BFW Firewall & Router

[reginaldo]

Tutorial em Revisão

Tutorial "Conhecendo o BrazilFW"
Título Original: "Sobre o BrazilFW"
Autor: desconhecido

Nota: Pessoal, tutorial em revisão. Quem tiver correções, sugestões e ou críticas a fazer, por favor, postem aqui viewtopic.php?f=2&t=67285
Conto com a ajuda dos nobres colegas.
Reginaldo

*******************************************************************************************************************************
Índice deste Tutorial:

• Introdução
• Características (Funções) do BrazilFW
• Requisitos para rodar o BrazilFW
• Comportamento Padrão do Firewall do BrazilFW
• Telas do BrazilFW
• Como Recuperar Uma Senha Perdida Do BrazilFW
• Como retirar a proteção de tela do Console.
• Como descobrir o MAC de um PC da rede do BFW.
• Como compartilhar uma impressora Paralela e/ou USB usando o BrazilFW
• Como fazer o BrazilFW mandar e-mail.
• Add-ons

*** Clicke Aqui e você terá uma Relação de Tutoriais em Português Modernos ***

*** Clicke Aqui e você terá uma Relação de Tutoriais em Português Antigos ***

*******************************************************************************************************************************
Introdução.

O BrazilFW é uma mini distribuição Linux Firewall e Roteador que roda facilmente em computadores antigos.
Um PC antigo rodando BrazilFW é muito mais poderoso e eficiente do que os softwares comerciais para roteamento em escritórios e residencias rodando em um computador "parrudo".

O BrazilFW é baseado no Coyote Linux- floppy firewall/routing system, que foi idealizado por Joshua Jackson, o qual descontinuou o coyote linux na versão 2.24 em agosto de 2005. Neste mesmo mês entra em cena o "BrazilFW Firewall e Router" - Abreviatura: BFW com a versão 2.24, sendo este liderado por "Cláudio" e "Marcelo - Brazil".
No inicio, ainda usando a versão 2.24 do Coyote, só rodávamos em disquete. Hoje estamos na versão 2.31.10, que roda somente em midia de grande capacidade, como por exemplo, em Disco rígido (HD) e tem detecção automática de placas de rede. A ultima versão que tem suporte a disquete é a versão 2.30.1.
A versão 3.0 esta em fase de desenvolvimento, sendo liderado pelo "WoshMan".

Apesar de hoje o BrazilFW ter outros serviços agregados ele tem como função original ser um firewall e Roteador.
Mas o que é um Firewall e o que é um Roteador?
Vamos a uma rápida explicação:

Firewall:

Firewall é o nome dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra. Este conceito inclui os equipamentos de filtros de pacotes e de proxy de aplicações, comumente associados a redes TCP/IP.

Os primeiros sistemas firewall nasceram exclusivamente para suportar segurança no conjunto de protocolos TCP/IP (ver história).

O termo inglês firewall faz alusão comparativa da função que este desempenha para evitar o alastramento de acessos nocivos dentro de uma rede de computadores à uma parede corta-fogo (firewall), que evita o alastramento de incêndios pelos cômodos de uma edificação[1].

Existe na forma de software e hardware, ou na combinação de ambos (neste caso, normalmente é chamado de "appliance"). A complexidade de instalação depende do tamanho da rede, da política de segurança, da quantidade de regras que autorizam o fluxo de entrada e saída de informações e do grau de segurança desejado.

Para mais detalhes sobre Firewall clicke aqui.

Roteador :

Roteador (neologismo derivado da palavra router ou encaminhador) é um equipamento usado para fazer a comutação de protocolos, a comunicação entre diferentes redes de computadores provendo a comunicação entre computadores distantes entre si.

Roteadores são dispositivos que operam na camada 3 do modelo OSI de referência. A principal característica desses equipamentos é selecionar a rota mais apropriada para repassar os pacotes recebidos. Ou seja, encaminhar os pacotes para o melhor caminho disponível para um determinado destino.

Funcionamento

Os roteadores iniciam e fazem a manutenção de tabelas de rotas executando processos e protocolos de atualização de rotas, especificando os endereços e domínios de roteamento, atribuindo e controlando métricas de roteamento. O administrador pode fazer a configuração estática das rotas para a propagação dos pacotes ou através de processos dinâmicos executando nas redes.

Os roteadores passam adiante os pacotes baseando-se nas informações contidas na tabela de roteamento. O problema da configuração das rotas estáticas é que, toda vez que houver alteração na rede que possa vir a afetar essa rota, o administrador deve refazer a configuração manualmente. Já o conhecimento de rotas dinâmicas são diferentes. Depois que o administrador fizer a configuração através de comandos para iniciar o roteamento dinâmico, o conhecimento das rotas será automaticamente atualizado sempre que novas informações forem recebidas através da rede. Essa atualização é feita através da troca de conhecimento entre os roteadores da rede.

Protocolos de roteamento

São protocolos que servem para trocar informações de construção de uma tabela de roteamento. É importante ressaltar a diferença entre protocolo de roteamento e protocolo roteável. Protocolo roteável é aquele que fornece informação adequada em seu endereçamento de rede para que seus pacotes sejam roteados, como o TCP/IP e o IPX. Protocolo de roteamento possui mecanismos para o compartilhamento de informações de rotas entre os dispositivos de roteamento de uma rede, permitindo o roteamento dos pacotes de um protocolo roteado

Para mais detalhes sobre Roteador clicke aqui.

*******************************************************************************************************************************
As Funções Principais do BrazilFW são:

Compartilhar conexões de Internet.
Promover proteção de firewall para os PCs conectados ao BrazilFW.

Roteamento / Serviços de Rede

Abaixo, as funções que o BrazilFW tem atualmente (2.xx):
-DHCP (servidor e cliente).
-PPPoE (cliente).
-Modem Dial-up Support.
-DHCP (servidor com reservas de IP)
-NAT (Network Address Translation/Masquerading)
-Port Forwarding
-Limitação inicial em 254 PCs em rede.
-Modo Bridge (NAT desabilitado)
-SSH (server)
-SSH (tunnelling support)
-Web Server (com propósitos administrativos. ex: página de aviso)
-Suporte original para 3 interfaces de rede (WAN/LAN/DMZ)
-Acima de 3 endereços WAN
-Acima de 3 endereços LAN
-Acima de 3 endereços DMZ
-QoS (Quality Of Service)
-Suporte a Proxy (Optional)
-WAN mac clone (MAC Spoofing)
-Upnp (suportado)
-Bridge Firewall (Suportado)
-Squid Proxy - Http Cache
-GRE (suportado)

Serviços do Firewall

Abaixo as funções do Firewall do BrazilFW:
-Firewall com regras Stateful e Stateless
-Layer 7 (application layer) firewall support
-Remote syslog
-Access and admin rules.
-Separate rules configuration per subnet and per interface.
-Custom iptables firewall rules
-L.C.D. supporte para (fiação & software)

O que o BFW não faz ou ainda não tem função.

-WEP/WPA support for wireless cards.
-Bridging over 802.11b connections
-VPN network support (SSH tunneling IS supported)
-IPSEC suport
-Traffic logging

*******************************************************************************************************************************
Requisitos para rodar o BrazilFW

Atenção, a Versão 2.30.1 é a última com os seguintes suportes:

1. Disquetes
   
2. Placas de rede ISA.
3. Computadores 486

• Até a Versão 2.30.1e sem Servidor Proxy (Squid) usando Disquete:
  
  • Nesta opção o BrazilFW roda em um velho 486 "DX" 66 (sx pra baixo não) com pelo menos 16MB de memoria RAM. Você não precisa do Disco Rígido (HD), mas se desejar, pode naturalmente instalar em um HD, que alias é muito mais recomendado em termos de confiabilidade/velocidade.
  
  
• Versão 2.30.1 e 2.31.10 Instalada no HD e com Servidor Proxy (Squid):
  
  • Nesta opção é aconselhável pelo menos um "Pentium 233 MMX" com 128 MB de memória RAM e claro, um HD.
  
  
• Versão 3.0 com Servidor Proxy (Squid):
  
  • Aqui use pelo menos um "Pentium III 500 MHZ" com 256 MB de memória RAM.

Para colocar o BFW pra rodar, você precisa de um link com a internet, um switch/hub/access point, e cabeamento apropriado para ligar tudo.


*******************************************************************************************************************************
Comportamento Padrão do Firewall do BrazilFW
================> Autor deste Capítulo: Claudio <===============

O BrazilFW vem pré-configurado para bloquear ou permitir as conexões de acordo com a tabela abaixo:


- = Tráfego Permitido
X = Tráfego Bloqueado
0 = Tráfego Não Controlado

Vermelho = Zona Insegura
Amarelo = Zona Média
Verde = Zona Segura

Regras Gerais:
1 - Não é permitido abrir conexões de uma zona menos segura para uma zona mais segura.
2 - É permitido abrir conexões de uma zona mais segura para uma zona menos segura.
3 - As conexões feitas entre as máquinas de uma mesma rede não passam pelo roteador e estão fora de qualquer controle.

Quem não quizer que sistema faça o roteamento entre as redes internas pode bloqueá-lo facilmente com o firewall avançado.

Por exemplo, se você não quer comunicação entre a LAN e a LAN2 as regras ficam assim:

Código: Selecionar todos

access Y deny all lan-if local2-if all # Bloqueia conexões da lan para a lan2
access Y deny all local2-if lan-if all # Bloqueia conexões da lan2 para a lan

É seguro.

*******************************************************************************************************************************
Telas do BrazilFW

Abaixo, algumas telas do WebAdmin (Administrador WEB).
Obs.: As telas foram tiradas da versão 2.31.10 do BrazilFW

Telas de Entrada e "Logo On".




Tela Inicial - Informações


Tela de Configuração de Rede


Tela de Configuração de Internet


Tela de Configuração do Load Balance


Tela de Configuração da DMZ


Tela de Configuração do DNS Cache e DHCP Server


Tela de Configurações Administrativas


Tela para Configuração de Redirecionamento de Portas.


Tela para Configuração Simplificada do Firewall


Tela para Configuração Avançada do Firewall


Tela de Configuração do QOS


Tela de Configuração de Tarefas Agendadas


Tela de Configuração das Sub-Redes


Tela de Arquivos de Configuração


Tela de Ferramentas de Diagnóstico


Tela Resumo Após um "Back-Up" dos Arquivos do Sistema.


*******************************************************************************************************************************
Como Recuperar Uma Senha Perdida Do BrazilFW
================> Autor deste Capítulo: Claudio <===============

BrazilFW Instalado no HD

Será precisao um disco de boot do DOS com algum editor de texto incluso. Um bom disco que pode ser usado para isso é o disco de boot/recuperação do Windows98.

Dê boot na maquina do BrazilFW com esse disco e digite:

Código: Selecionar todos

C:
CD \CONFIG
EDIT COYOTE.CFG

Localize essa linha

Código: Selecionar todos

ADMIN_AUTH='xxxx'

onde o xxxx é a sua senha criptografada.

Troque a sua linha por isso:

Código: Selecionar todos

ADMIN_AUTH='STNRMXTpRdl4sseKKLMyG/'

Após a alteração

Sua senha agora é brazilfw
É muito importante que você a altere imediatamente logo após o primeiro login.


*******************************************************************************************************************************
Como retirar a proteção de tela do Console.
================> Autor deste Capítulo: Desconhecido <===============

Edite o arquivo rc.local e coloque esse comando:

Código: Selecionar todos

echo -e "\33[9;0]"

Salve, Saia e faça Backup

*******************************************************************************************************************************
Como descobrir o MAC de um PC da rede do BFW.
================> Autor deste Capítulo: Desconhecido <===============

Para descobrir um endereço MAC de qualquer PC que pertence a rede de seu BFW. Basta você dar o comando:

Código: Selecionar todos

arping -c2 <ip.da.maquina>

Onde <ip.da.maquina> você troca pelo IP do PC que se quer saber o MAC


Agora onde fazer isso ?

Direto pelo shell do BFW.
Após se logar no BFW, dê o comando Q (sair do menu).
Ai é so dar o comando.

OBS: O BFW vai comer todos os primeiros ZEROS.

Exemplo 1:

Código: Selecionar todos

brazilfw# arping -c2 10.0.0.2
ARPING to 10.0.0.2 from 10.0.0.2 via eth0
Unicast reply from 10.0.0.2 [red][0:15:f2:cf:26:64][/red] 0.725ms
Unicast reply from 10.0.0.2 [red][0:15:f2:cf:26:64][/red] 0.641ms
Sent 2 probes (1 broadcast(s))
Received 2 replies


Aqui ele comeu o primeiro ZERO da primeira seqüencia.


Exemplo 2:

Código: Selecionar todos

brazilfw# arping -c2 10.0.0.3
ARPING to 10.0.0.3 from 10.0.0.3 via eth0
Unicast reply from 10.0.0.3 [0:15:f2:0:60:a8] 0.806ms
Unicast reply from 10.0.0.3 [0:15:f2:0:60:a8] 0.695ms
Sent 2 probes (1 broadcast(s))
Received 2 replies

Aqui ele comeu o primeiro ZERO da quarta seqüencia.

As informações a seguir não precisam ser seguidas se quiser. Pois mesmo usando os MACs sem os ZEROS que falta, o BFW e Windows não vai digamos, se importar...hehehe

Então se for usar o MAC para adicionar no firewall ou em outro lugar, basta adicionar mais um zero nas sequencias que só tiverem 1 letra ou numero.

EX:
0:15:f2:cf:26:64 ficaria 00:15:f2:cf:26:64
0:15:f2:0:60:a8 ficaria 0:15:f2:00:60:a8

*******************************************************************************************************************************
Como compartilhar uma impressora Paralela e/ou USB usando o BrazilFW
================> Autor deste Capítulo: Tiagobaracho <===============

Por que fazer isso?

- Embora compartilhar uma Impressora não seja o propósito de um Router/Firewall, às vezes o PC com o BrazilFW é a única que fica o tempo todo ligada e tem uma porta paralela (ou USB) ... então por que não?

Qual a utilidade?

- Atualmente as impressoras vendidas são em grande maioria USB. Portanto, ter a possibilidade de fazer do BrazilFW também um Printer Server para impressoras USB é bastante útil, visto que é uma maquina que está sempre presente e ligada na rede.

Requisito?

- Um BrazilFW, versão 2.30, funcionando normalmente.
- O pacote de porta USB/paralela e módulos de impressora.
- O pacote de compartilhamento de impressora.

Como Instalar?

- Faça o download, através do wget preferencialmente, dos dois pacotes acima (lp.tgz e p910nd.tgz), da mesma forma que se instala qualquer addon. Estão descrito a seguir os comando necessários no prompt ssh (putty):

Código: Selecionar todos

# mt
# cd mnt
# wget http://www.brazilfw.com.br/users/marcos/lp/lp.tgz
# wget http://www.brazilfw.com.br/users/marcos/lp/p910nd.tgz
# cd /
# umt
# reboot

- Antes de executar o comando reboot, certifique-se que a impressora está conectada e ligada, para que no próximo boot já possa ser iniciada.

- Verifique e confirme a configuração correta para seu BrazilFW no arquivo rc.p910nd localizado em /etc/rc.d/pkgs/. A edição pode ser feita através do comando: "edit /etc/rc.d/pkgs/rc.p910nd". O conteúdo está bem documantado.
No caso de se usar duas impressoras ao mesmo tempo (uma na USB e outra na paralela) deve-se tomar o cuidado de reconfigurar a porta paralela
para outro endereço (lpt1).

#Using lpt0 (disable/reconfigure LPT port in BIOS) redirect to usb0 in port 9100
#p910nd -f /dev/usb/lp0 -b 0

#Using lpt1 (disable/reconfigure LPT port in BIOS) redirect to usb1 in port 9101
#p910nd -f /dev/usb/lp1 -b 1

#Using lpt0 (adr 378 irq 7) in port 9100
#p910nd -b 0

#Using lpt1 (adr 278 irq 5) in port 9101
#p910nd -b 1

- O próximo passo é a instalação da impressora compartilhada nas maquinas clientes:
Veja estas páginas de como configurar suas estações de trabalho Windows para usar as impressoras compartilhadas:
http://members.shaw.ca/nicholas.fong/printsrv/

- Soluçao de problemas:
Na linha "p910nd -f /dev/usb/lp0 -b 0" o dispositivo lp0 indica o dispositivo no qual a impressora deve estar conectada. Ao plugar a impressora no BrazilFW ela pode assumir lp0, lp1, lp2, e assim por diante. Dependerá da porta USB em que está conectada. O numero 0 indica que este dispositivo está sendo achado antes do LPT. Caso a LTP esteja ativa na BIOS e a impressora não funcione, tente mudar para de 0 para 1 e reboot.
Caso o descrito nesse tutorial nao funcione, possivelmente sua impressora está conectada em um dispositivo diferente do descrito nessa linha. Altere /dev/usb/lp0 para /dev/usb/lp1 caso não tenha sucesso nos testes iniciais. Verifique também em /dev/usb quais dispositivos (lp0, lp1, lp2, ... ) você possui e altere de acordo com os presentes, somente. Repare ao desconectar e conectar o cabo USB da impressora no BrazilFW que a mensagem exibida na tela expõe o dispositivo em que está conectada.

Agradecimentos a Marcos do Vale pela disponibilizarão dos arquivos e todos esclarecimentos prestados sobre o assunto, possibilitando que este tutorial pudesse ser feito.

Créditos, Licenças, Fontes e Documentação
BrazilFW Firewall & Router - http://www.BrazilFW.com.br
Can someone update p910nd to version .9 for BrazilFW? - viewtopic.php?f=3&t=59670
p910nd por Ken Yap (ken_yap A users.sourceforge.net)
Compilado para o BrazilFW por Marco Bonardo

*******************************************************************************************************************************
Como fazer o BrazilFW mandar e-mail.
================> Autor deste Capítulo: Desconhecido <===============

English Version Broken Link
Versión en Español

Porquê fazer isto?
- Às vezes você quer que o seu BrazilFW envie algumas informações para você.

O que você precisa?
- O script de enviar e-mail (mail.tgz)

Como instalar?
Pelo Console do BrazilFW

Código: Selecionar todos

# mt
# cd /mnt
# wget http://www.brazilfw.com.br/downloads/addons/mail.tgz]mail.tgz
# cd /
# umt
# reboot

Como utilizar?

Código: Selecionar todos

mail - opções to email@domain.com

Opções:
-s : assunto
-b : corpo do e-mail (envia o arquivo como o corpo da mensagem)
-a : arquivo1, arquivo2, ... (anexar arquivos)
-h : servidor SMTP
-f : emailDe@dominio.com (e-mail do remetente)
-n : nome (nome do remetente)
-u : ID do usuário (nome da conta do e-mail)
-p : senha (senha da conta do e-mail)
-l : (faz autenticação de login)
-d : (debug)

Você pode editar o arquivo /etc/mail.conf e definir as opções padrão que você queira utilizar.
Exemplo:

Código: Selecionar todos

echo Isto é um teste | mail to joao@dominio.com

*******************************************************************************************************************************
Add-Ons

O Que é um Addon ?

R.: Add-on, ou addon, é o nome que se dá a um recurso ou acessório que melhora ou aperfeiçoa a coisa à qual ele é acrescentado em utensílios eletrônicos.
Tipicamente um add-on para o BrazilFW é composto por um ou mais arquivos com a extensão .tgz, alguns deles exigem quem você troque o kernel mas a maioria não requer nenhuma ação especial alem de copiá-lo para o HD.

Vamos citar os Add-Ons mais usados no BrazilFW:

=== Servidor Proxy (Squid)

O Squid é um Servidor Proxy. Com ele podemos bloquear conteúdos indesejados ou inaquados no ambiente de internet. Muitas vezes faz-se necessário controlar o conteúdo em locais de rede onde circulam crianças, como escolas, etc, ou mesmo em hambiente corporativo. Desta forma, o squid é uma das melhores opções para controle de conteúdo; além de podermos trabalhar com cacheamento de arquivos, no qual o mesmo agiliza a demanda de requisições, proporcionando maior velocidade e economia de banda.

Tela de Configuração e Controle do "Squid" (Servidor Proxy)


Tela de Configuração do Sarg - Gerador de Relatório


Tela de Configuração do EasyCaptive


Tela para Configuração e Controle de IP Dinâmico.


*******************************************************************************************************************************

Fontes:

Firewall: http://pt.wikipedia.org/wiki/Firewall
Roteador: http://pt.wikipedia.org/wiki/Roteador
Servidor Proxy: http://pt.wikipedia.org/wiki/Proxy
Simulador de Roteador IP: http://www.coinfo.cefetpb.edu.br/profes ... teador.htm
Tutoriais em Português Antigos: viewforum.php?f=81