Todo equipamento informático que está conectado na internet precisa se proteger das ameaças cibernéticas, e um elemento fundamental nessa proteção é o firewall, ferramenta encarregada de regular as conexões que entram e saem do equipamento, baseado em regras previamente definidas pelo usuário.
E não é porque o seu computador recebe o sistema operacional Linux que ele não precisa de um firewall. Tecnicamente, ele não aparece como uma solução única nesse sistema operacional, mas sim em vários programas que trabalham em diferentes camadas de proteção.
Nesse post, vamos mostrar como ele funciona, e quais são os programas que você precisa ter no seu computador Linux para que a sua proteção seja efetiva.
Nível 1: Netfilter
O Netflier é um framework integrado no kernel do Linux, o que permite realizar várias operações relacionadas com as redes. O usuário não interage diretamente com ele, que se limita a oferecer uma API que permite que outro software atue como intermediário de defesa.
Nível 2: Iptables / Nftables
O Iptables é uma ferramenta que chegou no Linux a partir da versão 2.4 do kernel, sendo este o substituto do ipchains. O software permite modificar os parâmetros de trabalho do Netfilters, estabelecendo para isso um conjunto de regras. Um exemplo de um comando que permite estabelecer tais regras está indicado abaixo:
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.167.1.1:80
O Iptables também está sendo substituído por um novo software, o Nftables (que também substitui ferramentas como ip6tables, arptables e ebtables), que é mais flexível e escalável, utilizando sintaxes mais compactas e intuitivas. É também mais funcional, mas permite estabelecer várias ações em uma mesma regra.
Um aplicativo chamado iptables-translate permite traduzir as antigas regras para o novo formato. O comando que você viu mais acima, traduzido, ficaria dessa forma:
nft add rule ip nat PREROUTING tcp dport 80 counter dnat to 192.167.1.1:80
Nível ‘2,5’: Front-ends no-gráficos
Com o tempo, apareceram outras ferramentas de uso opcional que superam o Nftables e o Iptables, facilitando as configurações do firewall no Linux. A seguir, mencionamos três exemplos bem populares:
UFW (Uncomplicated Firewall): uma ferramenta para usuários domésticos criada pela Canonical para o Ubuntu, que está presente como padrão da distribuição desde a versão 8.04.
APF (Advanced Policy Firewall): um software especificamente desenvolvido para proteger servidores.
Shorewall: um firewall avançado e polivalente, que pode ser gerenciado a partir do terminal do Linux.
Nível 3: Front-ends gráficos
Usuários vindos do Windows e do macOS vão preferir contar com ferramentas gráficas para configurar o firewall de um modo mais simples. Até mesmo os usuários Linux mais veteranos podem agradecer pela existência de um aplicativo de desktop para facilitar a tarefa. Esses aplicativos podem funcionar diretamente cobre o iptables/nftables ou com programas como UFW. A seguir, alguns exemplos.
GUFW: GUFW é a interface gráfica oficial do UFW. É centrado na usabilidade, e vem de série com várias regras pré-configuradas para aplicativos e serviços específicos que podem ser ajustados pelo usuário.
Douane: Douane conta com uma interface simples para os usuários que não querem se complicar na hora de realizar tais ajustes.
OpenSnitch: OpenSnitch é um aplicativo Linux criado a partir do código de um firewall nativo do macOS, o Little Snitch.