Introdução ao m0n0wall

esta documentação foi escrita em janeiro de 2004 para fornecer alguma documentação preliminar para o projeto de firewall m0n0wall. Foi substituído pela documentação oficial do projeto. Dez anos depois, o próprio m0n0wall foi substituído por outro software de firewall, notavelmente opnSense e pfSense. Esta página permanece disponível apenas para fins históricos. (Ele ainda fica hits…)

m0n0wall

Introdução

O m0n0wall projeto é um Open Source baseado no FreeBSD firewall projetado para o uso no mínimo de hardware de um computador, incluindo dispositivos incorporados, tais como o Soekris net4501 e net4801 plataformas de hardware, enquanto continua a fornecer todos os recursos essenciais do comercial appliances de firewall. Praticamente toda a configuração e administração é feita usando uma interface baseada na web que torna a configuração de um firewall robusto extremamente fácil.

a interface da web, embora simples, assume um certo entendimento mínimo da administração da rede em geral e do m0n0wall especificamente. Este guia foi escrito para explicar as etapas iniciais necessárias para obter um sistema m0n0wall configurado para fornecer os dois serviços — configuração DHCP para clientes e compartilhamento de conexão baseado em NAT-que são mais úteis para uma rede doméstica típica.

este guia não tenta fornecer informações detalhadas sobre a configuração de um firewall. Recomendamos dois livros para aprender sobre firewalls em profundidade:

Firewalls e segurança na Internet: repelindo o hacker astuto
construindo Firewalls da Internet

importante: você é responsável pela sua própria segurança de rede. Nós absolutamente não assumimos nenhuma responsabilidade pela segurança da sua rede, se você seguir as instruções aqui ou não.

princípios gerais de Firewall e dispositivos NAT

fundamentalmente, um sistema baseado em m0n0wall é usado para conectar duas (ou mais) redes separadas, permitindo que dispositivos como computadores e servidores em ambas as redes façam conexões permitidas entre si. Um dispositivo baseado em m0n0wall pode adicionar conexões e recursos a uma rede, como permitir que muitos sistemas compartilhem um único endereço IP público. Ele também pode restringir conexões a sistemas sob seu controle, agindo como um guardião para impedir o acesso não autorizado de sistemas internos por pessoas de fora.

para os fins deste guia, simplificaremos as possibilidades e discutiremos apenas uma das situações mais comuns em que o m0n0wall é usado com frequência, conectando uma rede doméstica ou de pequeno escritório à internet por meio de uma conexão de banda larga (dial-up não é discutido aqui):

diagrama básico da rede doméstica
Figura 1: uma rede doméstica simples.

na Figura 1, o m0n0wall está sendo usado para conectar uma pequena rede doméstica, a LAN, à internet, que é a maior WAN de todas.

]

Antes de começar

Antes de começar a fazer alterações em sua rede existente, é uma ideia muito, muito boa documentar sua configuração atual e funcional. Se o seu sistema operacional permitir que você faça um backup de sua configuração de rede, faça isso agora.

documentar uma configuração de trabalho é o momento perfeito para reunir algumas informações importantes. Ter alguns detalhes específicos sobre sua rede escritos em um só lugar fará com que a configuração e a ativação do m0n0wall sejam muito mais rápidas, além de possibilitar recuar se as coisas derem errado.

o local ideal para coletar essas informações é o kit que seu ISP Enviou quando você se inscreveu para sua conexão de rede. A maior parte das pessoas e perder essas informações, mas, felizmente, você pode obter a mais do mesmo, basta abrir o utilitário de configuração de rede para um computador cliente que actualmente tem acesso à internet:

Mac OS X Configurações de Rede
Figura 2a: a Coleta de configurações de rede do cliente de utilitários de rede.
configurações de rede do Windows 2000
figura 2b: coletando configurações de rede de utilitários de rede cliente.

as informações que você deseja coletar São:

Item Campo de Cliente Exemplo
o endereço IP da WAN para m0n0wall dispositivo Endereço de IP (Mac)
endereço de IP (Win2K)
66.123.45.3
Máscara de Sub-rede Máscara de Sub-rede 255.255.255.248
WAN do Gateway Router (Mac)
Gateway Padrão (Win2K)
66.123.45.1
Servidores de DNS Servidores de DNS (Mac)
Preferencial / servidor de DNS Alternativo
66.123.45.2
66.123.45.9

se o seu ISP lhe deu mais de um endereço IP para sua rede, você precisará escolher um para dar ao m0n0wall. Por uma questão de simplicidade, recomendamos que você escolha o endereço IP mais baixo ou mais alto alocado para um sistema cliente (não um servidor). Todos os seus sistemas de desktop receberão novos endereços IP “internos”, fornecidos automaticamente pelo m0n0wall, então, na verdade, escolha o endereço que desejar.

Visão Geral da configuração do m0n0wall

a configuração de um novo dispositivo m0n0wall consiste nas sete etapas a seguir:

  1. configuração de Hardware, incluindo conexões do cabo de rede
  2. Inicializar e configurar mínimo m0n0wall parâmetros através do m0n0wall interface do console
  3. Configurar um cliente de sistema para a nova rede, e ligar para o m0n0wall aparelho através da interface web
  4. Alterar a senha do admin
  5. Configurar as definições gerais do m0n0wall
  6. Configurar a interface LAN
  7. Configurar a interface WAN

Para a maior parte, você simplesmente precisa ficha de informações básicas coletadas anteriormente para os lugares certos, no m0n0wall. Nenhuma dessas etapas é complicada e, para muitas redes, você pode aceitar os padrões, ou seja, tudo que você precisa fazer é verificar a etapa.

Configuração de Hardware

Se você planeja executar o m0n0wall no maravilhoso incorporado ao estilo de hardware a partir de Soekris (o net4501 ou net4801 série de dispositivos), o processo de configuração de hardware não poderia ser mais simples. Isso ocorre porque todas as interfaces de rede são integradas e o m0n0wall sabe sobre elas por padrão.

se você planeja executar o m0n0wall em um PC padrão, você precisa ter certeza de que existem placas de interface de rede suficientes (ou interfaces integradas), para que você possa conectar os cabos necessários ao sistema.

Em qualquer caso, você deseja conectar sua rede local (provavelmente através de um cabo Ethernet conectado a um hub ou um switch) para a primeira interface de rede (Net0) e WAN (provavelmente um cabo Ethernet conectado ao seu modem DSL ou a cabo ou router) para a segunda interface de rede (Net1):

m0n0wall Dispositivo de Conexões
Figura 3: Conectando seu dispositivo m0n0wall entre sua rede doméstica e seu equipamento ISP de internet.

em dispositivos Soekris, as interfaces Net0 e Net1 são conectores RJ-45 para Etherent de 100 Mbps e são rotulados Net0 e Net1. Se você estiver configurando seu próprio PC com várias interfaces de rede, terá que decidir qual interface é qual (e é uma boa ideia rotulá-las com um desses fabricantes de etiquetas, para que você se lembre mais tarde!).

Nota: caso não seja óbvio, seus computadores desktop em sua rede doméstica devem ser conectados usando o restante dos conectores em seu hub ou switch LAN Ethernet.

a primeira inicialização

depois de conectar seu sistema m0n0wall à sua rede, é hora de ligá-lo. Você definitivamente vai querer ver o registro e as mensagens que são impressas no console pelo m0n0wall enquanto ele é inicializado. Os sistemas Soekris se conectam via cabo serial a um terminal ou à porta serial em um PC. Um PC normal pode se conectar a um monitor padrão.

Como m0n0wall é iniciado, você vai ver um monte de mensagens de voar passado; a maior parte do tempo você pode ignorar esses, e apenas esperar para o m0n0wall menu do console de outras mensagens podem ser úteis quando a solução de problemas de hardware):

m0n0wall Menu do Console
Figura 4: O m0n0wall menu do console depois de iniciar com êxito pela primeira vez.

a Figura 4 mostra o console m0n0wall após a inicialização com a configuração padrão de fábrica. Configurações importantes são exibidas, por exemplo, o endereço IP da LAN e a atribuição atual de interfaces de rede. Este console é onde você deve editar algumas configurações iniciais, a menos que seu hardware funcione corretamente com os padrões m0n0wall (apenas os dispositivos Soekris provavelmente o farão).

você também pode usar o console para redefinir o m0n0wall, caso faça alterações por meio do webGUI que impossibilitem a conexão com o m0n0wall pela rede. Por último, você pode reiniciar o m0n0wall, se tiver feito alterações nas configurações que exigem reinicialização.

Configurações Do Console

Nota: Se você estiver executando o m0n0wall em um dispositivo incorporado soekris net45xx ou net48xx, poderá pular esta seção, pois as configurações padrão do m0n0wall devem funcionar bem.

o console m0n0wall permite que você diga ao m0n0wall o básico de como se conectar à sua rede. Você deve informar o m0n0wall sobre sua rede antes de poder usar a interface de configuração da web, chamada webGUI, porque o webGUI depende do acesso à rede. Em outras palavras, você não pode se conectar ao m0n0wall pela rede até que tenha informado sobre sua rede.

as informações críticas estão atribuindo funções às diferentes interfaces de rede. Você precisa informar ao m0n0wall qual interface de rede está conectada à sua rede interna (LAN) e qual está conectada à internet (WAN). Esta é a configuração da porta exibido no meio do console, e você fizer alterações para a configuração escolhendo a primeira opção no menu console, “Interfaces: atribuir portas de rede”:

Atribuir Interfaces de Rede
Figura 5: Atribuição de portas de rede usando o m0n0wall console.

quando você escolhe a opção 1, Você obtém pela primeira vez uma lista das interfaces de rede que m0n0wall encontrou quando inicializou o hardware no qual está sendo executado. Estas são as interfaces de rede que conhece, e estas são as únicas interfaces que você pode atribuir às portas m0n0wall. (Algo interessante a ser observado na Figura 5 é que o padrão de fábrica atribui a porta WAN à interface sis1, mas quando as interfaces válidas são listadas, não há interface sis1 na lista!)

em cada prompt, insira o nome da interface a ser atribuída à porta solicitada. Você só insere o nome abreviado da interface, por exemplo, de0, sis0, etc. (a longa sequência de Números e letras é o endereço MAC Ethernet e está listada apenas para fins informativos).

Nota: os nomes da interface de rede-sis0, de1, etc. – são derivados do nome do “driver” para o hardware da interface. É improvável que suas interfaces de rede tenham esses nomes nelas. Você pode ter que fazer algumas suposições educadas sobre qual interface é qual. Basta conectar seus cabos Ethernet e, se você não conseguir se conectar ao webGUI na próxima seção, tente trocar os cabos.

para o benefício dos proprietários de dispositivos Soekris, as interfaces de rede são rotuladas, mas não com os nomes dos dispositivos. Aqui está um mapeamento rápido dos rótulos no caso para os nomes de dispositivos que o m0n0wall vê:

  • Net0 —> sis0 (deve ser conectado à LAN)
  • Net1 —> sis1 (deve ser conectado à rede de longa distância)
  • Net2 —> sis2 (pode ser ligada a DMZ, não abordados neste manual)

A outra configuração que você pode querer mudar é o endereço IP da LAN. Este é o endereço IP do sistema m0n0wall como aparece na sua rede interna. A configuração padrão é usar um endereço IP especial para uso apenas em redes privadas. Se você está planejando usar o NAT para permitir que vários sistemas internos compartilhem um único endereço IP “público”, o endereço IP LAN padrão m0n0wall deve funcionar bem para sua configuração.

este guia pressupõe que você use a configuração padrão em sua rede. Redes e configurações mais complicadas não são discutidas neste guia; no entanto, há uma riqueza de informações sobre este tópico disponíveis na internet.

depois de atribuir interfaces de rede às portas, você precisará reiniciar o m0n0wall. Se o m0n0wall não oferecer para fazer isso por você, basta escolher a opção 5, “Reiniciar sistema” no menu do console. Assim que o m0n0wall terminar de reiniciar, é hora de reconfigurar pelo menos um computador cliente na LAN para saber sobre o m0n0wall e, em seguida, passar para a interface de configuração da web, webGUI.

configuração do cliente

uma vez que o m0n0wall esteja configurado para sua rede e tenha reiniciado para ativar essa configuração, você desejará que os sistemas em sua rede interna (LAN) se conectem à internet através do m0n0wall. Para a maioria das situações, isso não poderia ser mais simples. m0n0wall pode enviar configurações de rede para todos os clientes em sua rede, automaticamente, quando seus sistemas clientes inicializar. Tudo que você precisa fazer é configurar os sistemas cliente para obter suas configurações de rede via DHCP:

configuração de rede do Mac OS X
figura 6a: configurando sistemas cliente para receber configurações de rede do m0n0wall. Exemplo do Mac OS X 10.3.
configuração de rede do Windows 2000
figura 6b: configurando sistemas cliente para receber configurações de rede do m0n0wall. Exemplo do Windows 2000.

m0n0wall é muito flexível sobre como trabalhar com clientes LAN. Existem outras possibilidades de configuração, incluindo endereços IP estáticos configurados no lado do cliente, DHCP atribuindo endereços IP fixos aos clientes com base em seu endereço MAC Ethernet e outros. Muitas vezes, há boas razões para querer essas configurações, mas para a maioria das redes domésticas é um exagero. Este guia não aborda essas configurações mais complexas.

apresentando o aplicativo de configuração da Web(webGUI)

o aplicativo de configuração da web m0n0wall, webGUI, é onde a maioria das alterações de configuração são feitas no m0n0wall. As interfaces da web permitem uma experiência de usuário muito mais agradável do que tentar configurar a partir do console todos os diferentes recursos integrados ao m0n0wall. webGUI é fácil de usar e agradável de olhar, fornecendo uma alta qualidade, interface de aparência profissional para m0n0wall.

para se conectar ao m0n0wall webGUI, digite no campo de localização do seu navegador o endereço IP da LAN listado no console m0n0wall. Por padrão, isso seria http://192.168.1.1/. Você será solicitado para um login e uma senha. O login é ” admin “e a senha padrão é”mono”. (Isso será alterado na próxima etapa!)

depois de inserir as informações de autenticação, se você configurou corretamente sua rede física, as configurações do console m0n0wall e as configurações de rede do seu cliente, você deve receber a tela inicial m0n0wall webGUI:

m0n0wall WEB UI
Figura 7: o aplicativo de configuração baseado na web m0n0wall, ou “webGUI”.

Parabéns! Você fez 80% do trabalho para configurar o m0n0wall para servir e proteger sua rede! Quase todo o trabalho duro está atrás de você.

Configuração Geral

uma vez conectado à interface de configuração webGUI, é possível concluir a configuração do m0n0wall para sua rede. O primeiro passo é Alterar a senha administrativa padrão, o que é feito no painel Sistema / Configuração Geral:

m0n0wall Configuração Geral
Figura 8: Configurações Gerais para m0n0wall.

Digite a nova senha de administrador nos campos de senha no meio do painel de Configuração Geral e clique no botão Salvar na parte inferior. Não se preocupe com as outras configurações ainda, basta alterar a senha. (Esquecer de alterar senhas padrão é a falha de segurança Número um na infraestrutura de rede.) m0n0wall deve relatar que salvou com sucesso as alterações.

depois de alterar a senha do administrador, o restante das opções no painel de configuração geral pode ser revisado e atualizado. O importante configurações de introduzir, estão:

  • Domínio, se você tiver um
  • servidores de DNS (seu próprio, ou aqueles fornecidos pelo seu ISP)
  • fuso Horário (escolha uma cidade em seu fuso horário, a menos que você tiver sorte, a sua cidade não esteja na lista)

Se você nunca vai ser administrar m0n0wall remotamente a partir de uma rede pública, você também deve alterar a webGUI do protocolo HTTPS. Se você fizer isso, lembre — se de que o URL para acessar o webGUI mudará para https://192.168.1.1/ (se você estiver usando o endereço padrão) – observe que o URL agora começa com https, não http.

além disso, ao acessar o novo URL, seu navegador pode fornecer um alerta sobre não ser capaz de verificar a autenticidade do site. Você pode eliminar esta mensagem fornecendo ao servidor um certificado SSL, na seção webGUI SSL certificate/key Do Painel Diagnostics / Advanced settings. Isso está além do escopo deste guia. ]

as outras configurações aqui podem ser úteis para modificar, mas não vamos lidar com elas neste guia.

Configurando a interface LAN

para configurar ou revisar as configurações da interface LAN, vá para o painel Interfaces / LAN:

configuração da Interface LAN m0n0wall
Figura 9: Configurando a interface LAN.

as configurações aqui permitem que você configure o intervalo de endereços IP que podem ser usados em sua rede interna. Se você tiver uma rede relativamente pequena (menos de 200 sistemas) e planeja usar o NAT para conectá-los à internet, não há um bom motivo para fazer alterações nas configurações padrão do m0n0wall para a interface LAN.

se sua rede interna for grande e, portanto, você precisar de um intervalo maior de endereços IP, poderá fazer essa alteração aqui. Digite o endereço IP para m0n0wall em sua rede interna e, em seguida, usando o menu pop-up netmask estilo CIDR, diga o tamanho da rede. Se sua rede é maior do que 200 Sistemas, você pode muito bem ir tudo para fora aqui, e digite 10.0.0.1 / 8, para alocar uma gama muito grande de endereços IP para sua rede interna.

embora o número de campos de Configurações neste painel seja pequeno, o leque de possibilidades e os motivos para fazer alterações a partir dos padrões são bastante grandes. Se suas necessidades não forem atendidas pelos padrões aqui, você provavelmente precisará de uma referência de rede muito maior do que este guia. ]

Configurando a interface WAN

a etapa final para configurar o m0n0wall pela primeira vez é configurar a interface WAN. Isso é feito usando o painel de Configurações Interfaces / WAN:

configuração da Interface WAN m0n0wall
Figura 10: Configurando a interface WAN para DHCP.

as configurações aqui informam ao m0n0wall como se conectar à rede externa, geralmente a conexão do seu ISP à internet. Há uma variedade de maneiras pelas quais as redes externas permitem conexões, e é por isso que esse painel de Configurações parece tão complicado. Não se preocupe, você não precisa preencher tudo!

primeiro, você precisa dizer m0n0wall que tipo de conexão fazer. Existem quatro tipos possíveis diferentes de interface WAN, e estes são definidos através do menu pop-up Tipo. Qual tipo você escolhe dependerá do tipo de rede à qual você está se conectando. As três primeiras opções (DHCP, Static e PPPoE) são usadas com mais frequência para se conectar à internet por meio de um ISP. A última opção (PPTP) é comumente usada para se conectar a redes privadas, ou seja, conectar um escritório via satélite à rede corporativa principal. O PPTP não será discutido aqui.

para cada tipo de conexão, há uma seção mais abaixo no painel, que permite inserir os detalhes da conexão. Você só precisa preencher os detalhes do tipo de conexão que escolheu. Todas as outras informações podem e devem ser deixadas em branco. Isso significa que o painel de Configurações da interface WAN é muito mais simples do que parece.

DHCP WAN Interface

da mesma forma que m0n0wall pode usar DHCP para distribuir configurações de rede para seus sistemas clientes, seu ISP pode usar DHCP para fornecer configurações de rede para m0n0wall para usar por si mesmo. Se a rede do seu ISP fornecer DHCP, esta é de longe a maneira mais fácil de configurar. Na verdade, como essa é a configuração padrão, sua conexão de rede pode já estar funcionando! (Vá em frente e teste, conforme descrito em Testar a conexão de Rede abaixo.)

a única configuração que você pode precisar fornecer para uma conexão DHCP é o nome do host, na seção Configuração do cliente DHCP do painel. Seu ISP terá que lhe dizer o que, se alguma coisa, colocar neste campo. Mas se sua conexão já estiver funcionando, você pode deixá-la em branco.

depois de inserir as informações apropriadas na seção interface DHCP WAN, clique no botão Salvar na parte inferior do painel.

interface WAN estática

se você recebeu um endereço IP fixo do seu ISP (em oposição a um endereço IP dinâmico, que muda regularmente), então você vai querer configurar uma interface WAN estática. Normalmente, esse é o caso se você tiver um contrato de serviço de “conexão de classe executiva” com seu ISP, que, entre outras coisas, permite que você execute seus próprios servidores sem violar os Termos de serviço do seu ISP. Mas há uma variedade de razões pelas quais você pode ter um endereço IP fixo ou estático dado a você pelo seu ISP. Em qualquer caso, se eles lhe deram um endereço IP e uma máscara de rede para usar em suas configurações de rede, este é o caminho a percorrer.

configurar uma interface WAN estática não é muito mais difícil do que uma interface WAN DHCP, depois de reunir as informações necessárias, conforme descrito no início deste documento. Você terá os seguintes detalhes:

  • m0n0wall endereço IP
  • gateway de Rede o endereço IP
  • Rede > netmask

Introduza o m0n0wall endereço IP no campo endereço IP e o gateway de rede endereço IP para o Gateway do campo.

a máscara de rede é um pouco complicada. A maioria dos ISPs e sistemas operacionais de desktop exibe a máscara de rede como uma série de quatro números separados por períodos (muito semelhantes a um endereço IP), por exemplo, 255.255.255.248. m0n0wall usa a notação de estilo CIDR, que é uma barra (“/”) e um número entre 1 e 31. Você o insere através do menu pop-up após o campo de endereço IP.

explicar as diferenças ou a fórmula de conversão é mais complicado do que vale a pena. Aqui está uma tabela de tradução que você pode usar para converter dos netmasks de estilo tradicional mais prováveis para netmasks de estilo CIDR:

Traditional Netmask CIDR Netmask
255.255.255.254 31
255.255.255.252 30
255.255.255.248 29
255.255.255.240 28
255.255.255.224 27
255.255.255.0 24
255.255.0.0 16

depois de inserir as informações apropriadas na seção interface WAN estática, clique no botão Salvar na parte inferior do painel.

PPPoE WAN Interface

PPP era a maneira padrão de se conectar à internet através de uma conexão dial-up usando um modem regular e linha telefônica. PPPoE é uma maneira de fazer PPP sobre Ethernet, em vez de uma linha telefônica.

embora isso pareça complicado, a boa notícia é que o PPPoE é o segundo tipo de Interface WAN mais fácil de configurar, depois do DHCP. Você só precisa conectar seu nome de usuário e senha PPPoE na seção de configuração PPPoE do painel de Configurações da interface WAN.

você também pode precisar do nome do serviço nesta mesma seção, mas como a interface m0n0wall sugere, você provavelmente pode ignorá-lo. Tente se conectar com ele em branco e, se não funcionar, procure isso nas informações enviadas a você pelo seu ISP, etc.

depois de inserir as informações apropriadas na seção de interface PPPoE WAN, clique no botão Salvar na parte inferior do painel.

testando a conexão de rede

depois de inserir as configurações necessárias conforme descrito acima, você está pronto para testar sua conexão de rede. A maneira mais simples de fazer isso é visitar um site público usando o mesmo navegador da web que você acabou de usar para configurar o m0n0wall. Tente yahoo.com, google.com, ou itunes.com para começar. Se algum dos sites carregar, sua configuração m0n0wall provavelmente está funcionando bem. Meus parabéns!

você pode querer testar outros tipos de conexões de rede além das conexões da web, porque alguns protocolos de rede se comportam de maneira diferente do protocolo HTTP subjacente à web.

um exemplo que merece verificação é o FTP, que definitivamente precisa ser configurado corretamente para funcionar por trás do m0n0wall. Por padrão, o m0n0wall suporta apenas FTP “passivo” e o FTP “ativo” provavelmente falhará. (A diferença entre FTP ativo e passivo é complicada.) Você pode precisar fazer alterações de configuração em seu sistema ou ferramentas de transferência de arquivos:

 modo passivo do Mac OS X
figura 11a: exemplos de configuração de sistemas e aplicativos clientes para usar FTP passivo (“PASV”).
Configure o aplicativo para o Modo Passivo
figura 11b: exemplos de configuração de sistemas e aplicativos clientes para usar FTP passivo (“PASV”).
modo passivo do Windows 2000
figura 11c: exemplos de configuração de sistemas e aplicativos clientes para usar FTP passivo (“PASV”).

outros aplicativos que você pode querer testar neste momento incluem streaming media players. Vá para o QuickTime.com e assistir a alguns trailers de filmes. Ir para NPR.org e ouvir algumas notícias, ou o último episódio de ar fresco. Use o iTunes para ouvir algumas amostras de música da iTunes Music Store.

testar o Firewall

testar eficaz e completamente um firewall é um tópico muito além do escopo deste guia. No entanto, você pode usar o ShieldsUP da Gibson Research Corporation! serviço para testar rapidamente seu novo gateway m0n0wall. Embora não substitua uma avaliação profissional da segurança da sua rede, é uma ótima maneira de identificar alguns dos orifícios mais fáceis de conectar que você pode ter esquecido.

resolução de problemas

]

Leave a Reply