configurar as regras manualmente s necessrio se voc realmente gosta da linha de comando.

. Uma opo mais simples de usar e ao mesmo tempo

bastante poderosa o Firestarter, disponvel via apt:
$ sudo apt-get install firestarter
oc pode e!ecut"lo usando o comando #sudo firestarter# ou usando o cone no #$plica%es & 'erramentas de (istema & 'irestarter#. )le precisa ser
sempre e!ecutado atravs do sudo, pois precisa de permiss%es de root para modificar as regras do *ptables e criar o servio de sistema onde salva sua
configurao.
$o abrir o 'irestarter pela primeira ve+, aberto um assistente ,ue pede algumas informa%es bsicas sobre a configurao da rede e oferece op%es
para compartilhar a cone!o e ativar o fire-all sob demanda, ao conectar usando uma cone!o ./ 0ou discada1 ou via $2(3 444o).
4or padro, uma ve+ aberto, o 'irestarter blo,ueia todas as portas e loga todas as tentativas de cone!o, uma configurao bastante segura.
(empre ,ue algum tenta abrir alguma cone!o, se5a a partir de outro micro da rede local ou via *nternet, o cone ao lado do relgio fica vermelho.
6licando sobre ele, a *nterface do 'irestarter aberta, mostrando detalhes sobre a tentativa de acesso. 2igo tentativa, pois por padro o 'irestarter vai
blo,uear a cone!o, fa+endo com ,ue a outra pessoa d com a cara na porta. )ntretanto, clicando sobre a entrada, voc tem a opo de autori+ar
futuros acessos:
Usando a opo #4ermitir servio de entrada para a origem# fa+ com ,ue da em diante o endereo possa acessar a porta 0o ((7 no e!emplo1, sem
disparar novamente o alarme. 6omo a regra fica vinculada ao *4, esta opo 8til apenas para micros dentro da rede local ,ue este5am configurados
para usar *4 fi!o.
$ opo #4ermitir cone!%es a partir da origem# fa+ com ,ue o endereo em ,uesto possa acessar ,ual,uer servio disponvel na sua m,uina, em
,ual,uer porta, sem disparar o alarme, uma opo interessante para micros da rede local. 'inalmente, a opo #4ermitir servio de entrada para todos#
abre a porta do ((7 para todo mundo, incluindo hosts da *nternet.
)sta nature+a #interativa# 5ustamente o grande diferencial do 'irestarter, ,ue fa+ com ,ue ele se5a atualmente a melhor opo de fire-all para
des9tops em geral. :odas as regras adicionadas entram em vigor imediatamente e ficam acessveis para modificao ou consulta na aba #4oltica#.
Uma ve+ ativado o fire-all, as regras ficam ativas, mesmo ,ue voc feche a interface principal, mas voc perde a possibilidade de monitorar as
tentativas de acesso e aceitar cone!%es. ; 'irestarter fica residente na forma do servio de sistema #firestarter#.
4ara desabilitar o 'ire-all, no basta fechar a 5anela, nem mesmo o cone ao lado do relgio. 'a+endo isso voc fecha a interface, mas o servio
continua ativo, com as regras ativas. 4ara desabilitar o 'ire-all voc precisa realmente clicar no #4arar 'ire-all# dentro da 5anela principal.
;utra opo de configurador grfico o Gufw 0http:<<guf-.tu!famil=.org<pt<1, um fire-all voltado para a facilidade de uso, baseado no U'> 0o
#Uncomplicated 'ire-all#, ,ue pode ser usado via linha de comando1. 4or oferecer menos op%es, ele acaba sendo mais ade,uado ,ue o 'irestarter para
uso por parte de pessoas no"tcnicas, como em casos em ,ue voc instala o Ubuntu em 46s de familiares e amigos. )le tambm pode ser instalado
usando o apt:
$ sudo apt-get install gufw
Uma ve+ instalado o pacote, ser criado um atalho para ele no #(istema & $dministrao & 6onfigurao de 'ire-all#. $ssim como no caso do
'irestarter, a interface usada apenas para alterar a configurao do fire-all. Uma ve+ ativado, ele continua ativo mesmo ,ue a interface se5a fechada.
; primeiro passo marcar o #'ire-all habilitado#, o ,ue ativa o /uf- em modo restritivo, blo,ueando todo o trfego de entrada, mas permitindo o
trfego de sada? a clssica receita para fire-alls destinados a micros des9top. $ ideia 5ustamente oferecer um bom nvel de segurana por padro, a
partir da ,ual voc possa criar e!ce%es usando as op%es da interface.
$ aba #(imples# permite especificar diretamente portas de entrada ,ue devem ser liberadas. oc pode tanto especificar as portas pelos n8meros, como
em #@@# ou #ABBC#, ,uanto pelo protocolo, como em #ssh# ou #ftp#. Usando o terceiro campo, voc pode especificar se deve ser aberta a porta :64, U24
ou ambas:
$ maioria dos protocolos utili+a portas :64, mas e!istem casos como o do (*4, ,ue usa a porta DEAE U24 para receber chamadas. Fo caso dele, por
e!emplo, no adiantaria abrir apenas a porta DEAE :64, 5 ,ue no ela a usada.
$ aba #4r"configurado# inclui algumas regras pontas para autori+ar ou blo,uear protocolos ou aplicativos especficos. Fo Ubuntu B.GE o con5unto de
regras disponveis bastante incompleto, por isso a utilidade ,uestionvel, mas ela deve melhorar nas vers%es seguintes.
6oncluindo, a aba #$vanado# permite definir regras com um pouco mais de liberdade, especificando endereos de origem e fai!as de portas. )la um
pouco contra"intuitiva, o ,ue gera confuso.
; campo #2e# permite especificar o endereo de origem das cone!%es, o ,ue permite ,ue voc abra portas apenas para endereos especficos. (e um
amigo precisa se conectar H sua m,uina via ((7, por e!emplo, voc pode criar uma regra especfica para ele, especificando o endereo no campo #2e#
e a porta @@ :64 no segundo campo do #4ara#:
; primeiro campo do #4ara# permite especificar o endereo da sua m,uina onde o pacote ser aceito. )la usada apenas em casos em ,ue o 46 possui
duas ou mais interfaces de rede, como no clssico caso em ,ue voc usa uma placa para a rede local e outra para a *nternet. 2ei!ando o campo em
branco, voc permite cone!%es em ,ual,uer uma das interfaces, mas ao especificar seu endereo de rede local, a regra passa a permitir apenas
cone!%es a partir de outros 46s da rede, descartando as cone!%es vindas da *nternet.
)!istem dois campos para especificar a porta, pois o segundo usado ,uando voc precisa especificar um intervalo de portas. Um caso clssico o
bittorrent, ,ue utili+a as portas da ABBG H ABBC. Usando os dois campos, voc pode abrir todo o intervalo de uma ve+, sem precisar criar uma regra
para cada porta:
6oncluindo, nos menus de op%es voc encontra op%es para salvar as regras em um ar,uivo de te!to 08til caso precise usar a mesma configurao em
vrias m,uinas1 e tambm para e!ibir o cone ao lado do relgio.