes usam a mesma sub-rede, o tráfego de broadcast será repetido através da rede. Isto não causa problemas em redes pequenas mas, com o aumento do número de clientes, a largura de banda passa a ser desperdiçada neste tráfego de broadcast.

Configuração inicial

A configuração inicial para o ponto de acesso wireless como bridge é similar ao do cenário anterior, sem a necessidade do dnsmasq. Siga as instruções iniciais do primeiro exemplo. Adicionalmente, o pacote bridge-utils será necessário para montar a bridge. Ele está disponível para Ubuntu e outras distribuições linux. Certifique-se de que ele está instalado e que o comando brctl está disponível antes de seguir adiante.

Configurando as interfaces

No Ubuntu ou Debian, os interfaces de rede são configurados através da edição do arquivo /etc/network/interfaces. Adicione uma secção como a que está abaixo, trocando os nomes dos interfaces e os endereços IP para que reflictam a sua instalação. Este exemplo assume que você está construindo um repetidor wireless com dois interfaces, wlan0 e wlan1. O interface wlan0 será o cliente para a rede "escritório" e a wlan1 criará uma rede chamada "repetidora".

Adicione o seguinte em /etc/network/interfaces:

auto br0
iface br0 inet static
address 192.168.1.2
network 192.168.1.0
netmask 255.255.255.0
broadcast 192.168.1.255
gateway 192.168.1.1
pre-up ifconfig wlan 0 0.0.0.0 up
pre-up ifconfig wlan1 0.0.0.0 up
pre-up iwconfig wlan0 essid "escritorio" mode Managed pre-up iwconfig wlan1 essid "repetidora" mode Master
bridge_ports wlan0 wlan1 post-down ifconfig wlan1 down post-down ifconfig wlan0 down

Comente outras secções do arquivo que correspondam a wlan0 ou wlan1 para se certificar de que elas não interferem na nossa configuração. A sintaxe para a configuração de bridges através do arquivo interfaces é específica para distribuições baseadas no Debian, e os detalhes para a configuração real das bridges são tratados por um par de scripts:

/etc/ network/if-pre-up.d/bridge e /etc/network/if-post-down.d/bridge.

A documentação para estes scripts está disponível em /usr/share/doc/bridge-utils/. Caso estes arquivos não existam na sua distribuição; em baixo está uma configuração alternativa para o /etc/network/interfaces que fará a mesma coisa, apenas com um pouco mais de trabalho:

iface br0 inet static
pre-up ifconfig wlan 0 0.0.0.0 up
pre-up ifconfig wlan1 0.0.0.0 up
pre-up iwconfig wlan0 essid "escritorio" mode Managed
pre-up iwconfig wlan1 essid "repetidora" mode Master
pre-up brctl addbr br0
pre-up brctl addif brO wlanO
pre-up brctl addif brO wlan1
post-down ifconfig wlan1 down
post-down ifconfig wlanO down
post-down brctl delif brO wlanO
post-down brctl delif brO wlan1
post-down brctl delbr brO

Iniciando a bridge Uma vez que a bridge está definida como um interface, para iniciá-la basta executar o seguinte comando:

ifup -v brO

O "-v" indica ao comando a utilização do modo "verboso", que dará a você informação detalhada de sua execução. Com o Fedora Core (e outras distribuições não baseadas no Debian), você precisará ainda dar um endereço IP e uma rota padrão para o resto da rede:

ifconfig brO 192.168.1.2 netmask 255.255.255.0 broadcast 192.168.1.255
route add default gw 192.168.1.1

Você deverá ser capaz, agora, de se ligar um laptop wireless ao novo ponto de acesso wireless e aceder ã internet (ou, ao menos, o resto de sua rede) através deste PC. Use o comando brctl para saber o que a bridge está a executar.

brctl show brO

Ao invés de configurar o seu computador como um ponto de acesso wireless a partir do zero, você pode preferir usar uma distribuição linux feita especialmente para este propósito. Distribuições deste tipo tornam o trabalho tão simples quanto inicializar um PC com um interface wireless a partir de um CD como por exemplo "Sistemas operativos wireless" para mais informações. Como você pode ver, é tarefa simples fornecer serviços de ponto de acesso wireless a partir de um router linux padrão. Usar linux dá maior controle sobre os pacotes que você está roteando através da sua rede, permitindo funcionalidades que simplesmente não são possíveis em hardware de consumo. Por exemplo, você pode começar com qualquer um dos cenários acima para implementar uma rede wireless privada na qual os utilizadores são autenticados utilizando um navegador web padrão.

Com o uso de um portal como o Chillispot, utilizadores wireless podem ser autenticados a partir de uma base de dados existente (como um domínio Windows acessível através do RADIUS, por exemplo). Este arranjo poderia permitir acesso preferencial aos utilizadores que estão na base, ao mesmo tempo em que permite acesso bastante limitado ao público em geral. Outra aplicação popular é o modelo comercial pré-pago. Neste modelo os utilizadores adquirem um cartão antes de acederem à rede. O cartão contém uma senha que permitirá o acesso por um período limitado de tempo. Quando este tempo expirar, o utilizador deve adquirir outro cartão. Este sistema de cobrança está disponível apenas em equipamentos de rede comerciais, relativamente caros, mas pode ser implementado a partir de software livre como o Chillispot e o phpMyPrePaid.

Editor

--Cmsv 17h07min de 6 de fevereiro de 2010 (GMT)