Firewall brasileiro XFwall agora roda no Debian
“ Mais uma contribuição para a comunidade Open Source. Agora os usuários do Debian 3.1 (Sarge) podem contar também com o XFwall - Firewall Software For Linux (ferramenta profissional gráfica de configuração de máquinas de firewall). A versão 1.3-17st (pacote .deb + código fonte) acaba de ser lançada para atender especificamente a comunidade de profissionais de segurança de redes TCP/IP que preferem o Debian como distribuição Linux. As versões anteriores rodam no Conectiva, RedHat e Fedora Core. O manual parcial em PDF também pode ser obtido a partir do repositório SourceForge.” A nota foi enviada por Edinaldo La-Roque (la-roqueΘclick21·com·br) , que enviou este link para mais detalhes.(postado por Augusto Campos)
Comentários dos leitores
Comentário de Edival Mittelstad
18/01/06 18:31
Firewall Aker: Não. Ele é comercial.
Tem muitos recursos e muitos bugs, principalmente de interface.
[]'s
Tem muitos recursos e muitos bugs, principalmente de interface.
[]'s
Comentário de elektron
18/01/06 23:19 - usuário registrado #2606
Parabéns La-Roque!: Fico muito feliz com essa notícia. Com a versão para Debian o XFwall amadurece ainda mais. A documentação apesar de parcial está muito boa e o programa está bem intuitivo e fácil de usar.
Pra quem não conhece o XFwall, tem uma apresentação muito boa aqui. Pra mim, o programa é um orgulho pra comunidade de software livre do Norte!!! :-P
É isso aí! Parabéns, La-Roque!
---
MARCELO ANDRADE
Linux User #221105
Belem-Para-Amazonia-Brazil
Pra quem não conhece o XFwall, tem uma apresentação muito boa aqui. Pra mim, o programa é um orgulho pra comunidade de software livre do Norte!!! :-P
É isso aí! Parabéns, La-Roque!
---
MARCELO ANDRADE
Linux User #221105
Belem-Para-Amazonia-Brazil
Comentário de Theblues
19/01/06 5:31
Comercial vs não comercial: Opa,
um software pode usar a GPL e ser comercial, assim como pode ser proprietário (código fechado) e não comercial.
um software pode usar a GPL e ser comercial, assim como pode ser proprietário (código fechado) e não comercial.
Comentário de la-roque
19/01/06 7:01 - usuário registrado #5026
XFwall liberado sob a GPL: Obrigado, Marcelo!
Bem, pessoal, o XFwall é o resultado de anos de experiência em configuração de máquinas dedicadas à função de firewall por filtro de pacotes.
Comecei a escrever o XFwall quando deparei com a tarefa penosa de escrever scripts ipchains/iptables no braço.
Uma das primeiras experiências que me impulsionaram a desenvolver a ferramenta, foi quando fui chamado por um órgão do governo, que tinha uma máquina RISC, Sun Netra UltraSparc, rodando o excelente Firewall-1. Havia em torno de 500 máquinas, divididas em várias sub-redes IP e o Firewall-1 estava sem suporte e apresentando problemas.
Como o ógão não tinha dinheiro para renovar o contrato de suporte do Firewall-1, minha tarefa era colocar uma solução Linux de baixo custo no lugar, o que consegui fazer usando o RedHat 6.2 para SPARC.
Só que, na hora de montar o script de firewall, na época com Kernel 2.2 e ipchains, achei muito improdutivo criar as regras todas na mão, linha por linha. Pior ainda, era ter de repassar o conhecimento para a equipe interna se virar e administrar as regras de firewall.
Como eu sabia que teria de fazer esse tipo de serviço em outras empresas, resolvi encarar a linguagem C e começar a escrever o Fwall (modo texto), do qual o XFwall (modo gráfico) é hoje o front-end.
Depois disso, tive de configurar soluções complexas de firewall (por exemplo, com uma máquina de firewall interno e outra para firewall externo), para redes de porte considerável (600, 800, 1.200 máquinas), com vários links WAN interligando pontos via Internet.
Então, os clientes começaram a me cobrar uma solução de firewall gráfica e amigável, sempre afirmando que "se fosse no Windows as coisas seriam mais fáceis".
Bem, tentando encurtar, o que aconteceu, no final disso tudo, foi que acabei desenvolvendo as ferramentas Fwall (texto) e XFwall (gráfico), traduzindo (quase 300 páginas) o livro "Securing And Optimizing RedHat Linux" e criando o curso "Linux - Segurança em Redes TCP/IP" (que aborda outros tópicos além de iptables).
Portanto, é bom deixar claro que o XFwall é uma ferramenta madura, desenvolvida ao longo de 5 anos, com forte experiência de campo, e voltado para configurações complexas de firewall, para atender empresas de pequeno, médio e (provavelmente) grande porte.
Trata-se de ferramenta de uso avançado.
Como uma espécie de "quick start", poderíamos colocar os seguintes passos:
1) Instalação no Debian 3.1 (Sarge):
# dpkg -i xfwall_1.3-17st_i386.deb
2) Execução:
# xfwall (ou clicando no ícone do XFwall)
3) Configuração das interfaces de rede:
- Ctrl-C (Configure)
- Selecione a aba "Interfaces"
- Preencha de acordo com as necessidades
- Informe SEMPRE a primeira interface de rede (eth0, por exemplo) como INTERFACE EXTERNA.
4) Cadastre as interfaces de rede:
Ctrl-I (Configuration/Custom/Interfaces)
Ex:
eth0 Internet 100Mbit
eth1 Lan 100MBit
5) Cadastre todos os endereços de interesse:
Ctrl-A (Configuration/Custom/Addresses)
Ex:
Internet IP any/0 Internet
Lan IP 192.168.0.0/24 Lan
Ip_Ext IP 200.200.200.200 Internet
(Ip_Ext seria o IP da eth0 que faria o mascaramento da LAN).
6) Cadastre todos os serviços (portas, protocolos, etc):
Ctrl-S (Configuration/Custom/Services)
Ex:
http 80 - 1024:65535 * tcp :HTTP Service
imap 143 - 1024:65535 * tcp :IMAP Service
(Só como exemplo. Esses serviços já estão configurados na tabela de serviços).
7) Crie as regras de NAT/redirecionamento de portas:
Main Menu/NAT
Ex:
Lan -> Internet (http, https, dns_query, smtp, pop-3) MASQ_AS Ip_ext
A regra de NAT acima, faria com que a rede interna (192.168.0.0/24) compartilhasse o IP da eth0 (200.200.200.200) para a lista de serviços informada.
8) Crie as regras de filtragem de pacotes:
Ctrl-R (Main Menu/Rules)
Ex:
Lan -> Internet (http, https, dns_query, smtp, pop-3) ACCEPT
A regra de filtragem acima permite que a rede interna possa navegar na Internet (http e https), consultar servidores DNS (dns_query), enviar emails (smtp) e receber emails (pop-3).
9) Crie as regras de controle de banda:
Main Menu/BW Control
Ex:
Lan -> Internet (http) 128KBIT
A regra acima diz para o XFwall criar uma regra CBQ, limitando em 128 Kbit/s o tráfego HTTP da rede interna para a Internet.
10) Reconstrua o firewall:
Main Menu/Rebuild
11) Ative o firewall:
Main Menu/Run
12) Visualize o script gerado:
Ctrl-Alt-P (Control/Firewall Script)
13) Algumas linhas de comando:
# fwall -S (desativa o firewall)
# fwall -R (ativa o firewall)
# fwall -G (reconstrói o firewall)
# fwall -h (help)
14) Arquivos de configuração:
/etc/fwall
Todos os arquivos de configuração do XFwall encontram-se no /etc/fwall, em texto plano.
15) Backups da configuração:
Sempre que for feito um Rebuild (ou fwall -G), toda a configuração anterior será salva em /var/fwall.
Isso garante que você possa restaurar qualquer configuração anterior (Main Menu/Backup), tornando o XFwall imune a erros de operador.
16) Alguns links:
Screenshots:
http://sourceforge.net/project/screenshots.php?group_id=115126
Lista de discussão:
http://lists.sourceforge.net/lists/listinfo/xfwall-users
Manual, pacotes RPM e DEB:
http://sourceforge.net/projects/xfwall
Tutorial (básico) e muitos screenshots:
http://www.starlinux.com.br/tutorial_01
Espero que isso ajude :)
Edinaldo La-Roque
StarLink Conectividade Ltda.
Autor do software de firewall XFwall
Projeto: http://sourceforge.net/projects/xfwall
Lista: http://lists.sourceforge.net/lists/listinfo/xfwall-users
Bem, pessoal, o XFwall é o resultado de anos de experiência em configuração de máquinas dedicadas à função de firewall por filtro de pacotes.
Comecei a escrever o XFwall quando deparei com a tarefa penosa de escrever scripts ipchains/iptables no braço.
Uma das primeiras experiências que me impulsionaram a desenvolver a ferramenta, foi quando fui chamado por um órgão do governo, que tinha uma máquina RISC, Sun Netra UltraSparc, rodando o excelente Firewall-1. Havia em torno de 500 máquinas, divididas em várias sub-redes IP e o Firewall-1 estava sem suporte e apresentando problemas.
Como o ógão não tinha dinheiro para renovar o contrato de suporte do Firewall-1, minha tarefa era colocar uma solução Linux de baixo custo no lugar, o que consegui fazer usando o RedHat 6.2 para SPARC.
Só que, na hora de montar o script de firewall, na época com Kernel 2.2 e ipchains, achei muito improdutivo criar as regras todas na mão, linha por linha. Pior ainda, era ter de repassar o conhecimento para a equipe interna se virar e administrar as regras de firewall.
Como eu sabia que teria de fazer esse tipo de serviço em outras empresas, resolvi encarar a linguagem C e começar a escrever o Fwall (modo texto), do qual o XFwall (modo gráfico) é hoje o front-end.
Depois disso, tive de configurar soluções complexas de firewall (por exemplo, com uma máquina de firewall interno e outra para firewall externo), para redes de porte considerável (600, 800, 1.200 máquinas), com vários links WAN interligando pontos via Internet.
Então, os clientes começaram a me cobrar uma solução de firewall gráfica e amigável, sempre afirmando que "se fosse no Windows as coisas seriam mais fáceis".
Bem, tentando encurtar, o que aconteceu, no final disso tudo, foi que acabei desenvolvendo as ferramentas Fwall (texto) e XFwall (gráfico), traduzindo (quase 300 páginas) o livro "Securing And Optimizing RedHat Linux" e criando o curso "Linux - Segurança em Redes TCP/IP" (que aborda outros tópicos além de iptables).
Portanto, é bom deixar claro que o XFwall é uma ferramenta madura, desenvolvida ao longo de 5 anos, com forte experiência de campo, e voltado para configurações complexas de firewall, para atender empresas de pequeno, médio e (provavelmente) grande porte.
Trata-se de ferramenta de uso avançado.
Como uma espécie de "quick start", poderíamos colocar os seguintes passos:
1) Instalação no Debian 3.1 (Sarge):
# dpkg -i xfwall_1.3-17st_i386.deb
2) Execução:
# xfwall (ou clicando no ícone do XFwall)
3) Configuração das interfaces de rede:
- Ctrl-C (Configure)
- Selecione a aba "Interfaces"
- Preencha de acordo com as necessidades
- Informe SEMPRE a primeira interface de rede (eth0, por exemplo) como INTERFACE EXTERNA.
4) Cadastre as interfaces de rede:
Ctrl-I (Configuration/Custom/Interfaces)
Ex:
eth0 Internet 100Mbit
eth1 Lan 100MBit
5) Cadastre todos os endereços de interesse:
Ctrl-A (Configuration/Custom/Addresses)
Ex:
Internet IP any/0 Internet
Lan IP 192.168.0.0/24 Lan
Ip_Ext IP 200.200.200.200 Internet
(Ip_Ext seria o IP da eth0 que faria o mascaramento da LAN).
6) Cadastre todos os serviços (portas, protocolos, etc):
Ctrl-S (Configuration/Custom/Services)
Ex:
http 80 - 1024:65535 * tcp :HTTP Service
imap 143 - 1024:65535 * tcp :IMAP Service
(Só como exemplo. Esses serviços já estão configurados na tabela de serviços).
7) Crie as regras de NAT/redirecionamento de portas:
Main Menu/NAT
Ex:
Lan -> Internet (http, https, dns_query, smtp, pop-3) MASQ_AS Ip_ext
A regra de NAT acima, faria com que a rede interna (192.168.0.0/24) compartilhasse o IP da eth0 (200.200.200.200) para a lista de serviços informada.
8) Crie as regras de filtragem de pacotes:
Ctrl-R (Main Menu/Rules)
Ex:
Lan -> Internet (http, https, dns_query, smtp, pop-3) ACCEPT
A regra de filtragem acima permite que a rede interna possa navegar na Internet (http e https), consultar servidores DNS (dns_query), enviar emails (smtp) e receber emails (pop-3).
9) Crie as regras de controle de banda:
Main Menu/BW Control
Ex:
Lan -> Internet (http) 128KBIT
A regra acima diz para o XFwall criar uma regra CBQ, limitando em 128 Kbit/s o tráfego HTTP da rede interna para a Internet.
10) Reconstrua o firewall:
Main Menu/Rebuild
11) Ative o firewall:
Main Menu/Run
12) Visualize o script gerado:
Ctrl-Alt-P (Control/Firewall Script)
13) Algumas linhas de comando:
# fwall -S (desativa o firewall)
# fwall -R (ativa o firewall)
# fwall -G (reconstrói o firewall)
# fwall -h (help)
14) Arquivos de configuração:
/etc/fwall
Todos os arquivos de configuração do XFwall encontram-se no /etc/fwall, em texto plano.
15) Backups da configuração:
Sempre que for feito um Rebuild (ou fwall -G), toda a configuração anterior será salva em /var/fwall.
Isso garante que você possa restaurar qualquer configuração anterior (Main Menu/Backup), tornando o XFwall imune a erros de operador.
16) Alguns links:
Screenshots:
http://sourceforge.net/project/screenshots.php?group_id=115126
Lista de discussão:
http://lists.sourceforge.net/lists/listinfo/xfwall-users
Manual, pacotes RPM e DEB:
http://sourceforge.net/projects/xfwall
Tutorial (básico) e muitos screenshots:
http://www.starlinux.com.br/tutorial_01
Espero que isso ajude :)
Edinaldo La-Roque
StarLink Conectividade Ltda.
Autor do software de firewall XFwall
Projeto: http://sourceforge.net/projects/xfwall
Lista: http://lists.sourceforge.net/lists/listinfo/xfwall-users
Comentário de Dicroh
19/01/06 16:05 - usuário registrado #287
Muitos bugs na interface ?: Amigo, trabalho na Aker e já mexi muito com Iptables, e posso te dizer uma coisa mesmo sendo comercial e não GPL o produto é muito bom, agora resumi um software 100% nacional como "...recursos e muitos bugs..." é um tanto como exagero e sem bases para o tal. Sem flames, mas o produto é maior do que isso.
Comentário de Ricardo frota
20/01/06 4:31
Americanizado: O brasileiro tem mania de fazer as coisas colocando o idioma em Inglês...Vai ser puxa saco do americano na casa do c*
Já retirei essa porcaria do meu Debian. Como pode um projeto de um Brasileiro, escrito em inglês?
Já retirei essa porcaria do meu Debian. Como pode um projeto de um Brasileiro, escrito em inglês?
Comentário de André Luiz (Café)
20/01/06 13:07
Belo trabalho e bela históri: Belo trabalho e bela história também!... :-)
Tem firewall AKER que é brasileiro e muito bom tb...