4.1. Firewall/NAT

Firewall

As principais funções de um firewall são a proteção entre uma rede local/privada e uma rede pública, como a Internet, e a geração de logs de atividades, tráfego e acessos devidos e indevidos.

O firewall pode ser implementado por um software em um computador comum. Este computador é multihomed tendo uma interface com a rede local e outra com a rede pública.
Esta arquitetura de firewall é mostrada na figura abaixo:

Arquitetura dual-homed


O firewall pode ser implementado com uma arquitetura de subnet (sub-rede), esta arquitetura implica que você terá uma sub-rede delimitada por dois roteadores. Esta arquitetura é mais indicada para provedores de grande escala e que requer um grau maior de segurança.
Esta arquitetura de firewall é mostrada na figura abaixo:

Arquitetura subnet


O software padrão do Linux é o iptables, sucessor do ipchains, a partir do kernel 2.4.

No SuSE Linux, o iptables é facilmente configurado utilizando o arquivo /etc/sysconfig/SuSEfirewall2. Nele são definidas as interfaces, os endereços e serviços válidos, para as redes privadas, públicas e DMZ.

O firewall do SuSE Linux é gerenciado pelo script rcSuSEfirewall2 com as opções [start | stop | restart | reload | status]. Na verdade o rcSuSEfirewall2 é um link para o script /etc/init.d/SuSEfirewall2_setup que por sua vez chama o script /sbin/SuSEfirewall2, responsável pela manipulação dos filtros de pacotes chamando o iptables.

A proteção contra acessos indevidos, tanto da rede local para a pública quanto da rede pública para a local, é feita através de filtros de pacotes.

Filtros

As regras do firewall levam em consideração a direção (Inbound, Outbound, Either), o endereço e porto de origem, o endereço e porto de destino, o protocolo e definem a ação (Permit, Deny). O porto de destino especifica basicamente o serviço requisitado. Este serviço normalmente é implementado na camada de aplicação (mail, telnet, ftp, ...). Um bom firewall conhece o encapsulamento dos dados para os serviços definidos desde a camada física (meio de acesso à rede: ethernet, FDDT, ATM, ...) até a aplicação.

NAT - Network Address Translation

Outra função de um firewall é permitir que uma máquina local com endereços privados acesse serviços e máquinas na Internet. O firewall faz a tradução de endereços privados para endereços válidos na Internet. Isto também é conhecido como Masquerading.

Copyright © 2001-2007 HMarx - webmaster@linuxsupport.com.br