Arquivo de 16/12/2010

Construindo um firewall Linux com suporte a IPv6

Publicado: 16/12/2010 em Sem categoria
0

Este guia, escrito por Humberto Galiza, tem como objetivo construir um simples firewall com suporte nativo a IPv6. Para tal, serão utilizados o Debian GNU/Linux como sistema operacional e o IP6tables com filtro de pacotes. Este artigo foi extraído do sítio http://www.pop-ba.rnp.br onde sua versão original e demais informações sobre seus direitos autorais podem ser obtidas.

  • Introdução
  • Requisitos
  • Configuração
  • Conclusão
  • Referências

Introdução

É muito importante a utilização de firewalls quando em se tratando de IPv6, especialmente se tivermos em uma rede local (LAN) com endereços IPv6 válidos. Isto se deve ao fato de, ao contrário do IPv4, onde os hosts da nossa rede interna estavam protegidos através da utilização de endereços IP privados (RFC 1918), no IPv6 geralmente os endereços válidos são utilizados e qualquer um que tenha conectividade IPv6 pode alcançar todos os hosts da nossa rede interna que tenham IPv6 habilitado.

No Linux, o suporte nativo a firewalls IPv6 vem desde o kernel 2.4.+. Em versões anteriores, somente podemos efetuar filtros do tipo IPv6-in-IPv4 pelo protocolo 41. Desde o Kernel 2.6.20, a conectividade IPv6 está totalmente funciona (sem problemas com os NATs IPv4 como em versões anteriores).

Mais informações podem ser encontradas:
- Netfilter project
- Maillist archive of netfilter users
- Maillist archive of netfilter developers
- Unofficial status informations

Requisitos

Uma vez que estamos utilizando Debian GNU/Linux com referência, basta fazer:

# aptitude install iptables

para instalar o filtro de pacotes IP6tables.

Caso esteja utilizando outra distro, poderá usar o gerenciador de pacotes da mesma, ou então compilar a partir do código fonte, que pode ser baixado em Netfilter project

Agora, depois de instalado o pacote, iremos carregar o módulo do IP6tables:

# modprobe ip6_tables

Verifique a carga do módulo:

# lsmod | grep ip6_tables
ip6_tables             14340  3 ip6table_mangle,ip6t_LOG,ip6table_filter

Feito isso, vamos testar nossa instalação. Abra um terminal do linux e digite:

# ip6tables -L

Configuração

O uso de Ip6tables é semelhante ao do Iptables (para IPv4). Seguem abaixo alguns exemplos de utilização:

  • Inserindo um regra de LOG no canal de entrada (INPUT):
# ip6tables --table filter --append INPUT  -j LOG --log-prefix "INPUT:"  --log-level 7
  • Inserindo um regra de DROP no canal de entrada (INPUT):
# ip6tables --table filter --append INPUT  -j DROP
  • Permitindo entrada de Ping6 (ping para IPv6):
# ip6tables -A INPUT -i eth0 -p icmpv6 -j ACCEPT
  • Permitindo saída de Ping6 (ping para IPv6):
# ip6tables -A OUTPUT -o eth0 -p icmpv6 -j ACCEPT
  • Nos kernels mais novos, há a possibilidade de especificarmos o tipo do código ICMP6 que queremos liberar. O exemplo abaixo libera apenas a resposta a ping6:
# ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT

Para saber mais sobre os tipos de códigos ICMP6, veja [3].

Agora, construiremos um firewall básico utilizando IP6tables:

#!/bin/bash
IPT6="/sbin/ip6tables"
PUBIF="eth1"
echo "Iniciando o firewall com suporte a IPv6..."
$IPT6 -F
$IPT6 -X
$IPT6 -t mangle -F
$IPT6 -t mangle -X

#acesso ilimitado a loopback
$IPT6 -A INPUT -i lo -j ACCEPT
$IPT6 -A OUTPUT -o lo -j ACCEPT

# Politica padrao e DROP
$IPT6 -P INPUT DROP
$IPT6 -P OUTPUT DROP
$IPT6 -P FORWARD DROP
# Permite todas as conexoes estabilizadas da rede interna para a Internet,
# mas nao o contrario.
$IPT6 -A OUTPUT -o $PUBIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT6 -A INPUT -i $PUBIF -m state --state ESTABLISHED,RELATED -j ACCEPT

# Liberando ping
$IPT6 -A INPUT -i $PUBIF -p ipv6-icmp -j ACCEPT
$IPT6 -A OUTPUT -o $PUBIF -p ipv6-icmp -j ACCEPT

############# Regras personalizadas - adicione abaixo ############
### abrir porta 80 para IPv6
#$IPT6 -A INPUT -i $PUBIF -p tcp --destination-port 80 -j ACCEPT
### abrir porta 22 para IPv6
#$IPT6 -A INPUT -i $PUBIF -p tcp --destination-port 22 -j ACCEPT
### abrir porta 25 para IPv6
#$IPT6 -A INPUT -i $PUBIF -p tcp --destination-port 25 -j ACCEPT
############ End custome rules ################

# logar todos os outros pacotes que nao satisfacam as regras acima
$IPT6 -A INPUT -i $PUBIF -j LOG
$IPT6 -A INPUT -i $PUBIF -j DROP

Conclusão

É importante salientar que o IPv6 não inclui em sua implementação características de redes privadas IPv4, como por exemplo o NAT (Network Address Translation), pois o IPv6 em sua essência dá direito a um número muito grande de endereços possíveis. Entretanto cabe comentar que o prefixo FC00::/7 é utilizado para identificar endereços locais de unicast IPv6.

Certamente, a maior inovação trazida pelo IPv6 é a possibilidade de cada usuário ter seu próprio endereço IP sem barreiras artificiais até a Internet, tal como ocorria com o NAT, melhorando principalmente os aspectos de mobilidade e segurança.

Referências

[1] – http://ipv6.pop-ba.rnp.br/
[2] – http://www.tldp.org/HOWTO/Linux+IPv6-HOWTO/
[3] – http://tools.ietf.org/rfc/rfc2463.txt
[4] – http://www.cyberciti.biz/faq/ip6tables-ipv6-firewall-for-linux/

Escrito por Humberto Galiza

Fonte: http://www.ipv6.br/IPV6/ArtigoConstruindoFirewallLinuxSuporteIPv6

Oracle Libera Open Office 3.3

Publicado: 16/12/2010 em Sem categoria
0

Oracle lançou a versão 3.3 do Oracle Open Office e anunciou uma suíte escritório (mobile and Web) chamada Oracle Cloud Office. Discutindo o anúncio,o VP da Oracle Office Bemmer Michael disse que Oracle Cloud Office e Oracle Open Office 3.3 são suítes completas, abertas e de baixo custo de produtividade para escritório, projetadas e otimizadas para atender todas às necessidades dos clientes, acrescentando que, “Os clientes têm agora a flexibilidade necessária para suportar os usuários em uma ampla variedade de dispositivos e plataformas, seja via desktop, private ou nuvem pública.

Oracle diz que a combinação do Open Office e Cloud é líder da indústria, sendo a mais completa e aberta suíte de escritório standard-based (baseada em padrões) para desktop, Web e usuários móveis. A suíte de escritório da Oracle inclui suporte para o Open Document Format (ODF), bem como os padrões web abertos e os formatos do Office da Microsoft, enquanto Cloud Office 1.0 permite aos usuários acessar os documentos, planilhas e apresentações via Web.

A nova versão do Open Office apresenta a adição de novos conectores empresariais E-Business Suite, Oracle Business Intelligence e Microsoft SharePoint, e diversas melhorias referentes à estabilidade, compatibilidade, estabilidade e desempenho. Oracle Open Office está disponível nas edições Standard e Enterprise, a partir de £ 33 e £ 6 respectivamente. No momento desta postagem, o site do OpenOffice.org ainda mostrava o sétimo Release Candidate como a mais recente versão do ramo 3.3.0, e as notas de lançamento ainda não haviam sido publicadas. OpenOffice.org está disponível sob a versão 3 da GNU Lesser General Public License (LGPLv3).

Saiba Mais:

[1] Cloud Office: http://blogs.oracle.com/trond/2010/1…nd_oracle.html

Fonte: Under Linux