Firehol: iptables للبشر (القوس)

بادئ ذي بدء ، جميع الاعتمادات تذهب إلى تضمين التغريدة، لأن هذا المنشور يعتمد على البرنامج التعليمي قمت بنشره في المنتدى. الفرق هو أنني سأركز على قوس، على الرغم من أنه سيعمل على الأرجح مع توزيعات أخرى تعتمد على سيستم دي.

ما هو Firehol؟

فايرهول، هو تطبيق صغير يساعدنا على إدارة جدار الحماية المدمج في kernel وأداته يبتابليس. Firehol ، يفتقر إلى واجهة رسومية ، يجب إجراء جميع التهيئة من خلال ملفات نصية ، ولكن على الرغم من ذلك ، لا يزال التكوين بسيطًا للمستخدمين المبتدئين ، أو قويًا لمن يبحثون عن خيارات متقدمة. كل ما يفعله Firehol هو تبسيط إنشاء قواعد iptables قدر الإمكان وتمكين جدار حماية جيد لنظامنا.

التثبيت والتكوين

Firehol ليس في مستودعات Arch الرسمية ، لذلك سوف نشير إلى AUR.

yaourt -S firehol
ثم نذهب إلى ملف التكوين.

sudo nano /etc/firehol/firehol.conf

ونضيف القواعد هناك ، يمكنك استخدامها انت.

استمر في تنشيط Firehol لكل بدء تشغيل. بسيط جدًا مع systemd.

sudo systemctl enable firehol

بدأنا Firehol.

sudo systemctl start firehol

أخيرًا ، نتحقق من إنشاء قواعد iptables وتحميلها بشكل صحيح.

sudo iptables -L

تعطيل IPv6

كما لا يتعامل فايرهول ip6tables ونظرًا لأن معظم اتصالاتنا لا تدعم IPv6، توصيتي هي تعطيله.

En قوس نضيف ipv6.disable = 1 إلى خط kernel في الملف / etc / default / grub


...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...

الآن نقوم بتجديد ملف نكش. cfg:

sudo grub-mkconfig -o /boot/grub/grub.cfg

En ديبيان يكفي مع:

sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf


محتوى المقال يلتزم بمبادئنا أخلاقيات التحرير. للإبلاغ عن خطأ انقر فوق هنا.

26 تعليقات ، اترك لك

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني.

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.

  1.   Felipe قال

    أنا لا أفهم. هل تتبع البرنامج التعليمي ولديك بالفعل جدار الحماية قيد التشغيل وحظرت جميع الاتصالات؟ شيء آخر البرنامج التعليمي لـ Arch معقد ، على سبيل المثال لم أستخدم sudo أو yaourt Firewall مطلقًا. ومع ذلك فمن المفهوم. أو ربما يكتب شخص جديد يورت وسيحصل على خطأ. بالنسبة إلى Manjaro هو الأصح.

    1.    يوكيتيرو قال

      كما تقولfelipe ، باتباع البرنامج التعليمي ووضع ملف /etc/firehol/firehol.conf القواعد التي قدمهاcookie في اللصق ، سيكون لديك بالفعل جدار حماية بسيط لحماية النظام على المستوى الأساسي. يعمل هذا التكوين مع كل توزيعة حيث يمكنك وضع Firehol ، مع خصوصية كل توزيعة ، فإنه يتعامل مع خدماته بطرق مختلفة (دبيان من خلال sysvinit ، Arch مع systemd) وبالنسبة للتثبيت ، يعرف الجميع ما لديهم ، في Arch يجب عليك استخدم مستودعات AUR و yaourt ، في Debian ، تكفيك المستودعات الرسمية ، وهكذا في العديد من المستودعات الأخرى ، عليك فقط البحث قليلاً في المستودعات وتكييف أمر التثبيت.

  2.   ci قال

    شكرا لك ، لقد أخذت علما.

  3.   التكوين قال

    كل هذا جيد جدا .. ولكن أهم شيء مفقود؛ عليك أن تشرح كيف يتم إنشاء القواعد !! ، ما تعنيه ، وكيفية إنشاء قواعد جديدة ... إذا لم يتم توضيح ذلك ، فإن ما تضعه لا فائدة منه: - /

    1.    يوكيتيرو قال

      إنشاء قواعد جديدة أمر بسيط ، وثائق فايرهول واضحة ودقيقة للغاية من حيث إنشاء قواعد مخصصة ، لذا فإن القراءة قليلاً ستجعل من السهل عليك تخصيصها وتكييفها مع احتياجاتك.

      أعتقد أن السبب الأولي لنشرcookie مثل مشاركتي في المنتدى ، هو منح المستخدمين والقراء أداة تسمح لهم بمنح أجهزة الكمبيوتر الخاصة بهم مزيدًا من الأمان ، كل ذلك على المستوى الأساسي. يتم ترك الباقي جانباً لتتكيف مع احتياجاتك.

    2.    كوكي قال

      إذا قرأت الرابط إلى البرنامج التعليمي Yukiteru ، فسوف تدرك أن القصد هو نشر التطبيق وتكوين جدار الحماية الأساسي. أوضحت أن رسالتي كانت مجرد نسخة تركز على آرتش.

  4.   معاكوب قال

    وهل هذا "للبشر"؟ o_O
    جرب Gufw على Arch: https://aur.archlinux.org/packages/gufw/ >> انقر فوق الحالة. أو ufw إذا كنت تفضل terminal: sudo ufw enable

    أنت محمي بالفعل إذا كنت مستخدمًا عاديًا. هذا هو "للبشر" 🙂

    1.    إيلاف قال

      Firehol هو حقًا واجهة أمامية لـ IPTables وإذا قارناه بالأخير ، فهو إنسان تمامًا 😀

    2.    يوكيتيرو قال

      أنا أعتبر ufw (Gufw مجرد واجهة منه) كخيار سيء من حيث الأمان. السبب: لمزيد من قواعد الأمان التي كتبتها في ufw ، لم أستطع منع ذلك في اختبارات جدار الحماية الخاص بي عبر الويب وتلك التي أجريتها باستخدام nmap ، ستظهر خدمات مثل avahi-daemon و exim4 ، وكان الهجوم "المتخفي" كافياً لمعرفة أصغر خصائص نظامي ، والنواة والخدمات التي يديرها ، شيء لم يحدث لي باستخدام فايرهول أو جدار الحماية في أرنو.

      1.    جيسكارد قال

        حسنًا ، لا أعرف عنك ، لكن كما كتبت أعلاه ، أستخدم Xubuntu وجدار الحماية الخاص بي يتوافق مع GUFW واجتازت جميع اختبارات الارتباط التي وضعها المؤلف دون مشاكل. كل شيء خلسة. لا شيء مفتوح. لذلك ، في تجربتي ufw (وبالتالي gufw) أقوم بعمل رائع. لست منتقدًا لاستخدام أوضاع التحكم في جدار الحماية الأخرى ، لكن gufw يعمل بشكل لا تشوبه شائبة ويعطي نتائج أمان رائعة.

        إذا كانت لديك أي اختبارات تعتقد أنها قد تؤدي إلى ظهور نقاط ضعف في نظامي ، فأخبرني بها وسأجريها بكل سرور هنا وأعلمك بالنتائج.

        1.    يوكيتيرو قال

          أدناه أعلق على شيء ما حول موضوع ufw ، حيث أقول أن الخطأ الذي رأيته في عام 2008 ، باستخدام Ubuntu 8.04 Hardy Heron. ما الذي قاموا بتصحيحه بالفعل؟ الشيء الأكثر ترجيحًا هو أن هذا هو الحال ، لذلك لا يوجد سبب للقلق ، ولكن مع ذلك ، هذا لا يعني أن الخطأ كان موجودًا ويمكنني إظهاره ، على الرغم من أنه لم يكن موتًا سيئًا ، إلا أنني أوقفت الشياطين avahi-daemon و exim4 ، و تم حل المشكلة بالفعل. أغرب شيء على الإطلاق هو أن هاتين العمليتين فقط كانت بهما المشكلة.

          ذكرت الحقيقة على أنها حكاية شخصية ، وأعطيت نفس الرأي عندما قلت: «أنا أعتبر ...».

          تحياتي 🙂

    3.    جيسكارد قال

      +1

  5.   الضلعية قال

    Yukiteru: هل جربته من جهاز الكمبيوتر الخاص بك؟ إذا كنت تبحث من جهاز الكمبيوتر الخاص بك ، فمن الطبيعي أن تتمكن من الوصول إلى منفذ الخدمة X ، نظرًا لأن حركة المرور المحظورة هي حركة الشبكة ، وليس المضيف المحلي:
    http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
    https://answers.launchpad.net/gui-ufw/+question/194272

    إذا لم يكن كذلك ، الرجاء الإبلاغ عن خطأ 🙂
    تحياتي 🙂

    1.    يوكيتيرو قال

      من كمبيوتر آخر باستخدام شبكة LAN في حالة nmap ، وعبر الويب باستخدام هذه الصفحة https://www.grc.com/x/ne.dll?bh0bkyd2باستخدام خيار المنافذ المخصصة ، اتفق كلاهما على أن avahi و exim4 كانا يستمعان من الشبكة على الرغم من أن ufw قد تم تكوين الحظر الخاص بهما.

      لقد قمت بحل هذه التفاصيل الصغيرة من avahi-daemon و exim4 عن طريق تعطيل الخدمات ببساطة وهذا كل شيء ... لم أبلغ عن خطأ في ذلك الوقت ، ولا أعتقد أنه من المنطقي القيام بذلك الآن ، لأن ذلك كان في عام 2008 ، باستخدام هاردي.

      1.    جيسكارد قال

        كان عام 2008 قبل 5 سنوات ؛ من Hardy Heron إلى Raring Ringtail هناك 10 * buntus. نفس الاختبار على Xubuntu الخاص بي ، الذي تم إجراؤه بالأمس والمتكرر اليوم (أغسطس 2013) ، يعطي الكمال في كل شيء. وأنا فقط أستخدم UFW.

        أكرر: هل لديك أي اختبارات إضافية لتقوم بها؟ بكل سرور أفعل ذلك وأبلغ عن ما يخرج من هذا الجانب.

        1.    يوكيتيرو قال

          قم بإجراء فحص SYN و IDLE لجهاز الكمبيوتر الخاص بك باستخدام nmap ، والذي سيعطيك فكرة عن مدى أمان نظامك.

          1.    جيسكارد قال

            يمتلك الرجل nmap أكثر من 3000 سطر. إذا أعطيتني الأوامر للتنفيذ بكل سرور ، فسأفعل ذلك وسأبلغ عن النتيجة.

          2.    يوكيتيرو قال

            حسنًا ، لم أكن أعرف عن 3000 صفحة رجل لـ nmap. لكن zenmap يساعد في القيام بما أخبرك به ، فهو واجهة أمامية رسومية لـ nmap ، ولكن لا يزال خيار فحص SYN باستخدام nmap هو -sS ، بينما خيار الفحص الخامل هو -sI ، ولكن الأمر الدقيق سأكون.

            قم بإجراء المسح من جهاز آخر يشير إلى عنوان IP الخاص بجهازك باستخدام ubuntu ، ولا تقم بذلك من جهاز الكمبيوتر الخاص بك ، لأن هذا لا يعمل.

          3.    يوكيتيرو قال

            هههه!! خطأي حوالي 3000 صفحة عندما كانت سطور

  6.   Jeus Israel Perales Martinez قال

    لا أعلم لكني أعتقد أن واجهة المستخدم الرسومية لذلك في جنو / لينكس لإدارة جدار الحماية ستكون حكيمة إلى حد ما ولا تترك كل شيء مكشوفًا كما في أوبونتو أو كل شيء مغطى كما في فيدورا ، يجب أن تكون xD جيدًا ، أو شيء ما لتهيئة البدائل القاتلة اللعينة xD hjahjahjaja لديها القليل الذي أقاتل معهم ومع فتح jdk ولكن في النهاية عليك أيضًا الحفاظ على مبدأ القبلة

  7.   موريشيوس قال

    بفضل كل العقبات التي حدثت في الماضي مع iptables ، يمكنني اليوم أن أفهم niverl raw ، أي التحدث إليه مباشرةً لأنه يأتي من المصنع.

    وهو ليس شيئًا معقدًا ، من السهل جدًا تعلمه.

    إذا سمح لي مؤلف المنشور ، فسأنشر مقتطفًا من البرنامج النصي لجدار الحماية الذي أستخدمه حاليًا.

    ## قواعد التنظيف
    يبتابليس-F
    يبتابليس-X
    iptables -Z
    iptables - نات - F.

    ## تعيين السياسة الافتراضية: DROP
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP

    # تعمل على المضيف المحلي دون قيود
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A الإخراج -o lo -j ACCEPT

    # اسمح للجهاز بالذهاب إلى الويب
    iptables -A INPUT -p tcp -m tcp –sport 80 -m conntrack –ctstate ذات الصلة ، مؤسس -j ACCEPT
    iptables -A OUTPUT -p tcp -m tcp –dport 80 -j ACCEPT قبول

    # بالفعل أيضا لتأمين المواقع
    iptables -A INPUT -p tcp -m tcp –sport 443 -m conntrack –ctstate ذات الصلة ، مؤسس -j ACCEPT
    iptables -A OUTPUT -p tcp -m tcp –dport 443 -j ACCEPT قبول

    # اسمح لـ ping من الداخل إلى الخارج
    iptables -A OUTPUT -p icmp –icmp-type echo-request -j قبول
    iptables -A INPUT -p icmp –icmp-type echo-response -j قبول

    # حماية SSH

    #iptables -I INPUT -p tcp –dport 22 -m conntrack –ctstate NEW -m limit –limit 30 / minutes -limit-burst 5 -m comment –comment "SSH-kick" -j ACCEPT
    #iptables -A INPUT -p tcp -m tcp –dport 22 -j LOG –log-prefix "SSH ACCESS ATTEMPT:" –log-level 4
    #iptables -A INPUT -p tcp -m tcp –dport 22 -j DROP

    # قواعد amule للسماح بالاتصالات الصادرة والواردة على المنفذ
    iptables -A INPUT -p tcp -m tcp –dport 16420 -m conntrack –ctstate NEW -m comment –التعليق "aMule" -j ACCEPT
    iptables -A OUTPUT -p tcp -m tcp –sport 16420 -m conntrack-ctstate ذات الصلة ، مؤسس -m تعليق –التعليق "aMule" -j ACCEPT
    iptables -A INPUT -p udp –dport 9995 -m تعليق- تعليق "aMule" -j ACCEPT
    iptables -A الإخراج -p udp -sport 9995 -j ACCEPT
    iptables -A INPUT -p udp –dport 16423 -j ACCEPT
    iptables -A الإخراج -p udp -sport 16423 -j ACCEPT

    الآن شرح بسيط. كما ترى ، هناك قواعد مع سياسة DROP الافتراضية ، لا شيء يغادر ويدخل الفريق دون أن تخبره بذلك.

    بعد ذلك ، يتم تمرير الأساسيات والمضيف المحلي والتنقل إلى شبكة الشبكات.

    يمكنك أن ترى أن هناك أيضًا قواعد لـ ssh و amule. إذا كانوا يبدون جيدًا بالطريقة التي يتم بها ، يمكنهم وضع القواعد الأخرى التي يريدونها.

    تكمن الحيلة في رؤية بنية القواعد وتطبيقها على نوع معين من المنافذ أو البروتوكول ، سواء أكان ذلك udp أو tcp.

    آمل أن تتمكن من فهم هذا الذي نشرته هنا للتو.

    1.    كوكي قال

      يجب عليك عمل منشور يشرح ذلك 😉 سيكون رائعًا.

  8.   تضمين التغريدة قال

    لدي سؤال. في حالة رغبتك في رفض اتصالات http و https أضع:

    إسقاط الخادم "http https"؟

    وما إلى ذلك مع أي خدمة؟

    شكرا