Configurando um firewall básico no Ubuntu

Configurando um firewall básico no Ubuntu

Já ensinei anteriormente como instalar o antivírus ClamAV no Ubuntu e falei que segurança nunca é demais. Pode parecer loucura instalar um antivírus e um firewall no Linux, levando em consideração a segurança elevada que temos no sistema operacional, mas não é.

Se há a menor chance de seus dados pessoais e dados de cartão de crédito caírem nas mãos de terceiros, você não acha que vale a pena gastar alguns minutos do seu dia para se proteger? Todo software, por melhor e mais seguro que seja, está sujeito a bugs e vulnerabilidades. Recentemente tivemos falhas de segurança no kernel Linux (quem assina a security newsletter do Ubuntu sabe do que estou falando) e no sudo, o que prova o que estou falando: Nenhum software é perfeito, todos estão sujeitos a bugs e vulnerabilidades.

Felizmente para nós, o Linux é um dos sistemas operacionais mais seguros atualmente, e falhas no mesmo são raras e geralmente só atacam servidores e o mundo mobile. Notícias de malwares atacando desktops são quase nulas na internet, mas como disse anteriormente, não existem software perfeito.

Para complementar a dica que dei a uns dias atrás sobre o ClamAV, hoje vamos configurar um firewall básico no Ubuntu. Nada muito incrível, apenas o básico para começarmos. Vamos lá?

O que é um firewall?

Antes de começarmos a configurar um firewall, é importante saber o que é esta importante camada de segurança. Afinal, o que é um firewall?

Em tradução livre, firewall significa “parede de fogo”. Usando um conjunto de regras definidas pelo usuário, ele controla o tráfego de uma rede, interceptando e impedindo a difusão de conexões não autorizadas ou nocivas a ela.

Se você, por exemplo, bloquear o acesso a porta 80 na sua rede usando o firewall e alguém tentar obter acesso a sua rede utilizando esta porta, a conexão será bloqueada e a pessoa não conseguirá ter acesso.

Configurando um firewall básico no Ubuntu

Ilustração de como funciona um firewall

O Ubuntu já vem com um firewall padrão

O Ubuntu já vem com um firewall instalado por padrão, porém, desativado. O software firewall padrão do Ubuntu desde a versão 8.04 é o UFW, que diferente do iptables, tem uma linguagem mais humana.

Apesar de ter uma versão gráfica, iremos tratar da configuração usando o terminal. Um post sobre a versão gráfica virá em algum momento, mas não esperem o mesmo em breve.

Quando disse que o UFW possui uma linguagem mais humana, quis dizer que, diferente do iptables, você pode ler e entender as regras utilizando o inglês facilmente.

Por exemplo, se quisesse permitir o acesso a porta 80, usaria a seguinte regra:

sudo ufw allow 80

Veja que, em inglês, lemos isso normalmente. Utilizando-se do português e um pouco de criatividade, podemos ler esta regra como “Por favor UFW, libere o acesso a porta 80“. Sempre utilizando o por favor, claro, já que Exterminador do Futuro nos ensinou que devemos tratar as máquinas com educação agora, para não sermos dominados no futuro.

Como disse anteriormente, o UFW vem desativado por padrão. Para ativa-lo e deixa-lo sempre ativado, basta digitar o comando abaixo no terminal:

sudo ufw enable
Configurando um firewall básico no Ubuntu

Ativando o UFW no Ubuntu (clique na imagem para ampliar)

Se por algum motivo você quiser desativa-lo, basta substituir o enable do comando acima por disable.

Por padrão o UFW vem com todas as portas liberadas, então tenha certeza de bloquear o que não for necessário utilizando a síntese abaixo:

sudo ufw deny 80

Obviamente, troque a porta 80 pela porta que quiser bloquear.

Você também pode bloquear a porta X para algum IP específico, utilizando a síntese abaixo:

sudo ufw deny X from y.y.y.y

Novamente, troque os X pela porta em questão e os Y pelos números do IP em questão.

Para maiores informações sobre o UFW e seus comandos, leia a página oficial no Wiki Ubuntu.

Considerações finais

O UFW com certeza transforma a configuração de um firewall em algo mais humano, diferente do iptable, mas o software é recomendado apenas para desktops. Em servidores o bom e velho iptable deve ser mantido, tendo em vista que o UFW é uma ferramenta mais voltada ao usuário final.

Para quem quiser testar interfaces gráficas e não quiser esperar até o post sobre as mesmas, o Gufw é o software que você procura. Ele está disponível nos repositórios padrões do Ubuntu, bastando clicar no ícone abaixo para fazer a instalação.

Instalar aplicativo via Central de Programas do Ubuntu

E você, considera importante o uso de um firewall em desktops Linux ou acha que sou apenas um lunático paranoico? Gostou do UFW? Prefere usar iptables ou UFW no seu desktop? Deixe seu comentário abaixo, adoro ler comentários :)

E não esqueça de seguir o blog Ubuntu-BR-SC no Twittercurtir nossa página no Facebook e assinar nosso Feed RSS para estar sempre por dentro das novidades do blog!

Assine nossa newsletter!

Quer receber as novidades mais recentes do Ubuntu na sua caixa de entrada? Informe seu e-mail e clique em Assinar.

  • Assine o feed RSS
  • Siga o Ubuntu-BR-SC no Twitter
  • Curta o Ubuntu-BR-SC no Facebook
  • Ubuntu-BR-SC no Google+
  • Canal do Ubuntu-BR-SC no YouTube


  • Joao Silva

    Legal bem explicado, só uma dúvida.
    Quando ativamos o UFW seja pelo terminal ou pelo Gufw(segundo o manual) ele bloqueia  todo o tráfego de entrada, e permite o tráfego de saída certo; só essa configuração padrão já barra ataques ou é necessário bloquear alguma porta ou serviço em específico?
    Obrigado.

    • http://www.ubuntubrsc.com/ Julian Fernandes

      É sempre bom bloquear portas que você não vai usar João :)

  • tsouzar

    O ufw apenas simplifica o iptables não? Meu iptables estava sem regra alguma, eu adicionei a regra “allow from 172.16.x.x” no ufw, e várias regras surgiram no iptables… Gosto de usar o ufw, mas não estou o usando com uma dúvida. O ufw consome RAM do pc, nem que seja pouca? E a inicialização, ele atrasa, nem que seja um pouco? Estou querendo economizar ao máximo o uso de ram, mas ao mesmo tempo evitar problemas de segurança aqui na rede (servidor ubuntu 10.10 32bits desktop edition e clientes windows), isso sem usar o terrível iptables.

    • http://www.ubuntubrsc.com/ Julian Fernandes

      Olá @facebook-100002493356671:disqus,
      Pra ser sincero, não creio que o UFW e o iptables andam juntos. Em vários locais que utilizei quando estava pesquisando dados para o post, a ideia era que ou você usa um, ou outro.

      Quanto ao consumo de memória RAM, é possível que use, mas será uma quantidade quase zero. Na inicialização, como faz tempo que não o uso, não sei lhe responder.

      Mas se estiver usando uma rede com computadores Windows, rodando o Ubuntu como servidor, recomendo o iptables. O UFW serve, basicamente, para desktops, para adicionar uma camada de segurança ao sistema.

      • tsouzar

        Hm, estranho, pelo que observei, o ufw apenas simplifica as regras do iptables, pois como eu disse, as regras que eu inseria usando ufw, surgiam no iptables. Sobre o uso do iptables na rede, não entendo nada alí, e nem tento aprender, regras que fazem pouquíssima coisa, possuem vários parâmetros, não me dou bem com isso, mas um dia vou ter que entender, pois pretendo trabalhar com redes :)

        • http://www.ubuntubrsc.com/ Julian Fernandes

          Olá @facebook-100002493356671:disqus,
          Vou dar uma conversado com algum administrador de redes Linux e ver isso bem certinho. Depois lhe retorno :)

          • tsouzar

             Ok, vou aguardar :)
            Ah, parabéns pelo site, gostei muito, layout limpo, de fácil navegação, conteúdo interessante… parabéns :D

          • http://www.ubuntubrsc.com/ Julian Fernandes

            Obrigado pelo elogio @facebook-100002493356671:disqus :)

  • Tiago Gabriel

    Uso o ufw desde o ubuntu 11.10 e também o ClamAV, sempre gostei de segurança.

  • http://www.facebook.com/abnergsc Abner Gonçalves

    um. muito bom seu blog. descobri ontem ja li uns 20 posts. mas queria saber se tam algum comando para listar as portas abertas?

    • http://www.facebook.com/profile.php?id=100002493356671 Tiago Souza Ribeiro

      Você pode instalar o nmap (apt-get install nmap). Para escanear portas abertas, digite: nmap -F IP_para_escanear

  • Abner Gonçalves

    um. muito bom seu blog. descobri ontem ja li uns 20 posts. mas queria saber se tam algum comando para listar as portas abertas?

    • tsouzar

      Você pode instalar o nmap (apt-get install nmap). Para escanear portas abertas, digite: nmap -F IP_para_escanear

  • Getulio Jales

    Muito boa a sua dica, mas como sou leigo e iniciante no ubuntu, como posso saber para que serve cada porta, para não bloquear uma que não me cause problema? vale citar que somente eu na empresa uso o ubuntu 10, e a internet fica o tempo todo disponível pelo velox

    • http://twitter.com/TsouzaR Tiago de Souza

      Acesse http://www.gwebtools.com.br/scanner-porta.
      Lá onde está escrito: Descubra o serviço, é só colocar o número da porta e clicar em Verificar que vai dizer qual o serviço padrão naquela porta.

    • Luciano Pinheiro

      As portas padrão de serviços no ficam em
      /etc/services

  • Getulio Jales

    Muito boa a sua dica, mas como sou leigo e iniciante no ubuntu, como posso saber para que serve cada porta, para não bloquear uma que não me cause problema? vale citar que somente eu na empresa uso o ubuntu 10, e a internet fica o tempo todo disponível pelo velox

    • http://twitter.com/TsouzaR Tiago de Souza

      Acesse http://www.gwebtools.com.br/scanner-porta.
      Lá onde está escrito: Descubra o serviço, é só colocar o número da porta e clicar em Verificar que vai dizer qual o serviço padrão naquela porta.

  • Duph

    Olá amigos verifiquei quais as portas abertas no meu pc depois de ter tentado ativar o UFW e ter recebido mensagem de erro. As portas abertas são: 53/tcp open domain
    80/tcp open http
    631/tcp open ipp
    3306/tcp open mysql
    Existe algum perigo? em qual porta e porque?
    O erro de ativação do ufw é:
    ERROR: Não foi possível carregar regras de registro
    como posso reparar?

    • Alexandre Magno

      Tente resetar as configurações: sudo ufw reset

  • Duph

    Olá amigos verifiquei quais as portas abertas no meu pc depois de ter tentado ativar o UFW e ter recebido mensagem de erro. As portas abertas são: 53/tcp open domain
    80/tcp open http
    631/tcp open ipp
    3306/tcp open mysql
    Existe algum perigo? em qual porta e porque?
    O erro de ativação do ufw é:
    ERROR: Não foi possível carregar regras de registro
    como posso reparar?

  • Rogério Schmitt

    Eu sou leigo, então, desde ja, desculpe minha ignorância.
    Gostaria de saber se com o ubuntu 11.10 pode-se ter duas placas de rede e gerenciar (apenas alguns bloqueios) 10 máquinas a partir disso… tal como o suse. Tem como fazer um firewall funcionar através do ubuntu?
    Obrigado.

    • Alexandre Magno

      Você precisa estudar o ufw ou o iptables. O ufw é mais fácil. Eu estou usando ele. Uso regras assim: ufw allow from 10.0.0.4 to eth0 app OpenSSH.

      Quando não existe a app, eu crio o arquivo em /etc/ufw/applications.d.

      Em Ubuntu 12.04.2 LTS, por padrão as portas vem fechadas para entradas e abertas para saída.

  • Rogério Schmitt

    Eu sou leigo, então, desde ja, desculpe minha ignorância.
    Gostaria de saber se com o ubuntu 11.10 pode-se ter duas placas de rede e gerenciar (apenas alguns bloqueios) 10 máquinas a partir disso… tal como o suse. Tem como fazer um firewall funcionar através do ubuntu?
    Obrigado.

    • Alexandre Magno

      Você repetiu o comentário. Por favor, não faça isso.

      Nota: eu não sou o autor do post, apenas alguém que viu a página desatualizada e quer colaborar neste instante com o ubuntu-br-sc.

  • Jeferson

    Antes ou depois de ativar o firewall, o “gwebtools” indica que todas minhas portas estão fechadas.
    O site parou de funcionar corretamente?

    • Alexandre Magno

      A máquina pode estar atrás de outro firewall. Do provedor, ou mesmo firewall de roteador ou modem ADSL pode estar fechando essas portas para a Internet.

  • julien nascimento

    Julian ! Muito legal teu post ! Gostaria de colaborar com uma informação. Na central de programas do Ubuntu tem um software chamado “Configuração do Firewall”, que ajuda a configurar visualmente o UFW. Você encontra-o no menu “Ferramentas de sistema->Administração->Configuração do Firewall”. Espero ter ajudado

    Julien

  • Alexandre Magno

    Sim, o ufw é interface para configuração do iptables. Mas não é o caso de você configurar iptables, se usa ufw; é o caso de ficar configurando apenas pelo ufw.

    O ufw existe, logo ele consome algum recurso da máquina. :)

    A documentação prática (tutoriais) para ufw ainda é escassa. Para iptables é menos difícil encontrar passo a passos. Mas isso não é motivo para dispensar o ufw. É fácil aprendê-lo no escuro, apenas lendo as documentações mais comumente encontradas.

    Acho que foi no Guia do Hardware, encontrei um material mais rico, em português, ensinando ufw.

  • Alexandre Magno

    O iptables permite configurações mais específicas, mas é preciso entender mais, se especializar.

    Aliás, alguém sabe dizer se o ufw pode bloquear por MAC?

  • Alexandre Magno

    Já tem o retorno? Eu também o quero.

  • Alexandre Magno

    O iptables permite um configuração mais precisa. Mas exige uma especialização maior. Tem muitas coisas, imagino, que ele faz e o ufw não faz. Não tenho conhecimento suficiente para afirmar.

  • Natan Oliveira

    muito obrigado pelo artigo . . . Realmente é um excelente trabalho. . .
    espero ver mais contribuições de vossa parte, e logo quando puder tbm pretendo contribuir com esta comunidade. :)

  • Joao Silva

    Legal bem explicado, só uma dúvida.
    Quando ativamos o UFW seja pelo terminal ou pelo Gufw(segundo o manual) ele bloqueia  todo o tráfego de entrada, e permite o tráfego de saída certo; só essa configuração padrão já barra ataques ou é necessário bloquear alguma porta ou serviço em específico?
    Obrigado.

  • Joao Silva

    Legal bem explicado, só uma dúvida.
    Quando ativamos o UFW seja pelo terminal ou pelo Gufw(segundo o manual) ele bloqueia  todo o tráfego de entrada, e permite o tráfego de saída certo; só essa configuração padrão já barra ataques ou é necessário bloquear alguma porta ou serviço em específico?
    Obrigado.

  • http://www.facebook.com/profile.php?id=100002493356671 Tiago Souza Ribeiro

    O ufw apenas simplifica o iptables não? Meu iptables estava sem regra alguma, eu adicionei a regra “allow from 172.16.x.x” no ufw, e várias regras surgiram no iptables… Gosto de usar o ufw, mas não estou o usando com uma dúvida. O ufw consome RAM do pc, nem que seja pouca? E a inicialização, ele atrasa, nem que seja um pouco? Estou querendo economizar ao máximo o uso de ram, mas ao mesmo tempo evitar problemas de segurança aqui na rede (servidor ubuntu 10.10 32bits desktop edition e clientes windows), isso sem usar o terrível iptables.

  • http://www.ubuntubrsc.com/ Julian Fernandes

    É sempre bom bloquear portas que você não vai usar João :)

  • http://www.ubuntubrsc.com/ Julian Fernandes

    É sempre bom bloquear portas que você não vai usar João :)

  • http://www.facebook.com/tiagopgabriel Tiago Gabriel

    Uso o ufw desde o ubuntu 11.10 e também o ClamAV, sempre gostei de segurança.

  • http://www.facebook.com/profile.php?id=100002493356671 Tiago Souza Ribeiro

    O ufw apenas simplifica o iptables não? Meu iptables estava sem regra alguma, eu adicionei a regra “allow from 172.16.x.x” no ufw, e várias regras surgiram no iptables… Gosto de usar o ufw, mas não estou o usando com uma dúvida. O ufw consome RAM do pc, nem que seja pouca? E a inicialização, ele atrasa, nem que seja um pouco? Estou querendo economizar ao máximo o uso de ram, mas ao mesmo tempo evitar problemas de segurança aqui na rede (servidor ubuntu 10.10 32bits desktop edition e clientes windows), isso sem usar o terrível iptables.

  • http://www.ubuntubrsc.com/ Julian Fernandes

    Olá @facebook-100002493356671:disqus,
    Pra ser sincero, não creio que o UFW e o iptables andam juntos. Em vários locais que utilizei quando estava pesquisando dados para o post, a ideia era que ou você usa um, ou outro.

    Quanto ao consumo de memória RAM, é possível que use, mas será uma quantidade quase zero. Na inicialização, como faz tempo que não o uso, não sei lhe responder.

    Mas se estiver usando uma rede com computadores Windows, rodando o Ubuntu como servidor, recomendo o iptables. O UFW serve, basicamente, para desktops, para adicionar uma camada de segurança ao sistema.

  • http://www.ubuntubrsc.com/ Julian Fernandes

    Olá @facebook-100002493356671:disqus,
    Pra ser sincero, não creio que o UFW e o iptables andam juntos. Em vários locais que utilizei quando estava pesquisando dados para o post, a ideia era que ou você usa um, ou outro.

    Quanto ao consumo de memória RAM, é possível que use, mas será uma quantidade quase zero. Na inicialização, como faz tempo que não o uso, não sei lhe responder.

    Mas se estiver usando uma rede com computadores Windows, rodando o Ubuntu como servidor, recomendo o iptables. O UFW serve, basicamente, para desktops, para adicionar uma camada de segurança ao sistema.

  • http://www.facebook.com/profile.php?id=100002493356671 Tiago Souza Ribeiro

    Hm, estranho, pelo que observei, o ufw apenas simplifica as regras do iptables, pois como eu disse, as regras que eu inseria usando ufw, surgiam no iptables. Sobre o uso do iptables na rede, não entendo nada alí, e nem tento aprender, regras que fazem pouquíssima coisa, possuem vários parâmetros, não me dou bem com isso, mas um dia vou ter que entender, pois pretendo trabalhar com redes :)

  • http://www.facebook.com/tiagopgabriel Tiago Gabriel

    Uso o ufw desde o ubuntu 11.10 e também o ClamAV, sempre gostei de segurança.

  • http://www.facebook.com/profile.php?id=100002493356671 Tiago Souza Ribeiro

    Hm, estranho, pelo que observei, o ufw apenas simplifica as regras do iptables, pois como eu disse, as regras que eu inseria usando ufw, surgiam no iptables. Sobre o uso do iptables na rede, não entendo nada alí, e nem tento aprender, regras que fazem pouquíssima coisa, possuem vários parâmetros, não me dou bem com isso, mas um dia vou ter que entender, pois pretendo trabalhar com redes :)

  • http://www.ubuntubrsc.com/ Julian Fernandes

    Olá @facebook-100002493356671:disqus,
    Vou dar uma conversado com algum administrador de redes Linux e ver isso bem certinho. Depois lhe retorno :)

  • http://www.ubuntubrsc.com/ Julian Fernandes

    Olá @facebook-100002493356671:disqus,
    Vou dar uma conversado com algum administrador de redes Linux e ver isso bem certinho. Depois lhe retorno :)

  • http://www.facebook.com/profile.php?id=100002493356671 Tiago Souza Ribeiro

     Ok, vou aguardar :)
    Ah, parabéns pelo site, gostei muito, layout limpo, de fácil navegação, conteúdo interessante… parabéns :D

  • http://www.facebook.com/profile.php?id=100002493356671 Tiago Souza Ribeiro

     Ok, vou aguardar :)
    Ah, parabéns pelo site, gostei muito, layout limpo, de fácil navegação, conteúdo interessante… parabéns :D

  • http://www.ubuntubrsc.com/ Julian Fernandes

    Obrigado pelo elogio @facebook-100002493356671:disqus :)

  • http://www.facebook.com/abnergsc Abner Gonçalves

    um. muito bom seu blog. descobri ontem ja li uns 20 posts. mas queria saber se tam algum comando para listar as portas abertas?

  • http://www.ubuntubrsc.com/ Julian Fernandes

    Obrigado pelo elogio @facebook-100002493356671:disqus :)

  • http://www.facebook.com/profile.php?id=100002493356671 Tiago Souza Ribeiro

    Você pode instalar o nmap (apt-get install nmap). Para escanear portas abertas, digite: nmap -F IP_para_escanear

  • Alexandre Magno

    Se você se interessa por segurança, pode procurar a respeito na documentação da distribuição Debian, em português. Achei ontem e me surpreendi.

  • Alexandre Magno

    Você respondeu “mesmo as portas de saída”? Existe um guia para não se gerar muitos contratempos com portas de saída bloqueadas?