Visão | Como criar uma firewall eficaz e barata para colocar a proteger uma rede?

Como criar uma firewall eficaz e barata para colocar a proteger uma rede?

Um dos maiores desafios para quem tem de gerir uma rede (independentemente da sua dimensão) é conseguir encontrar uma solução que garanta a segurança do ecossistema. Com este guia fica o essencial sobre como é possível, rapidamente e reaproveitando recursos, utilizar uma firewall para efetuar essa proteção.

Fernando Belo Formador/e-Tutor da Master.D

O meu nome é Fernando Belo e sou formador/e-tutor nas áreas de redes, programação e hardware na Master D.

Uma das principais questões que os meus formandos dos Cursos de Helpdesk e Manutenção e Reparação de Desktops e Portáteis me colocam é: “Como criar uma firewall eficaz e barata para colocar a proteger uma rede?”.

Assim, decidi que este artigo se focaria precisamente nesse ponto e vou explicar como criar uma firewall em ambiente Linux usando iptables. “Como? Em Linux? Mas isso é complicadíssimo!”

Não. Não é. Pode usar um PC velhinho que tenha aí por casa e uma distribuição de Linux como o Ubuntu, por exemplo, que é gratuita. Este PC, terá de ser equipado com duas placas de rede, uma para receber e outra para enviar dados. Colocaremos o PC antes do nosso router (no caso de os PC’s estarem ligados diretamente ao mesmo) ou entre o router e o servidor (se a nossa rede possuir um).

A função da firewall na rede é filtrar, limitar ou bloquear acessos aos dispositivos que compõem a mesma. Vamos então criar uma firewall do tipo “bloqueio”, ou seja, uma que fecha todas as portas, podendo, a posteriori, desbloquear as portas que desejarmos.

Usando o Ubuntu, entramos no terminal e escrevemos o comando:

sudo apt-get install iptables (sudo para assumir o papel de root/administrador).

Em seguida, escrevemos:

sudo modprobe iptables (para verificar que o iptables ficou a instalado).

Avançamos para as regras:

iptables -A INPUT -p tcp –syn -j DROP (esconde serviços que estejam desprotegidos e apenas aceita ligações que sejam iniciadas do nosso lado, faz ignorar qualquer pedido TCP).

A ligação à Internet funcionará normalmente e nenhum dos programas que sejam iniciados do nosso lado da rede deixará de aceitar pedidos e de funcionar.

“Mas eu queria que a porta 25 estivesse aberta!”. Não tem problema, basta usar o comando:

iptables -A INPUT -p tcp –destination-port 25 -j ACCEPT

“E se eu quiser que um intervalo de IP’s da minha rede se liguem sem problemas, como faço?”

Imagine que a sub-rede que está a usar é 192.168.100.0 (IP’s entre 192.168.100.1 e 192.168.100.254) com uma máscara 255.255.255.0. Basta usar o comando:

iptables -A INPUT -p tcp –syn -s 192.168.100.0/255.255.255.0 -j ACCEPT

Podemos ir ainda mais longe nas restrições de bloquear as ligações via UDP. Tenha em atenção que este bloqueio pode fazer com que alguns programas deixem de funcionar. O comando é:

iptables -A INPUT -i ppp0 -p udp –dport 0:30000 -j DROP

Podemos consultar a tabela de regras escrevendo o comando:

sudo iptables -L

Para terminar mas não menos importante se desejarmos anular todas as configurações para reconfigurar basta escrever:

iptables –F