Utilizando FILTCFG para configuração de filtros

Essas seções mostram como usar o FILTCFG no servidor Novell BorderManager 3.7:

• Configurar exceções de filtros de pacotes externos
• Configurando exceções de filtros de pacotes internos
• Definindo tipos de pacotes determinados personalizados
• Gravando filtros em um arquivo de texto
• Habilitando registro global de pacotes IP
• Completando a configuração avançada, a configuração e o gerenciamento de tarefas

Configurar exceções de filtros de pacotes externos

Como os filtros padrão não permitem automaticamente que determinados tipos de pacotes atravessem o firewall, talvez também seja necessário habilitar exceções de filtros para habilitar outros serviços.

Os tipos de pacotes definidos pelo sistema permitem que você configure as exceções de filtro de pacote determinado para os seguintes serviços:

• DNS por UDP
• DNS por TCP
• FTP
• Ping
• POP3
• SMTP (Simple Mail Transfer Protocol)
• Telnet
• HTTP
• HTTPS

Com a filtragem determinada de pacotes, você só precisa definir as exceções que permitem que tipos de tráfego externo específicos seguindo para destinos específicos sejam encaminhados pelo servidor Novell BorderManager 3.7. A filtragem determinada de pacotes monitora cada conexão e cria uma exceção de filtro temporário (com tempo limitado) para a conexão interna. Isso permite que você bloqueie o tráfego que chega de um endereço e número de porta específico e, ao mesmo tempo, permite o tráfego de retorno do mesmo endereço e número de porta.

Os filtros de pacotes determinados acompanham os pacotes de saída, cuja passagem foi autorizada, e permitem apenas o retorno dos pacotes de resposta correspondentes. Quando o primeiro pacote é transmitido para a rede pública (Internet), um filtro invertido é criado de forma dinâmica. Para ser considerado uma resposta, o pacote que chega precisa partir do mesmo host e da mesma porta a que o pacote externo foi enviado originalmente.

Para configurar exceções de encaminhamento de pacotes determinados para encaminhar o tráfego externo que passa pelo servidor Novell BorderManager 3.7:

1. No prompt do console do servidor, digite:

   LOAD FILTCFG

2. No menu Opções disponíveis de configuração de filtros, selecione Configurar opções de interface > pressione Enter.

3. Na lista, selecione uma interface e pressione Tab para alternar entre Pública e Privada.

   Qualquer interface da lista pode ser designada como pública (externa) ou privada (interna).

4. Pressione Esc > selecione Configurar filtros TCP/IP > Filtros de encaminhamento de pacotes.

   A tela apresentada precisa ser semelhante à seguinte:

   Figura 5
   Janela Filtros de encaminhamento de pacotes
   

5. Faça o seguinte:

   • Se o status for Desabilitado, pressione Enter > selecione Habilitado > pressione Enter novamente. Todos os filtros TCP/IP configurados são ativados imediatamente.
   • Se a ação for Permitir pacotes na lista de filtros > pressione Enter > selecione Negar pacotes na lista de filtros > pressione Enter novamente. Os pacotes que corresponderem aos tipos indicados na lista de filtros não serão encaminhados pelo servidor Novell BorderManager 3.7.

6. Selecione Filtros e pressione Enter para exibir a lista de filtros.

   Uma configuração de filtro padrão durante a instalação bloqueia todos os pacotes IP que chegam da interface pública.

7. Pressione Esc.

8. Selecione Exceções > pressione Enter para exibir a lista de exceções.

   Uma exceção de filtro padrão configurada durante a instalação permite que todos os pacotes IP externos sejam roteados pela interface pública.

   Outras exceções de filtro permitem a passagem dos seguintes tipos de pacotes internos pela interface pública:

   • Autenticação SSL (Secure Sockets Layer) --- porta TCP 443.
   • TCP Dinâmico --- portas TCP de 1024 a 65535.
   • UDP Dinâmico --- portas UDP de 1024 a 65535.
   • Master/Slave da VPN (IPX/TCP) --- porta TCP 213.
   • Autenticação do Cliente VPN --- porta TCP 353.
   • Atividade da VPN --- porta UDP 353.
   • SKIP (Simple Key Management for Internet Protocol) da VPN
     Protocolo 57.
   • Cache proxy da Web (WWW-HTTP) --- porta TCP 80.

   NOTA:  Embora as exceções de filtros padrão permitam o encaminhamento de alguns pacotes relativos à VPN, as exceções da VPN padrão não permitem o roteamento de pacotes criptografados de um membro da VPN para outro. Os filtros para os túneis da VPN precisam ser atualizados sempre que você configurar um servidor VPN. Para obter mais informações, consulte o Completando a configuração avançada, a configuração e o gerenciamento de tarefas e a Virtual Private Network Overview and Planning.

9. Pressione Ins para definir uma nova exceção de filtro de encaminhamento de pacotes externos.

   É apresentada a tela Definir Exceção, que se assemelha à seguinte:

   Figura 6
   Tela Definir Exceção
   

10. Selecione Tipo de Interface de Origem > pressione Enter.

11. Selecione Interface ou Grupo da Interface > pressione Enter.

12. Selecione Interface de Origem > pressione Enter.

13. Selecione o grupo da interface ou a interface privada do servidor Novell BorderManager 3.7 > pressione Enter.

14. Se você selecionou uma interface WAN, selecione Circuito de Origem e pressione Enter para definir as seguintes informações de circuito que se aplicam à interface:

    • Nº do DLCI do frame relay local (para frame relay) --- O número do circuito DLCI (Data Link Connection Identifier) usado para chamadas.
    • ID do Sistema Remoto (para PPP, X.25 ou ATM) --- O nome do servidor de sistema remoto ou peer remoto associado a esse circuito.
    • Tipo do Parâmetro de Circuito (para X.25 ou ATM) --- O tipo de circuito virtual usado para estabelecer uma conexão.
    • Endereço DTE Remoto (para X.25) --- O endereço do DTE (Data Terminal Equipment) X.121 atribuído ao DTE remoto específico.
    • Endereço ATM remoto (para ATM) --- O endereço designado para o ATM (Asynchronous Transfer Mode) remoto específico.

15. Selecione Tipo de Interface de Destino > pressione Enter.

16. Selecione Interface ou Grupo da Interface > pressione Enter.

17. Selecione Interface de Destino > pressione Enter.

18. Selecione o grupo da interface ou a interface pública do servidor Novell BorderManager 3.7 > pressione Enter.

19. Se você selecionou uma interface WAN, selecione Circuito de Destino > pressione Enter para definir as seguintes informações de circuito que se aplicam à interface:

    • Local Frame Relay DLCI # (Frame Relay Local DLCI #) (para frame relay) --- O número do circuito DLCI usado para chamadas.
    • ID do Sistema Remoto (para PPP, X.25 ou ATM) --- O nome do servidor de sistema remoto ou peer remoto associado a esse circuito.
    • Tipo do Parâmetro de Circuito (para X.25 ou ATM) --- O tipo de circuito virtual usado para estabelecer uma conexão.
    • Endereço DTE Remoto (para X.25) --- O endereço do DTE X.121 atribuído ao DTE remoto específico.
    • Endereço ATM Remoto (para ATM) --- O endereço atribuído ao ATM remoto específico.

20. Selecione Tipo do Pacote > pressione Enter.

    É apresentada a janela Tipos de Pacote TCP/IP Definidos. Selecione qualquer um dos seguintes filtros determinados de encaminhamento de pacotes predefinidos.

    Nome	Tipo do Pacote	Tipo de Transporte	Porta de destino	Filtragem Determinada
    dns/tcp-st	DNS	TCP	53	Habilitada
    dns/udp-st	DNS	UDP	53	Habilitada
    ftp-pasv-st	FTP	TCP	21	FTP_PASV
    ftp-port-st	FTP	TCP	21	FTP_PORT
    ftp-port-pasv-st	FTP	TCP	21	Habilitada
    ping-st	PING	ICMP	N/D	Habilitada
    pop3-st	Correio POP3	TCP	110	Desabilitado
    smtp-st	SMTP	TCP	25	Habilitada
    telnet-st	Telnet	TCP	23	Habilitada
    www-http-st	HTTP	TCP	80	Habilitada
    www-https-st	HTTPS	TCP	443	Habilitada

21. Em Tipo de end. de origem, selecione Qualquer endereço, Host ou Rede.

    Você precisa selecionar Qualquer endereço, a menos que queira que a exceção seja válida somente para uma rede ou um host específico na rede privada.

22. Se você selecionou Host ou Rede, selecione Endereço IP de Origem > digite o endereço da rede ou do host.

23. Em Tipo de end. de destino, selecione Qualquer endereço, Host ou Rede.

    Você precisa selecionar Qualquer endereço, a menos que queira que a exceção seja válida somente para pacotes endereçados a uma rede ou host específico fora da rede privada.

24. Se você selecionou Host ou Rede, selecione Endereço IP de Destino > digite o endereço da rede ou do host.

25. (Opcional) Em Registro, pressione Enter e mude o status de Desabilitado para Habilitado.

26. (Opcional) Digite um comentário no campo Comentário descrevendo o objetivo do filtro. Pressione Esc > selecione Sim para gravar o filtro. Pressione Esc até ser solicitado a sair do FILTCFG.

IMPORTANTE:  Se você habilitou o registro de uma exceção de filtro, deverá habilitar também o registro global para TCP/IP. O registro global e o registro para a exceção de filtro específica precisam estar habilitados para que o registro ocorra.

Configurando exceções de filtros de pacotes internos

Se você optou por proteger a interface pública do servidor Novell BorderManager 3.7 e suportar clientes SOCKS ou Novell IP Gateway, talvez seja necessário habilitar as exceções de filtros de pacotes internos para permitir que eles se conectem pela interface pública. Os clientes Novell IP Gateway se conectam através das portas TCP 8224 e 8225 e os clientes SOCKS se conectam através da porta TCP 1080.

Para configurar exceções de encaminhamento de pacotes para encaminhar o tráfego interno do Novell IP Gateway e SOCKS pela interface pública do servidor Novell BorderManager 3.7:

1. No prompt do console do servidor, digite:

   LOAD FILTCFG

2. Selecione Configurar filtros TCP/IP > Filtros de encaminhamento de pacotes.

3. Selecione Exceções > pressione Enter para exibir a lista de exceções.

4. Pressione Ins para definir uma nova exceção de filtro de encaminhamento de pacotes internos.

5. Configure a exceção para os clientes Novell IP Gateway da seguinte forma:

   1. Selecione Tipo de interface de origem e pressione Enter.

   2. Selecione Interface ou Grupo da Interface e pressione Enter.

   3. Selecione Interface de Origem e pressione Enter.

   4. Selecione o grupo da interface ou a interface pública do servidor Novell BorderManager 3.7 e pressione Enter.

   5. Selecione Tipo do Pacote > pressione Enter.

   6. Pressione Insert para definir um novo tipo de pacote TCP/IP.

   7. Selecione Nome e digite um nome para o tipo de pacote.

   8. Selecione Protocolo e pressione Insert.

   9. Selecione TCP na lista de protocolos da Internet geralmente usados.

   10. Aceitar <Todas> para Porta(s) de origem.

   11. Selecione Porta(s) de destino e digite 8224-8225.

   12. Selecione Comentário e digite uma descrição do tipo de pacote, como cliente Novell IP Gateway ou SOCKS.

   13. Pressione Esc para adicionar o tipo de pacote ao início da lista de pacotes.

   14. Selecione o tipo de pacote que você adicionou.

   15. Selecione Tipo de end. de destino e mude a configuração de Qualquer endereço para Host.

   16. Selecione Endereço IP de Destino e digite o endereço IP designado para a interface pública do Novell BorderManager 3.7.

   17. (Opcional) Selecione Comentário e digite uma descrição do filtro.

   18. Pressione Esc para adicionar a exceção.

6. Configure a exceção para os clientes SOCKS.

7. Pressione Esc até ser solicitado a sair do FILTCFG.

Definindo tipos de pacotes determinados personalizados

O firewall do Novell BorderManager 3.7 tem muitos tipos de pacotes estáticos definidos além dos tipos de pacotes determinados listados em Configurar exceções de filtros de pacotes externos . Tipos de pacotes estáticos são aqueles sem -st em seus nomes. Um tipo de pacote estático é usado para definir um filtro que opera no tráfego somente em uma direção. Por exemplo, em vez de criar um filtro de pacote determinado em uma direção e depender do sistema para habilitar o filtro com limite de tempo na direção inversa, você pode criar dois filtros de pacotes estáticos, um para os pacotes de cada uma das direções. No entanto, os filtros de pacotes determinados fornecem mais segurança que os filtros de pacotes estáticos.

Se os tipos de pacotes determinados já definidos pelo servidor Novell BorderManager 3.7 não contêm um tipo de pacote que você deseja filtrar e você não tem certeza se deseja usar os filtros de pacotes estáticos, crie um tipo de pacote determinado personalizado.

Para definir um tipo de pacote determinado personalizado, execute os seguintes passos:

1. Na janela Tipos de pacotes TCP/IP definidos, pressione Insert.

2. Digite o nome do novo tipo de pacote no campo Nome.

3. Para o campo Protocolo, pressione Insert e selecione IP, ICMP, IGMP, TCP ou UDP.

4. Se você selecionou TCP ou UDP, digite o número da porta de origem e destino ou a faixa de números de portas.

5. Não mude a configuração padrão de Desabilitar para filtragem de bits ACK.

   Como a filtragem de bits ACK ocorre automaticamente quando a filtragem determinada de pacotes é habilitada, você não precisa habilitar a filtragem de bits ACK separadamente. O software não permitirá que você ative a filtragem de bits ACK e a filtragem determinada de pacotes para o mesmo filtro.

6. Ative a filtragem determinada selecionando um dos seguintes modos de filtragem determinada:

   • Habilitada
   • Habilitado somente para FTP ativo (PORT)
   • Habilitado somente para FTP passivo (PASV)

   NOTA:  Os dois últimos modos de filtragem determinada se aplicam somente a tipos de pacotes FTP (porta 21). Se você deseja a filtragem determinada para FTP ativo e FTP passivo, selecione Habilitado.

7. (Opcional) Digite um comentário para descrever o tipo de pacote.

   A definição do tipo de pacote TCP/IP será semelhante a esta.

   Figura 7
   Definir tipo de pacote TCP/IP
   

8. Pressione Esc para adicionar o pacote à lista Tipos de pacotes TCP/IP definidos.

   Após adicionar o tipo de pacote à lista, você pode configurar um filtro de pacote determinado usando essa definição de tipo de pacote.