The wikis are now using the new authentication system.
If you did not migrate your account yet, visit https://idp-portal-info.suse.com/

SuSEfirewall2

Ir para: navegação, pesquisa

Sobre

O SuSEfirewall2 é um completo conjunto de filtros de rede também conhecido como firewall.

É um script que gera regras iptables a partir da configuração armazenada no arquivo /etc/sysconfig/SuSEfirewall2. O SuSEfirewall2 protege você de ataques na rede, ao rejeitar ou descartar alguns pacotes indesejados que chegam a sua interface de rede.

Para configurações mais avançadas, a firewall oferece três diferentes zonas para as quais você pode atribuir a sua interface de rede. Isso capacita o SuSEfirewall2 a atuar também como um roteador de rede entre as três redes diferentes ou um servidor de rede local que fornece mascaramento à Internet (ou outra rede)..

 +----------------------+
 |  Cada zona Firewall  |
 +----------+-----------+
            |
            +--> [ Contém interfaces de rede atribuída ]
            |
            +--> [ Tem definido os Serviços Permitidos ]

Configuração

Para configurar um SuSEfirewall2 ou

  • edite o arquivo /etc/sysconfig/SuSEfirewall2 manualmente e chame
 /sbin/SuSEfirewall2

ou

Por favor, observe que o atual YaST Firewall não mostra nem deixa que se configure todas as definições da firewall. Isso inclui, pelo menos, rejeitar configuração (pelo menos uma ativada por padrão).

Características

Embora o Embora o SuSEfirewall2 tenha muitos recursos, o YaST não pode, obviamente, configurar todos eles. O arquivo de configuração em si fornece toda a documentação necessária para cada uma das funcionalidades.

Se uma determinada variável permite atribuir mais entradas, elas são separadas por um espaço.

 Exemplo:
 FW_VARIABLE="valor1 valor2 valor3,com,mais,parâmetros"

Zonas de Firewall

O SuSEfirewall2 tem três diferentes zonas por padrão:

  • EXT - Zona Externa (i.e., não confiável, Internet)
  • INT - Zona Interna (totalmente confiável, sem filtragem, LAN)
  • DMZ - Zona desmilitarizada (para servidores que devem ser acessados a partir da Internet)

A interface de rede pode ser atribuída às zonas adicionando o nome da interface ao das variáveis FW_DEV_zone onde zone é uma das zonas configurada.

 Exemplos:
 FW_DEV_EXT="dsl0"
 FW_DEV_EXT="any wlan0"
 FW_DEV_INT="eth0 wlan1"

A string especial any pode ser usada para dizer ao SuSEfirewall que atribua todas as interfaces que não estão listadas em qualquer lugar para a zona especificada. Por padrão, todas as interfaces não atribuídas são, de pronto, atribuídas à zona externa.

A variável FW_ZONES pode ser usada para definir zonas adicionais. Por exemplo, se você não quer a filtragem restritiva da zona externa na sua WLAN, mas também não confia totalmente na WLAN de modo que você não pode usar a zona interna, você pode definir uma nova zona:

 FW_ZONES="wlan"
 FW_DEV_wlan="ra0"

Permissão de Acesso aos Serviços

Cada zona de firewall pode permitir quatro tipos de serviços:

  • TCP - FW_SERVICES_EXT_TCP, FW_SERVICES_INT_TCP, FW_SERVICES_DMZ_TCP
  • UDP - FW_SERVICES_EXT_UDP, FW_SERVICES_INT_UDP, FW_SERVICES_DMZ_UDP
  • RPC - FW_SERVICES_EXT_RPC, FW_SERVICES_INT_RPC, FW_SERVICES_DMZ_RPC
  • IP - FW_SERVICES_EXT_IP, FW_SERVICES_INT_IP, FW_SERVICES_DMZ_IP

Os serviços TCP e UDP podem ser inseridos através das portas número da porta, nome da porta (a configuração atual pode ser encontrada no arquivo /etc/services em seu sistema) ou um intervalo de portas, definida como dois números de porta com dois pontos entre eles.

 Exemplos:
 FW_SERVICES_EXT_TCP="ssh"
 FW_SERVICES_EXT_TCP="ftp 22 telnet 512:514"
 FW_SERVICES_EXT_UDP="631 400:405"

Alternativamente os pacotes podem fornecer um arquivo de configuração que descreve quais portas necessitam ser abertas para executar um serviço específico, veja Definições de Serviços Adicionados via Pacotes. A utilização deste método é especialmente conveniente se um serviço necessita portar múltiplas portas.

Mascaramento

... Exemplo:

  • Permitir à rede, sobre a interface interna, completo acesso à Internet.
  • Permitir à rede DMZ completo acesso à Internet.
 FW_MASQ_NETS="10.1.1.0/24 192.168.1.0/24"

Transmissão aos Hosts mascarados

...

Redirecionamento Transparente

...

Iniciando Sessão

...

HTB - Ajustando a Velocidade Máxima de Carregamento

...

IPv6

A configuração do Protocolo de Internet versão 6 (IPv6) tem os seguintes itens:

  • IPv6 suporte - FW_IPv6 (yes/no)
  • IPv6 configuração de saída - FW_IPv6_REJECT_OUTGOING ([yes]/no/drop)
 Exemplos:
 FW_IPv6=""
 FW_IPv6_REJECT_OUTGOING="no"
  • FW_IPv6 padrões para o suporte ao IPv6 pelo kernel quando a opção está vazia.
  • FW_IPv6_REJECT_OUTGOING configuração padrão é sim (rejeição).

Itens sem utilização

  • O SuSEfirewall2 não suporta todas as suas funcionalidades no IPv6.
  • Lista de palavras-chave sem utilização:
    • FW_TRUSTED_NETS
    • FW_SERVICES_ACCEPT_EXT
    • ... (Sinta-se livre para adicionar mais)