بادئ ذي بدء ، جميع الاعتمادات تذهب إلى تضمين التغريدة، لأن هذا المنشور يعتمد على البرنامج التعليمي قمت بنشره في المنتدى. الفرق هو أنني سأركز على قوس، على الرغم من أنه سيعمل على الأرجح مع توزيعات أخرى تعتمد على سيستم دي.
ما هو Firehol؟
فايرهول، هو تطبيق صغير يساعدنا على إدارة جدار الحماية المدمج في kernel وأداته يبتابليس. Firehol ، يفتقر إلى واجهة رسومية ، يجب إجراء جميع التهيئة من خلال ملفات نصية ، ولكن على الرغم من ذلك ، لا يزال التكوين بسيطًا للمستخدمين المبتدئين ، أو قويًا لمن يبحثون عن خيارات متقدمة. كل ما يفعله Firehol هو تبسيط إنشاء قواعد iptables قدر الإمكان وتمكين جدار حماية جيد لنظامنا.
التثبيت والتكوين
Firehol ليس في مستودعات Arch الرسمية ، لذلك سوف نشير إلى AUR.
yaourt -S firehol
ثم نذهب إلى ملف التكوين.
sudo nano /etc/firehol/firehol.conf
ونضيف القواعد هناك ، يمكنك استخدامها انت.
استمر في تنشيط Firehol لكل بدء تشغيل. بسيط جدًا مع systemd.
sudo systemctl enable firehol
بدأنا Firehol.
sudo systemctl start firehol
أخيرًا ، نتحقق من إنشاء قواعد iptables وتحميلها بشكل صحيح.
sudo iptables -L
تعطيل IPv6
كما لا يتعامل فايرهول ip6tables ونظرًا لأن معظم اتصالاتنا لا تدعم IPv6، توصيتي هي تعطيله.
En قوس نضيف ipv6.disable = 1 إلى خط kernel في الملف / etc / default / grub
...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...
الآن نقوم بتجديد ملف نكش. cfg:
sudo grub-mkconfig -o /boot/grub/grub.cfg
En ديبيان يكفي مع:
sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf
أنا لا أفهم. هل تتبع البرنامج التعليمي ولديك بالفعل جدار الحماية قيد التشغيل وحظرت جميع الاتصالات؟ شيء آخر البرنامج التعليمي لـ Arch معقد ، على سبيل المثال لم أستخدم sudo أو yaourt Firewall مطلقًا. ومع ذلك فمن المفهوم. أو ربما يكتب شخص جديد يورت وسيحصل على خطأ. بالنسبة إلى Manjaro هو الأصح.
كما تقولfelipe ، باتباع البرنامج التعليمي ووضع ملف /etc/firehol/firehol.conf القواعد التي قدمهاcookie في اللصق ، سيكون لديك بالفعل جدار حماية بسيط لحماية النظام على المستوى الأساسي. يعمل هذا التكوين مع كل توزيعة حيث يمكنك وضع Firehol ، مع خصوصية كل توزيعة ، فإنه يتعامل مع خدماته بطرق مختلفة (دبيان من خلال sysvinit ، Arch مع systemd) وبالنسبة للتثبيت ، يعرف الجميع ما لديهم ، في Arch يجب عليك استخدم مستودعات AUR و yaourt ، في Debian ، تكفيك المستودعات الرسمية ، وهكذا في العديد من المستودعات الأخرى ، عليك فقط البحث قليلاً في المستودعات وتكييف أمر التثبيت.
أعتقد أن يوكيتيرو قد أوضح بالفعل شكوكك.
الآن ، حول sudo و yaourt ، بالنسبة لي لا أعتبر sudo مشكلة ، عليك فقط أن ترى أنه يأتي بشكل افتراضي عند تثبيت نظام قاعدة Arch ؛ و yaourt اختياري ، يمكنك تنزيل tarball وفك ضغطه وتثبيته باستخدام makepkg -si.
شكرا لك ، لقد أخذت علما.
شيء نسيت إضافته إلى المنشور ، لكن لا يمكنني تعديله.
https://www.grc.com/x/ne.dll?bh0bkyd2
على هذا الموقع يمكنك اختبار جدار الحماية الخاص بك 😉 (شكرا مرة أخرى لـ Yukiteru).
أجريت تلك الاختبارات على Xubuntu الخاص بي وخرج كل شيء بشكل مثالي! يالها من بهجة استخدام لينكس !!! 😀
كل هذا جيد جدا .. ولكن أهم شيء مفقود؛ عليك أن تشرح كيف يتم إنشاء القواعد !! ، ما تعنيه ، وكيفية إنشاء قواعد جديدة ... إذا لم يتم توضيح ذلك ، فإن ما تضعه لا فائدة منه: - /
إنشاء قواعد جديدة أمر بسيط ، وثائق فايرهول واضحة ودقيقة للغاية من حيث إنشاء قواعد مخصصة ، لذا فإن القراءة قليلاً ستجعل من السهل عليك تخصيصها وتكييفها مع احتياجاتك.
أعتقد أن السبب الأولي لنشرcookie مثل مشاركتي في المنتدى ، هو منح المستخدمين والقراء أداة تسمح لهم بمنح أجهزة الكمبيوتر الخاصة بهم مزيدًا من الأمان ، كل ذلك على المستوى الأساسي. يتم ترك الباقي جانباً لتتكيف مع احتياجاتك.
إذا قرأت الرابط إلى البرنامج التعليمي Yukiteru ، فسوف تدرك أن القصد هو نشر التطبيق وتكوين جدار الحماية الأساسي. أوضحت أن رسالتي كانت مجرد نسخة تركز على آرتش.
وهل هذا "للبشر"؟ o_O
جرب Gufw على Arch: https://aur.archlinux.org/packages/gufw/ >> انقر فوق الحالة. أو ufw إذا كنت تفضل terminal: sudo ufw enable
أنت محمي بالفعل إذا كنت مستخدمًا عاديًا. هذا هو "للبشر" 🙂
Firehol هو حقًا واجهة أمامية لـ IPTables وإذا قارناه بالأخير ، فهو إنسان تمامًا 😀
أنا أعتبر ufw (Gufw مجرد واجهة منه) كخيار سيء من حيث الأمان. السبب: لمزيد من قواعد الأمان التي كتبتها في ufw ، لم أستطع منع ذلك في اختبارات جدار الحماية الخاص بي عبر الويب وتلك التي أجريتها باستخدام nmap ، ستظهر خدمات مثل avahi-daemon و exim4 ، وكان الهجوم "المتخفي" كافياً لمعرفة أصغر خصائص نظامي ، والنواة والخدمات التي يديرها ، شيء لم يحدث لي باستخدام فايرهول أو جدار الحماية في أرنو.
حسنًا ، لا أعرف عنك ، لكن كما كتبت أعلاه ، أستخدم Xubuntu وجدار الحماية الخاص بي يتوافق مع GUFW واجتازت جميع اختبارات الارتباط التي وضعها المؤلف دون مشاكل. كل شيء خلسة. لا شيء مفتوح. لذلك ، في تجربتي ufw (وبالتالي gufw) أقوم بعمل رائع. لست منتقدًا لاستخدام أوضاع التحكم في جدار الحماية الأخرى ، لكن gufw يعمل بشكل لا تشوبه شائبة ويعطي نتائج أمان رائعة.
إذا كانت لديك أي اختبارات تعتقد أنها قد تؤدي إلى ظهور نقاط ضعف في نظامي ، فأخبرني بها وسأجريها بكل سرور هنا وأعلمك بالنتائج.
أدناه أعلق على شيء ما حول موضوع ufw ، حيث أقول أن الخطأ الذي رأيته في عام 2008 ، باستخدام Ubuntu 8.04 Hardy Heron. ما الذي قاموا بتصحيحه بالفعل؟ الشيء الأكثر ترجيحًا هو أن هذا هو الحال ، لذلك لا يوجد سبب للقلق ، ولكن مع ذلك ، هذا لا يعني أن الخطأ كان موجودًا ويمكنني إظهاره ، على الرغم من أنه لم يكن موتًا سيئًا ، إلا أنني أوقفت الشياطين avahi-daemon و exim4 ، و تم حل المشكلة بالفعل. أغرب شيء على الإطلاق هو أن هاتين العمليتين فقط كانت بهما المشكلة.
ذكرت الحقيقة على أنها حكاية شخصية ، وأعطيت نفس الرأي عندما قلت: «أنا أعتبر ...».
تحياتي 🙂
+1
Yukiteru: هل جربته من جهاز الكمبيوتر الخاص بك؟ إذا كنت تبحث من جهاز الكمبيوتر الخاص بك ، فمن الطبيعي أن تتمكن من الوصول إلى منفذ الخدمة X ، نظرًا لأن حركة المرور المحظورة هي حركة الشبكة ، وليس المضيف المحلي:
http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
https://answers.launchpad.net/gui-ufw/+question/194272
إذا لم يكن كذلك ، الرجاء الإبلاغ عن خطأ 🙂
تحياتي 🙂
من كمبيوتر آخر باستخدام شبكة LAN في حالة nmap ، وعبر الويب باستخدام هذه الصفحة https://www.grc.com/x/ne.dll?bh0bkyd2باستخدام خيار المنافذ المخصصة ، اتفق كلاهما على أن avahi و exim4 كانا يستمعان من الشبكة على الرغم من أن ufw قد تم تكوين الحظر الخاص بهما.
لقد قمت بحل هذه التفاصيل الصغيرة من avahi-daemon و exim4 عن طريق تعطيل الخدمات ببساطة وهذا كل شيء ... لم أبلغ عن خطأ في ذلك الوقت ، ولا أعتقد أنه من المنطقي القيام بذلك الآن ، لأن ذلك كان في عام 2008 ، باستخدام هاردي.
كان عام 2008 قبل 5 سنوات ؛ من Hardy Heron إلى Raring Ringtail هناك 10 * buntus. نفس الاختبار على Xubuntu الخاص بي ، الذي تم إجراؤه بالأمس والمتكرر اليوم (أغسطس 2013) ، يعطي الكمال في كل شيء. وأنا فقط أستخدم UFW.
أكرر: هل لديك أي اختبارات إضافية لتقوم بها؟ بكل سرور أفعل ذلك وأبلغ عن ما يخرج من هذا الجانب.
قم بإجراء فحص SYN و IDLE لجهاز الكمبيوتر الخاص بك باستخدام nmap ، والذي سيعطيك فكرة عن مدى أمان نظامك.
يمتلك الرجل nmap أكثر من 3000 سطر. إذا أعطيتني الأوامر للتنفيذ بكل سرور ، فسأفعل ذلك وسأبلغ عن النتيجة.
حسنًا ، لم أكن أعرف عن 3000 صفحة رجل لـ nmap. لكن zenmap يساعد في القيام بما أخبرك به ، فهو واجهة أمامية رسومية لـ nmap ، ولكن لا يزال خيار فحص SYN باستخدام nmap هو -sS ، بينما خيار الفحص الخامل هو -sI ، ولكن الأمر الدقيق سأكون.
قم بإجراء المسح من جهاز آخر يشير إلى عنوان IP الخاص بجهازك باستخدام ubuntu ، ولا تقم بذلك من جهاز الكمبيوتر الخاص بك ، لأن هذا لا يعمل.
هههه!! خطأي حوالي 3000 صفحة عندما كانت سطور
لا أعلم لكني أعتقد أن واجهة المستخدم الرسومية لذلك في جنو / لينكس لإدارة جدار الحماية ستكون حكيمة إلى حد ما ولا تترك كل شيء مكشوفًا كما في أوبونتو أو كل شيء مغطى كما في فيدورا ، يجب أن تكون xD جيدًا ، أو شيء ما لتهيئة البدائل القاتلة اللعينة xD hjahjahjaja لديها القليل الذي أقاتل معهم ومع فتح jdk ولكن في النهاية عليك أيضًا الحفاظ على مبدأ القبلة
بفضل كل العقبات التي حدثت في الماضي مع iptables ، يمكنني اليوم أن أفهم niverl raw ، أي التحدث إليه مباشرةً لأنه يأتي من المصنع.
وهو ليس شيئًا معقدًا ، من السهل جدًا تعلمه.
إذا سمح لي مؤلف المنشور ، فسأنشر مقتطفًا من البرنامج النصي لجدار الحماية الذي أستخدمه حاليًا.
## قواعد التنظيف
يبتابليس-F
يبتابليس-X
إيتابلز-Z
iptables - نات - F.
## تعيين السياسة الافتراضية: DROP
iptables -P INPUT DROP
iptables -P انخفاض الإخراج
iptables -P إسقاط للأمام
# تعمل على المضيف المحلي دون قيود
iptables -A INPUT -i lo -j ACCEPT
iptables -A الإخراج -o lo -j ACCEPT
# اسمح للجهاز بالذهاب إلى الويب
iptables -A INPUT -p tcp -m tcp –sport 80 -m conntrack –ctstate ذات الصلة ، مؤسس -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp –dport 80 -j ACCEPT قبول
# بالفعل أيضا لتأمين المواقع
iptables -A INPUT -p tcp -m tcp –sport 443 -m conntrack –ctstate ذات الصلة ، مؤسس -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp –dport 443 -j ACCEPT قبول
# اسمح لـ ping من الداخل إلى الخارج
iptables -A OUTPUT -p icmp –icmp-type echo-request -j قبول
iptables -A INPUT -p icmp –icmp-type echo-response -j قبول
# حماية SSH
#iptables -I INPUT -p tcp –dport 22 -m conntrack –ctstate NEW -m limit –limit 30 / minutes -limit-burst 5 -m comment –comment "SSH-kick" -j ACCEPT
#iptables -A INPUT -p tcp -m tcp –dport 22 -j LOG –log-prefix "SSH ACCESS ATTEMPT:" –log-level 4
#iptables -A INPUT -p tcp -m tcp –dport 22 -j DROP
# قواعد amule للسماح بالاتصالات الصادرة والواردة على المنفذ
iptables -A INPUT -p tcp -m tcp –dport 16420 -m conntrack –ctstate NEW -m comment –التعليق "aMule" -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp –sport 16420 -m conntrack-ctstate ذات الصلة ، مؤسس -m تعليق –التعليق "aMule" -j ACCEPT
iptables -A INPUT -p udp –dport 9995 -m تعليق- تعليق "aMule" -j ACCEPT
iptables -A الإخراج -p udp -sport 9995 -j ACCEPT
iptables -A INPUT -p udp –dport 16423 -j ACCEPT
iptables -A الإخراج -p udp -sport 16423 -j ACCEPT
الآن شرح بسيط. كما ترى ، هناك قواعد مع سياسة DROP الافتراضية ، لا شيء يغادر ويدخل الفريق دون أن تخبره بذلك.
بعد ذلك ، يتم تمرير الأساسيات والمضيف المحلي والتنقل إلى شبكة الشبكات.
يمكنك أن ترى أن هناك أيضًا قواعد لـ ssh و amule. إذا كانوا يبدون جيدًا بالطريقة التي يتم بها ، يمكنهم وضع القواعد الأخرى التي يريدونها.
تكمن الحيلة في رؤية بنية القواعد وتطبيقها على نوع معين من المنافذ أو البروتوكول ، سواء أكان ذلك udp أو tcp.
آمل أن تتمكن من فهم هذا الذي نشرته هنا للتو.
يجب عليك عمل منشور يشرح ذلك 😉 سيكون رائعًا.
لدي سؤال. في حالة رغبتك في رفض اتصالات http و https أضع:
إسقاط الخادم "http https"؟
وما إلى ذلك مع أي خدمة؟
شكرا