|
|
195.
|
|
|
Each chain in the filter table (the default table, and where most or all packet filtering occurs) has a default <emphasis>policy</emphasis> of ACCEPT, but if you are creating a firewall in addition to a gateway device, you may have set the policies to DROP or REJECT, in which case your masqueraded traffic needs to be allowed through the FORWARD chain for the above rule to work: <screen>sudo iptables -A FORWARD -s 192.168.0.0/16 -o ppp0 -j ACCEPT 
sudo iptables -A FORWARD -d 192.168.0.0/16 -m state --state ESTABLISHED,RELATED -i ppp0 -j ACCEPT</screen> The above commands will allow all connections from your local network to the Internet and all traffic related to those connections to return to the machine that initiated them. |
|
|
represents a line break.
Start a new line in the equivalent position in the translation.
|
|
|
|
|
Cada série na tabela de filtro (a tabela padrão, onde a maioria ou todos os processos e filtragem de pacotes ocorre) tem uma <emphasis>diretriz</emphasis> padrão para ACEITAR, mas se você estiver criando um firewall adicional para o dispositivo de gateway, você terá que definir políticas de DESCARTE ou REJEIÇÂO, em que caso seu tráfico "mascarado" necessitará de permição pra ENVIAR para a série de regras de trabalho acima:<screen>sudo iptables -A FORWARD -s 192.168.0.0/16 -o ppp0 -j ACCEPT
sudo iptables -A FORWARD -d 192.168.0.0/16 -m state --state ESTABLISHED,RELATED -i ppp0 -j ACCEPT</screen> Os comandos acima permitem todas conexões de sua rede local à Internet e todo trânsito relacionado a essas conexões retornar à máquina que os iniciou. |
|
Translated and reviewed by
Og Maciel
|
|
|
|
Located in
C/network-applications.xml:426(para)
|
|
|
196.
|
|
|
Tools
|
|
|
|
|
Ferramentas
|
|
Translated and reviewed by
Duda Nogueira
|
|
|
|
Located in
C/network-applications.xml:440(title)
|
|
|
197.
|
|
|
There are many tools available to help you construct a complete firewall without intimate knowledge of iptables. For the GUI-inclined, <application>Firestarter</application> is quite popular and easy to use, and <application>fwbuilder</application> is very powerful and will look familiar to an administrator who has used a commercial firewall utility such as Checkpoint FireWall-1. If you prefer a command-line tool with plain-text configuration files, <application>Shorewall</application> is a very powerful solution to help you configure an advanced firewall for any network. If your network is relatively simple, or if you don't have a network, <application>ipkungfu</application> should give you a working firewall "out of the box" with zero configuration, and will allow you to easily set up a more advanced firewall by editing simple, well-documented configuration files. Another interesting tool is <application>fireflier</application>, which is designed to be a desktop firewall application. It is made up of a server (fireflier-server) and your choice of GUI clients (GTK or QT), and behaves like many popular interactive firewall applications for Windows.
|
|
|
|
|
Há muitas ferramentas disponíveis para ajudá-lo a construir um firewall completo sem conhecimento íntimo da ferramenta iptables. Para os que preferem GUI (interfaces gráficas), sugere-se o <application>Firestarter</application> é bem popular e de fácil utilização, e o <application>fwbuilder</application>, uma aplicação poderosa com visual familiar para administradores que usam ferramentas comerciais de firewall, como o Checkpoint FireWall-1. Se você preferir uma ferramenta em linha de comando para configurar arquivos em "texto puro", o <application>Shorewall</application> é uma solução poderosa que o ajudará em configurações avançadas de firewall em sua rede. Se sua rede for relativamente simples ou você não possuir uma rede o <application>ipkungfu</application> deve proporcionar-lhe um firewall útil com configuração inicial zero, e o permitirá facilmente armar um firewall mais avançado editando arquivos de configuração simples e bem documentados. Outra ferramenta interessante é o <application>fireflier</application>, que é orientado para desktop. É composto de um servidor (fireflier-server) e sua escolha de clientes GUI (GTK ou QT), e comporta-se como muitas aplicações interativas populares de firewall para Windows.
|
|
Translated and reviewed by
Yves Junqueira
|
|
|
|
Located in
C/network-applications.xml:441(para)
|
|
|
198.
|
|
|
Logs
|
|
|
|
|
Logs
|
|
Translated and reviewed by
Duda Nogueira
|
|
|
|
Located in
serverguide/C/security.xml:787(title)
|
|
|
199.
|
|
|
Firewall logs are essential for recognizing attacks, troubleshooting your firewall rules, and noticing unusual activity on your network. You must include logging rules in your firewall for them to be generated, though, and logging rules must come before any applicable terminating rule (a rule with a target that decides the fate of the packet, such as ACCEPT, DROP, or REJECT). For example: <screen>sudo iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j LOG --log-prefix "NEW_HTTP_CONN: "</screen> A request on port 80 from the local machine, then, would generate a log in dmesg that looks like this:
|
|
|
|
|
O registro (log) das ações do firewall é essencial para reconhecer ataques, investigar e reparar erros em suas regras do firewall e notar atividades inesperadas na rede. Você deve incluir regras de registro em seu firewall para que registros sejam gerado, aliás, e regras de registro devem vir antes de qualquer regra aplicável (uma regra com um alvo que decida o destino do pacote, tal como ACEPT, DISCARD ou REJECT). Por exemplo: <screen>sudo iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j LOG --log-prefix "NEW_HTTP_CONN: "</screen> As requisições pela porta 80 para a máquina local, então, geraria um registro dmesg parecido com este:
|
|
Translated and reviewed by
Yves Junqueira
|
|
|
|
Located in
C/network-applications.xml:462(para)
|
|
|
200.
|
|
|
[4304885.870000] NEW_HTTP_CONN: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=58288 DF PROTO=TCP SPT=53981 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0
|
|
|
|
|
[4304885.870000] NEW_HTTP_CONN: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=58288 DF PROTO=TCP SPT=53981 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0
|
|
Translated and reviewed by
Og Maciel
|
|
|
|
Located in
serverguide/C/security.xml:815(programlisting)
|
|
|
201.
|
|
|
The above log will also appear in <filename>/var/log/messages</filename>, <filename>/var/log/syslog</filename>, and <filename>/var/log/kern.log</filename>. This behavior can be modified by editing <filename>/etc/syslog.conf</filename> appropriately or by installing and configuring <application>ulogd</application> and using the ULOG target instead of LOG. The <application>ulogd</application> daemon is a userspace server that listens for logging instructions from the kernel specifically for firewalls, and can log to any file you like, or even to a <application>PostgreSQL</application> or <application>MySQL</application> database. Making sense of your firewall logs can be simplified by using a log analyzing tool such as <application>fwanalog</application>, <application> fwlogwatch</application>, or <application>lire</application>.
|
|
|
|
|
O registro acima é publicado em <filename>/var/log/messages</filename>, <filename>/var/log/syslog</filename>, e <filename>/var/log/kern.log</filename>. Estes procedimentos podem ser alterado modificando o <filename>/etc/syslog.conf</filename> ou instalando e configurando o <application>ulogd</application> e, assim, usar o ULOG como alvo ao invés do LOG (registro). O daemon <application>ulogd</application> é um servidor userspace que observa o sistema para registrar instruções específicas do kernel para firewalls e registrar qualquer arquivo que você queira, igual aos bancos de dados <application>PostgreSQL</application> e <application>MySQL</application>. O registro das ações do firewall pode ser simplificada usando uma ferramenta para análise de registros, como o <application>fwanalog</application>, <application> fwlogwatch</application>, ou <application>lire</application>.
|
|
Translated and reviewed by
Og Maciel
|
|
|
|
Located in
serverguide/C/security.xml:817(para)
|
|
|
202.
|
|
|
OpenSSH Server
|
|
|
|
|
Servidor OpenSSH
|
|
Translated and reviewed by
Og Maciel
|
|
|
|
Located in
serverguide/C/virtualization.xml:834(para) serverguide/C/remote-administration.xml:20(title)
|
|
|
203.
|
|
|
This section of the <phrase>Ubuntu</phrase> Server Guide introduces a powerful collection of tools for the remote control of networked computers and transfer of data between networked computers, called <emphasis>OpenSSH</emphasis>. You will also learn about some of the configuration settings possible with the OpenSSH server application and how to change them on your Ubuntu system.
|
|
|
|
|
Esta seção do Guia para Servidores <phrase>Ubuntu</phrase> introduz uma coleção de poderosas ferramentas para o controle remoto de computadores ligados em rede e transferência de dados entre computadores na rede, chamado <emphasis>OpenSSH</emphasis>. Você também aprenderá sobre algumas tarefas de configuração possíveis com a aplicação de servidor OpenSSH e como mudá-las em seu sistema Ubuntu.
|
|
Translated and reviewed by
Yves Junqueira
|
|
|
|
Located in
C/network-applications.xml:495(para)
|
|
|
204.
|
|
|
OpenSSH is a freely available version of the Secure Shell (SSH) protocol family of tools for remotely controlling a computer or transferring files between computers. Traditional tools used to accomplish these functions, such as <application>telnet</application> or <application>rcp</application>, are insecure and transmit the user's password in cleartext when used. OpenSSH provides a server daemon and client tools to facilitate secure, encrypted remote control and file transfer operations, effectively replacing the legacy tools.
|
|
|
|
|
OpenSSH é uma versão disponível livremente da família de ferramentas do protocolo Secure Shell (SSH) para controlar um computador remotamente ou transferir arquivos entre computadores. Ferramentas tradicionais utilizadas para cumprir essas funções, como <application>telnet</application> ou <application>rcp</application> são inseguras e transmitem a senha de um usuário em texto puro quando utilizadas. O OpenSSH provê um servidor daemon e ferramentas de cliente para facilitar controle remoto e operações de transmissão de arquivo com segurança e criptografia, efetivamente substituindo ferramentas de legado.
|
|
Translated and reviewed by
Yves Junqueira
|
|
|
|
Located in
serverguide/C/remote-administration.xml:30(para)
|
