Instalando e configurando o firewall gráfico Firestarter

[alarcon]

Introdução

O linux tem incluído no seu kernel um firewall chamado de Iptables. Ele é um dos melhores (senão o melhor) disponível atualmente e conta com enorme flexibilidade. Ao contrário da maioria das soluções para o Windows, o Iptables consome um mínimo de processamento, não causando impacto significativo no desempenho, mesmo em micros antigos, entretanto como o Iptables é configurado e usado via linha de comandos, acaba que se tornando muito difícil o uso por usuários recém chegados ao ambiente linux.

O Ubuntu 8.04 Hardy Heron trouxe como uma das novidades nesta nova versão um firewall chamado de ufw (uncomplicated firewall) que como o nome informa, pretende ser um firewall com a configuração mais fácil (descomplicado) para usuários finais, entretanto penso que para usuários iniciais esta solução criada para a nova versão do Ubuntu ainda não atingiu seu objetivo, pois trata-se de um firewall para ser usado e configurado em linha de comandos e como sabemos usuários iniciantes são aversos a tudo que não seja feito na interface gráfica.

nota: Já existe uma interface gráfica para o firewall ufw (firewall que vem por padrão no Ubuntu) chamado de Gufw e para maiores explicações sobre este aplicativo veja aqui http://gufw.tuxfamily.org/pt/index.html, entretanto ainda acho o Firestarter mais adequado, mais simples, para um usuário iniciante.


Surge então como alternativa o Firestarter que é um firewall gráfico, ao mesmo tempo bastante poderoso e fácil de usar. Ele é adequado para uso em desktops, onde é necessária uma forma simples de monitorar tentativas de conexão e abrir portas.

Escolhi escrever sobre ele por que além de ser um firewall gráfico ideal para a interface gráfica Gnome (é um programa feito em GTK), seu uso é simples e já vem de certo modo pré-configurado requerendo poucas configurações para um uso básico em desktops.

Não vou fazer uma explicação detalhada de todas as opções de configurações do Firestarter, mas apenas ensinar como instalar e manter uma configuração básica que permitirá navegar tranquilamente na internet, usar programas torrents e p2p (amule) sem problemas de conexão e fazer com que o mesmo fique ativo durante o processo de boot do Ubuntu sem ficar pedindo senha, pois o mesmo só roda como superusuário.


Instalação

Bem o processo de instalação do programa Firestarter é relativamente simples, bastando abrir um terminal (Aplicações > Acessórios > Consola ou Terminal) e digitar os dois comandos:

sudo apt-get update

sudo apt-get install firestarter

Quem preferir poderá usar o instalador gráfico Synaptic ou o Adicionar/Remover... para instalar o Firestarter também.

Feita a instalação do firewall Firestarter, vamos agora resolver um pequeno problema ao fazer ele ficar ativo no boot do sistema.

Como o Firestarter só pode ser usado como superusuário (root) ele precisa ser executado com o comando sudo, mas este comando sempre pede a senha do usuário antes de executar o comando, então vamos fazer a edição de um arquivo chamado de sudoers, que se encontra em /etc, no qual iremos fazer com que ao executar o comando que chama o Firestarter, ele faça isso sem pedir a senha, embora o comando seja executado como superusuário.

Antes de mais nada vamos fazer uma cópia de segurança do arquivo que vamos editar, pois ele é muito importante e caso o usuário faça uma edição errada do mesmo poderemos recuperar esta cópia, evitando assim maiores dores de cabeça, portanto abra um terminal (Aplicações > Acessórios > Consola ou Terminal) e digite:

sudo cp /etc/sudoers /etc/sudoers.bkp

Isso fará uma cópia do arquivo sudoers para sudoers.bkp (de backup) na pasta /etc do sistema.

Feita estas considerações vamos aos passos em si, tecle Alt+F2 para abrir a janela Executar Aplicação e lá digite:

gksu nautilus /etc

nota: Nunca feche o gerenciador de arquivos nautilus aberto como superusuário (root) como anteriormente, antes de fazer tudo que é comentado logo abaixo sobre o arquivo sudoers e suas permissões.


este comando irá abrir o gerenciador de arquivos, nautilus, como root (superusuário) já na pasta /etc onde fica o arquivo sudoers. Procure pelo arquivo sudoers e clique nele com o botão direito do mouse e vá em Propriedades > Aba Permissões  e lá onde tem Dono: root , Acesso: Apenas leitura (fig.1), mude para Dono:root, Acesso: Leitura e escrita (fig. 2) . O resto das opções da aba Permissões do arquivo sudoers deixe como estão.

Feita esta pequena modificação, agora poderemos editar o arquivo sudores e colocar uma linha de comando no final deste arquivo afim de que possamos usar o firestarter sem pedir senha. Clique no arquivo sudoers novamente como o botão direito do mouse e escolha a opção Abrir com editor de texto para fazermos a edição no arquivo sudoers.

Ao fazer isso você verá o seguinte conteúdo (ou algo muito parecido com isso):

# /etc/sudoers
#
# This file MUST be edited with the 'visudo' command as root.
#
# See the man page for details on how to write a sudoers file.
#

Defaults   env_reset

# Uncomment to allow members of group sudo to not need a password
# %sudo ALL=NOPASSWD: ALL

# Host alias specification

# User alias specification

# Cmnd alias specification
 
# User privilege specification
root   ALL=(ALL) ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL

que iremos alterar para:

# /etc/sudoers
#
# This file MUST be edited with the 'visudo' command as root.
#
# See the man page for details on how to write a sudoers file.
#

Defaults   env_reset

# Uncomment to allow members of group sudo to not need a password
# %sudo ALL=NOPASSWD: ALL

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root   ALL=(ALL) ALL

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
%admin ALL= NOPASSWD: /usr/sbin/firestarter

Você pode observar que apenas acrescentamos a última linha com o seguinte conteúdo:

%admin ALL= NOPASSWD: /usr/sbin/firestarter

que está dizendo que para o executável firestarter não vai ser pedido a senha, ou seja, iremos executar ele com o comando sudo e mesmo assim não vai ser solicitada a senha do usuário para poder usar o firestarter como superusuário.

Feito isso salve o arquivo e clique outra vez com o botão direito do mouse sobre o arquivo sudoers e vá em Propriedades > Aba Permissões  e lá onde tem Dono: root , Acesso: Leitura e escrita (fig.2 anterior), mude para Dono:root, Acesso: Apenas leitura (fig. 1 anterior), ou seja, volte para os valores originais da aba permissões do arquivo sudoers. Atenção que é muito importante que se faça isso antes de fechar o gerenciador de arquivos, nautilus, que foi aberto como superusuário (root) anteriormente. O resto das opções da aba Permissões do arquivo sudoers deixe como estão.


Ativação no boot

Agora vá no Menu Sistemas > Preferências > Sessões  e clique no botão Adicionar  e em nome digite: Firestarter e em comando digite o seguinte comando: sudo /usr/sbin/firestarter --start-hidden (fig. 3).




Configurando o firewall Firestarter ( básicas)

Antes de reiniciar o Computador tecle:

Alt+F2

Na janela que se abre digite:

sudo /usr/sbin/firestarter

Agora configure seu Firestarter (botão Preferências).

Dicas de configuração:

Na opção Interface deixe marcado:

• Habilitar ícone na bandeja
• Minimizar para bandeja ao fechar a Janela

Na opção política, deixe marcado:

• Aplicar alterações da politica imediatamente

Na opção firewall deixe marcado:

• iniciar/reiniciar o firewall ao discar para fora
  
• iniciar/reiniciar o firewall em renovações de requisições DHCP

Na opção configurações de rede:

• use ppp0 para ambas opções

nota: a opção ppp0 é a usada no caso de conexões ADSL caso use outra forma de conexão, use a opção adequada nas alternativas apresentadas neste passo. Caso não saiba qual usar, vá testando com todas as opções apresentadas como possíveis de uso.


Na opção filtragem ICMP deixe marcada:

• Habilitar filtragem de ICMP

O restante das configurações do Firestarter deixe como estão. Para fazer estas mudanças, basta na janela padrão do Firestarter clicar no botão Preferências. Depois de selecionar tudo que falo basta clicar no botão Aceitar.


Liberando portas para Clientes Torrents e o Amule

Quanto aos clientes torrents é só abrir o Firestarter ir na aba Política e para a opção Edição Política de tráfego de entrada, clique com o botão direito do mouse na segunda área em branco (são 3, portanto clique na do meio) logo abaixo e no menu que aparecer escolha Adicionar regra e então em Permitir Serviço Nome  BitTorrent  (deve ser a escolha). O resto deixe como está, bastado agora clicar em adicionar. Lembre-se que ele vai liberar o intervalo 6881-6889 que é o padrão usado por clientes torrents como o deluge. Caso você use outras portas entre com elas neste local.

Quanto ao amule é só abrir o Firestarter ir na aba Política e para a opção Edição Política de tráfego de entrada, clique com o botão direito do mouse na segunda área em branco ( são 3, portanto clique na do meio) logo abaixo e no menu que aparecer escolha Adicionar regra e então em Permitir Serviço Porta digite a porta 4662 e depois clique no botão Adicionar. Repita o mesmo procedimento acima para mais estas portas: 4665 e 4672

No final, tanto para o cliente torrent como para o amule a segunda área em branco na aba política e para a opção política de tráfego de entrada ficaria assim:

Depois de ter feito tudo corretamente, ao reiniciar o seu sistema o ícone do Firestarter deverá aparecer minimizado no systray do Ubuntu próximo ao relógio e ao se conectar ele fica ativo fazendo o seu papel.

Só a título de curiosidade, segue abaixo um link para o Youtube mostrando como se instala e configura o Firestarter.

http://www.youtube.com/watch?v=4eMTf-S1IjI

[asghan]

Excelente tutorial, funcionou numa boa, só tem "uma" coisa q não consegui mexer, meu modem está modo brigde, então eu preciso esperar o sistema bootar e clik para conexão, o lance é q toda vez o firestarter exibe uma mensagem na tela logo quando inicia: "Não foi possível verificar ppp0, verifique se sua conexão está ativa e por ai vai..." tem como desabilitar isso, quero dizer, essa mensagem ?

Valew, nota 10 !!!!!

[alarcon]

Excelente tutorial, funcionou numa boa, só tem "uma" coisa q não consegui mexer, meu modem está modo brigde, então eu preciso esperar o sistema bootar e clik para conexão, o lance é q toda vez o firestarter exibe uma mensagem na tela logo quando inicia: "Não foi possível verificar ppp0, verifique se sua conexão está ativa e por ai vai..." tem como desabilitar isso, quero dizer, essa mensagem ?

Valew, nota 10 !!!!!

Bem, se você seguiu a risca o que foi falado aqui e não conseguiu usar o ppp0, então faça mais isso no terminal:

sudo poff -a

sudo ifconfig eth0 0.0.0.0

sudo pon dsl-provider

sudo route add default ppp0

Depois veja se no Firestarter agora vc consegue selecionar o ppp0 na opção configurações de rede.

Se mesmo assim ainda não dá certo, reinicie o PC para ver se muda.

[PRSC]

Belo tópico Alarcon.

Eu ja usava ele desde sua ajuda a tempos atrás.
Mas tenho duas dúvidas.

Mesmo eu não iniciando o firestarter, o firewall do ubuntu está trabalhando?

Esses dias vi conexão aberta, porta 447 se não me engano, provavelmente minha mulher abriu o amsn dela, e não clicou em sair pra depois fechar, não tinha nada de internet aberto, gerenciador, nada mesmo.
Nesse caso eu queria encerrar aquela conexão pelo firestarter mas não consegui, existe como?

Abraço.

[asghan]

Deu certo, o firewall tá monitorando a ppp0, mas é  como eu disse, assim q ligo o pc e dá o boot e o firewall carrega ele exibe a mensagem, mas está monitorando certinho, é q ele não encontra a conexão ativa assim q é iniciado por ser modo bridge

[alarcon]

Deu certo, o firewall tá monitorando a ppp0, mas é  como eu disse, assim q ligo o pc e dá o boot e o firewall carrega ele exibe a mensagem, mas está monitorando certinho, é q ele não encontra a conexão ativa assim q é iniciado por ser modo bridge

Por isso não deve ser por que o meu também é modo bridge e ele detecta a conexão. Não seria porque vc marcou nas configurações a opção Iniciar/Reniciar firewall ao iniciar o programa que é a única que digo para não marcar.


Ou então sua conexão demora um pouquinho para ativar e aí o firestarter acaba que sendo chamado primeiro que a ativação da conexão e dá erro. Se for isso vc terá de criar um script com o comando sleep 8, por exemplo, antes de chamar o firestarter.

[alarcon]

Belo tópico Alarcon.

Eu ja usava ele desde sua ajuda a tempos atrás.
Mas tenho duas dúvidas.

Mesmo eu não iniciando o firestarter, o firewall do ubuntu está trabalhando?

Esses dias vi conexão aberta, porta 447 se não me engano, provavelmente minha mulher abriu o amsn dela, e não clicou em sair pra depois fechar, não tinha nada de internet aberto, gerenciador, nada mesmo.
Nesse caso eu queria encerrar aquela conexão pelo firestarter mas não consegui, existe como?

Abraço.

Não tenho certeza, mas penso que o firewall é ativo no boot sim mesmo que na interface gráfica não apareça o ícone do mesmo, pois acho que a interface gráfica é só para manipular em tempo real suas configurações. Vejo que tem script do firestarter no /etc/init.d e no /etc/rcS.d, mas é algo a se verificar com mais precisão que confesso que não tenho quanto a essa dúvida sua.

Quanto a suas outrs dúvidas eu não entendi ao certo o que vc quis dizer, pode ser mais claro?

Você se refere a uma porta aberta na aba política ou a algo na aba eventos?

[clcampos]

Alarcon voltando em grande estilo.

Quando crescer quero ser igual a ele!

Como sempre parabéns!

[]'s

Cristiano

[PRSC]

Belo tópico Alarcon.

Eu ja usava ele desde sua ajuda a tempos atrás.
Mas tenho duas dúvidas.

Mesmo eu não iniciando o firestarter, o firewall do ubuntu está trabalhando?

Esses dias vi conexão aberta, porta 447 se não me engano, provavelmente minha mulher abriu o amsn dela, e não clicou em sair pra depois fechar, não tinha nada de internet aberto, gerenciador, nada mesmo.
Nesse caso eu queria encerrar aquela conexão pelo firestarter mas não consegui, existe como?

Abraço.

Não tenho certeza, mas penso que o firewall é ativo no boot sim mesmo que na interface gráfica não apareça o ícone do mesmo, pois acho que a interface gráfica é só para manipular em tempo real suas configurações. Vejo que tem script do firestarter no /etc/init.d e no /etc/rcS.d, mas é algo a se verificar com mais precisão que confesso que não tenho quanto a essa dúvida sua.

Quanto a suas outrs dúvidas eu não entendi ao certo o que vc quis dizer, pode ser mais claro?

Você se refere a uma porta aberta na aba política ou a algo na aba eventos?

Alarcon.

Sempre tive dúvida sobre o firewall no boot,  já vi falarem que sim, já vi falarem que não, então aproveitei pra perguntar aqui.

Sobre a porta aberta, é na aba "Estado", onde aparece na primeira tela do firestarter, em "conexões ativas".

Ali em baixo quando o torrent tá aberto, fica mostrando quem tá usando, mas um certo dia, aparecia uma outra porta sendo usada, e não tinha nada em uso, mas ela tava em uso, eu suspeito que fosse a conta de minha mulher do msn dela, que não fechou com segurança.

Clicando em cima da tal porta, com o botão direito a única opção que tenho é " Consultar nomes de Máquina "

Nesse caso eu tinha dúvida se poderia matar a tal conexão pelo próprio firestarter.

Abraço.

[alarcon]

Alarcon.

Sempre tive dúvida sobre o firewall no boot,  já vi falarem que sim, já vi falarem que não, então aproveitei pra perguntar aqui.

Sobre a porta aberta, é na aba "Estado", onde aparece na primeira tela do firestarter, em "conexões ativas".

Ali em baixo quando o torrent tá aberto, fica mostrando quem tá usando, mas um certo dia, aparecia uma outra porta sendo usada, e não tinha nada em uso, mas ela tava em uso, eu suspeito que fosse a conta de minha mulher do msn dela, que não fechou com segurança.

Clicando em cima da tal porta, com o botão direito a única opção que tenho é " Consultar nomes de Máquina "

Nesse caso eu tinha dúvida se poderia matar a tal conexão pelo próprio firestarter.

Abraço.

Para tirar esta dúvida do Firestarter estar ou não trabalhando mesmo sem seu ícone está ativo durante o boot eu fiz o seguinte usei dois sites de teste do firewall com o Firewall ativo e parado e observei os resultados. Os resultados foram difernte com e sem o firewall funcionando, obviamente que com o firewall ativo foi bem melhor o resultado do  que com ele parado.

Feito isso fui no menu Sistema > Preferencias > Aplicativos de sessão e retirei (desabilitei) a entrada relativa ao Firestarter e reiniciei o sistema. O ícone que fica na parte superior direita próximo ao relógio do Firestarter desta vez não apareceu depois do boot no Ubuntu.

Fiz os testes outra vez e os resultados foram exatamente os mesmos que com o firewall Firestarter ativo e com seu ícone no systray.

Conclusão, o Firestarter fica ativo mesmo que o ícone não esteja aparecendo a não ser que vc tenha parado o firewall antes do ícone desaparecer do systray. Penso que logo depois de instalar o Firestarter ele ainda não está ativo, ou melhor, pode até está mais com tudo liberado, então somente depois da primeira configuração é que ele passa a fazer seu papel mesmo que o ícone no systray não seja carregado.

Com relação a porta que vc fala o melhor para encerrar um processo mal terminado é pelo comando  killall que graficamente seria pelo Monitor de Sistema (menu Sistema > Administração > Monitor de sistema > aba Processos) e não pelo Firestarter que serve é para bloquear portas/conexões e não matar processos. O local para vc bloquear um evento indevido no Firestarter é pela aba Eventos, aí vc clica com o botão direito no evento que quer bloquear e escolhe uma opção das apresentadas no menu suspenso para isso ok. O local para vc bloquear portas seria na aba Política.

[PRSC]

Obrigado por responder Alarcon

Sabe que no dia que vi a tal porta trabalhando, cheguei a ir no monitor de sistema e não tinha nada ali que indica-se o uso dela.
Obrigado pelos esclarecimentos.

Abraço.

Edit:

Sabe aquela opção "ICMP", ela estando marcado, eu não consigo responder no forum, quando clico em enviar, me vem uma pagina para salvar em php!
Desmarcando, volta ao normal, isso aconteceu com o firefox, e com o opera, a conexão dá erro.

T+

[alarcon]

Obrigado por responder Alarcon

Sabe que no dia que vi a tal porta trabalhando, cheguei a ir no monitor de sistema e não tinha nada ali que indica-se o uso dela.
Obrigado pelos esclarecimentos.

Abraço.

Edit:

Sabe aquela opção "ICMP", ela estando marcado, eu não consigo responder no forum, quando clico em enviar, me vem uma pagina para salvar em php!
Desmarcando, volta ao normal, isso aconteceu com o firefox, e com o opera, a conexão dá erro.

T+

Aqui está normal e tenho esta opção habilitada, então pode ser por outros motivos que isso ocorre com vc.

No momento estou usando o Ubuntu 9.10 beta, mas no Ubuntu 9.04 que tinha antes tudo funcionava perfeitamente no fórum e com o Firestarter com ICMP habilitado.

[PRSC]

Então Alarcon.

Comigo aquela opção dá isso, mas tudo bem, pode ser por ser sistema 64 bits, sei lá, já arrumei.
Poderia deixar o link que vc testou o firewall?
Abraço.

[alarcon]

Então Alarcon.

Comigo aquela opção dá isso, mas tudo bem, pode ser por ser sistema 64 bits, sei lá, já arrumei.
Poderia deixar o link que vc testou o firewall?
Abraço.

Os sites que usei para um pequeno teste foram:

GRC (Shields Up!):
https://www.grc.com/x/ne.dll?bh0bkyd2

Aqui eu fiz o teste All Service Ports para testar todas as portas.

PC Flank:
http://www.pcflank.com/

neste último eu fiz os testes Quick Test, Stealth Test e Trojans Test

[isabelgobbo]

Eu uso dhclient3 eth0 pelo terminal para entrar na internet pois uso um roteador DIR300 onde está ligado o modem ADSL.

Eu uso o roteador e é ele que está configurado, assim minha irmã pode usar wireless no notebook dela e eu uso a conexão wired ADSL pela "Oi" com o BrTurbo como provedor.

O único dispositivo  de rede que a Firestarter  encontra ao iniciar a instalação é esse e eu sempre usei configuração de rede pelo Linux com o eth0.

Está certo?