প্রথমত, সমস্ত ক্রেডিট যাও নিবন্ধন করুন, কারণ এই পোস্টটি উপর ভিত্তি করে অভিভাবকসংবঁধীয় আপনি ফোরামে পোস্ট করেছেন। পার্থক্য হ'ল আমি ফোকাস করতে যাচ্ছি খিলানযদিও এটি সম্ভবত অন্যান্য ডিস্ট্রোদের উপর ভিত্তি করে কাজ করবে systemd হল.
ফায়ারহোল কী?
ফায়ারহোল, একটি ছোট অ্যাপ্লিকেশন যা কার্নেল এবং তার সরঞ্জামের সাথে সংহত ফায়ারওয়াল পরিচালনা করতে আমাদের সহায়তা করে iptables- র। ফায়ারহোলের গ্রাফিকাল ইন্টারফেসের অভাব রয়েছে, সমস্ত কনফিগারেশন অবশ্যই টেক্সট ফাইলের মাধ্যমে করা উচিত, তবে এটি সত্ত্বেও, কনফিগারেশনটি এখনও নবীন ব্যবহারকারীদের জন্য সহজ বা উন্নত বিকল্পগুলির সন্ধানকারীদের পক্ষে শক্তিশালী। ফায়ারহল যা কিছু করে তা হ'ল যথাসম্ভব iptables বিধি তৈরি করা সহজ করে তোলে এবং আমাদের সিস্টেমের জন্য একটি ভাল ফায়ারওয়াল সক্ষম করে।
ইনস্টলেশন ও কনফিগারেশন
ফায়ারহোল সরকারী আর্কের সংগ্রহস্থলে নেই, তাই আমরা উল্লেখ করব অর.
yaourt -S firehol
তারপরে আমরা কনফিগারেশন ফাইলে যাই।
sudo nano /etc/firehol/firehol.conf
এবং আমরা সেখানে নিয়মগুলি যুক্ত করছি, আপনি ব্যবহার করতে পারেন আপনি আছেন.
প্রতিটি প্রারম্ভের জন্য ফায়ারহোল সক্রিয় রাখুন। সিস্টেমড সহ খুব সহজ।
sudo systemctl enable firehol
আমরা ফায়ারহোল শুরু করেছি।
sudo systemctl start firehol
অবশেষে আমরা যাচাই করেছিলাম যে iptables নিয়মগুলি সঠিকভাবে তৈরি এবং লোড করা হয়েছে।
sudo iptables -L
আইপিভি 6 অক্ষম করুন
ফায়ারহোল যেমন পরিচালনা করে না ip6 টেবিল এবং যেহেতু আমাদের বেশিরভাগ সংযোগগুলির পক্ষে সমর্থন নেই IPv6, আমার প্রস্তাবটি এটিকে অক্ষম করা।
En খিলান আমরা যোগ ipv6.disable = 1 / etc / default / grub ফাইলের কার্নেল লাইনে to
...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...
এখন আমরা পুনর্গঠন grub.cfg:
sudo grub-mkconfig -o /boot/grub/grub.cfg
En ডেবিয়ান এর সাথে যথেষ্ট:
sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf
আমি বুঝতে পারছি না. আপনি কি টিউটোরিয়ালটি অনুসরণ করেন এবং আপনার ইতিমধ্যে ফায়ারওয়াল চলছে এবং সমস্ত সংযোগ অবরুদ্ধ করেছে? আর একটি জিনিস আর্কের জন্য একটি টিউটোরিয়াল জটিল, উদাহরণস্বরূপ আমি কখনও সুডো বা ইওর্ট ফায়ারওয়াল ব্যবহার করি নি। তবে এটি বোধগম্য। অথবা হতে পারে নতুন কেউ ইয়োরোর্ট লিখেছেন এবং একটি ত্রুটি পাবেন। মাঞ্জারোর পক্ষে এটি আরও সঠিক।
আপনি যেমন @ ফিলিপ বলেছেন, টিউটোরিয়ালটি অনুসরণ করে এবং /etc/firehol/firehol.conf পেস্টে @ কুকি প্রদত্ত বিধিগুলি ফাইল করে, আপনার কাছে ইতিমধ্যে একটি বেসিক স্তরে সিস্টেমটিকে সুরক্ষিত করার জন্য একটি সাধারণ ফায়ারওয়াল থাকবে। এই কনফিগারেশনটি আপনি যে কোনও ডিস্ট্রোর জন্য কাজ করতে পারেন যেখানে আপনি ফায়ারহল রাখতে পারেন, প্রতিটি ডিস্ট্রোর বিশেষত্বের সাথে এটি বিভিন্নভাবে তার পরিষেবাগুলি পরিচালনা করে (সিবিভিনেটের মাধ্যমে ডেবিয়ান, সিস্টেমড সহ আর্চ) এবং ইনস্টলেশন হিসাবে, প্রত্যেকেরই জানেন যে তাদের কী আছে, আর্কে আপনাকে অবশ্যই আবশ্যক আউআর এবং ইওর্ট রেপো ব্যবহার করুন, ডিবানে আনুষ্ঠানিক আধিক্য যথেষ্ট এবং আরও অনেকের মধ্যে আপনাকে কেবল সংগ্রহস্থলগুলিতে কিছুটা অনুসন্ধান করতে হবে এবং ইনস্টলেশন কমান্ডটি মানিয়ে নিতে হবে।
আমি মনে করি ইউকিটিউ ইতিমধ্যে আপনার সন্দেহগুলি পরিষ্কার করে দিয়েছে।
এখন, সুডো এবং ইওর্ট সম্পর্কে, আমার অংশের জন্য আমি সুডোকে কোনও সমস্যা মনে করি না, আপনি কেবল দেখতে পাবেন যে আপনি আর্চের বেস সিস্টেমটি ইনস্টল করার সময় এটি ডিফল্টরূপে আসে; এবং ইয়োর্ট alচ্ছিক, আপনি টারবালটি ডাউনলোড করতে পারেন, আনজিপ করুন এবং মেকপেকজি-এসি দিয়ে ইনস্টল করতে পারেন।
ধন্যবাদ, আমি খেয়াল করি
এমন কিছু যা আমি পোস্টে যুক্ত করতে ভুলে গিয়েছিলাম তবে আমি এটি সম্পাদনা করতে পারি না।
https://www.grc.com/x/ne.dll?bh0bkyd2
সেই সাইটে আপনি নিজের ফায়ারওয়াল test পরীক্ষা করতে পারেন Y (আবার ইউকিতুর ধন্যবাদ)।
আমি আমার জুবুন্টুতে এই পরীক্ষাগুলি চালিয়েছি এবং সবকিছু নিখুঁতভাবে বেরিয়ে এসেছিল! লিনাক্স ব্যবহার করে কী আনন্দ! 😀
এগুলি খুব ভাল ... তবে সবচেয়ে গুরুত্বপূর্ণ বিষয়টি অনুপস্থিত; আপনাকে কীভাবে নিয়মগুলি তৈরি করা হয় তা ব্যাখ্যা করতে হবে !!, তাদের কী অর্থ, কীভাবে নতুন তৈরি করা যায় ... যদি এটি ব্যাখ্যা না করা হয় তবে আপনি যা রেখেছেন তা খুব একটা কাজে আসবে না: - /
নতুন নিয়ম তৈরি করা সহজ, ফায়ারহোল ডকুমেন্টেশন কাস্টম বিধি তৈরির ক্ষেত্রে পরিষ্কার এবং খুব সুনির্দিষ্ট, তাই কিছুটা পড়া আপনার পক্ষে এটি কাস্টমাইজ করা এবং এটি আপনার প্রয়োজনের সাথে খাপ খাইয়ে নেওয়া সহজ করে তুলবে।
আমি মনে করি ফোরামে আমার মতো @ কুকি পোস্টের প্রাথমিক কারণটি ছিল ব্যবহারকারী এবং পাঠকদের এমন একটি সরঞ্জাম দেওয়া যা তাদের কম্পিউটারগুলিকে একটি বেসিক স্তরে কিছুটা আরও সুরক্ষার সুযোগ দেয়। আপনার নিজের প্রয়োজনের সাথে খাপ খাইয়ে নিতে বাকিটি বাদ পড়েছে।
আপনি যদি ইউকিটিউ টিউটোরিয়ালের লিঙ্কটি পড়েন, আপনি বুঝতে পারবেন উদ্দেশ্যটি হল অ্যাপ্লিকেশনটি এবং বেসিক ফায়ারওয়ালের কনফিগারেশনটি প্রচার করা। আমি স্পষ্ট করেছিলাম যে আমার পোস্টটি কেবল আর্কের উপর দৃষ্টি নিবদ্ধ করা একটি অনুলিপি ছিল।
এবং এটি 'মানুষের জন্য'? ও_ও
আর্চ অন গফউ চেষ্টা করুন: https://aur.archlinux.org/packages/gufw/ >> স্থিতিতে ক্লিক করুন। বা ইউএফডাব্লু যদি আপনি টার্মিনাল পছন্দ করেন: sudo ufw সক্ষম
আপনি যদি সাধারণ ব্যবহারকারী হন তবে আপনি ইতিমধ্যে সুরক্ষিত। এটি 'মানুষের পক্ষে' 🙂
ফায়ারহোল আসলেই আইপিটিবেলেসের জন্য একটি ফ্রন্ট-এন্ড এবং যদি আমরা এটি যদি পরেরটির সাথে তুলনা করি তবে এটি বেশ মানব is
আমি ইউএফডাব্লু (গুফডব্লিউ এটির একটি ইন্টারফেস) সুরক্ষার দিক থেকে একটি খারাপ বিকল্প হিসাবে বিবেচনা করি। কারণ: আমি সুরক্ষিত নিয়মের যেগুলি আমি ইউএফডাব্লুতে লিখেছি, আমি এড়াতে পারিনি যে আমার ফায়ারওয়ালের পরীক্ষায়, ওয়েবের মাধ্যমে এবং এনএমএপ ব্যবহার করে চালানো উভয়ই, আভি-ডেমন এবং এক্সিম 4 এর মতো পরিষেবাগুলি উন্মুক্ত প্রদর্শিত হবে এবং কেবল একটি "স্টিলথ" আক্রমণটি আমার সিস্টেম, কার্নেল এবং এটির যে পরিষেবাগুলি চালিত হয়েছিল তার ক্ষুদ্রতম বৈশিষ্ট্যগুলি জানার জন্য যথেষ্ট ছিল, এমন কিছু যা ফায়ারহোল বা আরনোর ফায়ারওয়াল ব্যবহার করে আমার সাথে হয়নি।
ঠিক আছে, আমি আপনার সম্পর্কে জানি না, তবে আমি উপরে লিখেছি, আমি জুবুন্টু ব্যবহার করি এবং আমার ফায়ারওয়ালটি জিইউএফডাব্লুতে যায় এবং আমি লেখকরা কোনও সমস্যা ছাড়াই যে লিঙ্কটি রেখেছিলেন তার সমস্ত পরীক্ষাগুলি পাস করেছি। সমস্ত চৌর্য। কিছুই খোলা নেই। সুতরাং, আমার অভিজ্ঞতায় ufw (এবং সুতরাং gufw) তারা আমার জন্য দুর্দান্ত। আমি অন্য ফায়ারওয়াল নিয়ন্ত্রণ মোডগুলি ব্যবহার করে সমালোচনা করি না তবে গফডাব্লু নির্দোষভাবে কাজ করে এবং দুর্দান্ত সুরক্ষা ফলাফল দেয়।
আপনার যদি এমন কোনও পরীক্ষা থাকে যা আপনি মনে করেন যে এটি আমার সিস্টেমে দুর্বলতা ফেলে দিতে পারে তবে সেগুলি কী তা আমাকে বলুন এবং আমি আনন্দের সাথে এগুলি এখানে চালিয়ে দেব এবং ফলাফলগুলি আপনাকে জানাব।
নীচে আমি ইউএফডব্লিউ বিষয়ে কিছু মন্তব্য করি, যেখানে আমি বলি যে উবুন্টু 2008 হার্ডি হেরন ব্যবহার করে আমি 8.04 সালে ত্রুটিটি দেখেছি। তারা ইতিমধ্যে কি সংশোধন করেছে? সর্বাধিক সম্ভাব্য জিনিসটি এটি তাই, তাই উদ্বেগ করার কোনও কারণ নেই, তবে তবুও, এর অর্থ এই নয় যে বাগটি ছিল এবং আমি এটি প্রমাণ করতে পারি, যদিও এটি মারা যাওয়া খারাপ জিনিস নয়, আমি কেবল থামিয়েছিলাম দানবগুলি অহি-ডেমন এবং এক্সিম 4, এবং ইতিমধ্যে সমস্যার সমাধান হয়েছে। সবার আশ্চর্যের বিষয় হ'ল কেবল সেই দুটি প্রক্রিয়াতেই সমস্যা ছিল।
আমি ঘটনাটি একটি ব্যক্তিগত উপাখ্যান হিসাবে উল্লেখ করেছি এবং আমি যখন বলেছিলাম: "আমি বিবেচনা করি ...»
শুভেচ্ছা 🙂
+1
@ ইউকিটারু: আপনি কি নিজের কম্পিউটার থেকে চেষ্টা করেছেন? আপনি যদি আপনার পিসি থেকে সন্ধান করেন তবে আপনি এক্স সার্ভিস পোর্টটি অ্যাক্সেস করতে পারবেন এটাই স্বাভাবিক, যেহেতু যে ট্র্যাফিক ব্লক করা আছে সেটি হল নেটওয়ার্কের, লোকালহোস্টের নয়:
http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
https://answers.launchpad.net/gui-ufw/+question/194272
যদি তা না হয় তবে দয়া করে একটি বাগ রিপোর্ট করুন 🙂
শুভেচ্ছা 🙂
এনএম্যাপের ক্ষেত্রে ল্যান নেটওয়ার্ক ব্যবহার করে এবং এই পৃষ্ঠাটি ব্যবহার করে ওয়েবের মাধ্যমে অন্য কম্পিউটার থেকে https://www.grc.com/x/ne.dll?bh0bkyd2কাস্টম পোর্টস বিকল্পটি ব্যবহার করে, তারা উভয়ই সম্মত হয়েছিল যে ইউএফডাব্লুতে তাদের ব্লকিং কনফিগার করা থাকলেও আভি এবং এক্সিম 4 নেট থেকে শুনছিল।
আমি কেবল পরিষেবাগুলি অক্ষম করে অহি-ডেমন এবং এক্সিম 4 এর এই ছোট্ট বিশদটি সমাধান করেছি এবং এটিই ... আমি তখন কোনও বাগ রিপোর্ট করিনি, এবং আমার মনে হয় এখন এটি করা অর্থহীন নয়, কারণ এটি ফিরে ছিল ২০০৮ সালে, হার্ডি ব্যবহার করে।
২০০৮ ছিল ৫ বছর আগে; হার্ডি হেরন থেকে রিয়ারিং রিংটেল পর্যন্ত 2008 * বুটস রয়েছে। আমার জুবুন্টুতে একই পরীক্ষা, গতকাল করা হয়েছিল এবং আজ (আগস্ট ২০১৩) পুনরাবৃত্তি হয়েছে সবকিছুতে নিখুঁত। এবং আমি কেবল ইউএফডাব্লু ব্যবহার করি।
আমি পুনরায় বলছি: আপনার কাছে আরও কিছু পরীক্ষা করার আছে? আমি এটি আনন্দের সাথে করি এবং এই দিক থেকে কী ঘটেছিল তা রিপোর্ট করি।
এনএম্যাপ ব্যবহার করে আপনার পিসির একটি এসওয়াইএন এবং আইডিএল স্ক্যান করুন, এটি আপনাকে আপনার সিস্টেমটি কতটা সুরক্ষিত করার একটি ধারণা দেবে।
Nmap লোকটির 3000 টিরও বেশি লাইন রয়েছে। আপনি যদি আমাকে আনন্দের সাথে সম্পাদনের আদেশ দেন তবে আমি এটি করব এবং আমি ফলাফলটি রিপোর্ট করব।
হুম আমি এনএম্যাপের জন্য 3000 টি ম্যান পেজ সম্পর্কে জানতাম না। আমি আপনাকে যা বলছি তা করতে জেনম্যাপ হ'ল এটি একটি এনএম্যাপের জন্য গ্রাফিকাল ফ্রন্ট-এন্ড, তবে এখনও এনএমএপ সহ এসওয়াইএন স্ক্যানের বিকল্পটি -এসএস, তবে নিষ্ক্রিয় স্ক্যানের বিকল্পটি -এসআই, তবে সঠিক কমান্ড আই হবে.
অন্য মেশিন থেকে স্ক্যানটি উবুন্টু দিয়ে আপনার মেশিনের আইপিটির দিকে ইঙ্গিত করুন, এটি নিজের পিসি থেকে করবেন না, কারণ এটি এটি কীভাবে কাজ করে না।
হাঃ হাঃ হাঃ!! আমার প্রায় 3000 পৃষ্ঠা, যখন সেগুলি লাইন ছিল 😛
আমি জানি না তবে আমি মনে করি যে ফায়ারওয়াল পরিচালনার জন্য জিএনইউ / লিনাক্সের জন্য একটি জিইউআই কিছুটা বুদ্ধিমান এবং উবুন্টু বা ফেডোরার আচ্ছাদিত সমস্ত কিছুর আওতা ছাড়বে না, আপনার ভাল এক্সডি হওয়া উচিত, বা কনফিগার করার মতো কিছু জঘন্য হত্যাকারী বিকল্প এক্সডি হজাহাজাহাজা এটা খুব সামান্য যে আমি তাদের সাথে এবং মুক্ত জেডকে নিয়ে লড়াই করি তবে শেষ পর্যন্ত আপনাকেও চুম্বনের নীতিটি রাখতে হবে
Iptables দিয়ে অতীতে যে সমস্ত হোঁচট খেয়েছে তার জন্য ধন্যবাদ, আজ আমি নীভারল কাঁচা বুঝতে পারি, এটি কারখানা থেকে আসে বলে সরাসরি তার সাথে কথা বলি।
এবং এটি জটিল কিছু নয়, এটি শিখতে খুব সহজ।
পোস্টের লেখক যদি আমাকে অনুমতি দেয় তবে আমি বর্তমানে ব্যবহৃত ফায়ারওয়াল স্ক্রিপ্টের একটি অংশ পোস্ট করব।
## বিধি পরিষ্কারের
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## ডিফল্ট নীতি সেট করুন: DROP
iptables -P INPUT ড্রপ
iptables -P আউটপুট ড্রপ
iptables -P ফরওয়ার্ড ড্রপ
# সীমাবদ্ধতা ছাড়াই লোকালহোস্টে পরিচালনা করুন
iptables - একটি INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j এসিসিপিটি
# মেশিনটিকে ওয়েবে যাওয়ার অনুমতি দিন
iptables -A INPUT -p tcp -m tcp 80sport XNUMX -m কনট্র্যাক -সেসটেট রিলেটেড, ইস্টাব্লিশড -জে এসিসিপিটি
iptables -A OUTPUT -p tcp -m tcp -dport 80 -j ACCEPT
# ইতিমধ্যে ওয়েবগুলি সুরক্ষিত করার জন্য
iptables -A INPUT -p tcp -m tcp 443sport XNUMX -m কনট্র্যাক -সেসটেট রিলেটেড, ইস্টাব্লিশড -জে এসিসিপিটি
iptables -A OUTPUT -p tcp -m tcp -dport 443 -j ACCEPT
# ভিতরে থেকে পিংকে অনুমতি দিন
আইপিটিবেলস -এ আউটপুট -p আইসিএমপি আইসিপি-টাইপ ইকো-অনুরোধ -j এসিসিপিটি
আইপিটিবেলস -এ ইনপুট-পি আইসিএমপি -এসপি-টাইপ ইকো-রিপ্লাই -j এসিসিপিটি
# এসএসএইচ জন্য সুরক্ষা
#iptables -I INPUT -p tcp - 22 -m conntrack -ctstate NEW -m সীমা 30 মিনিট / মিনিট -মিলিট-বিস্ফোরিত 5 -m মন্তব্য -কমেন্ট "এসএসএইচ-কিক" -জে এসিসিপিটি
#iptables -A INPUT -p tcp -m tcp --port 22 -j LOG –log-উপসর্গ "এসএসএইচ প্রবেশের ব্যবস্থা:" -লগ-স্তর 4
#iptables -A INPUT -p tcp -m tcp -dport 22 -j DROP
বন্দরে বহির্মুখী এবং আগত সংযোগের মঞ্জুরি দেওয়ার জন্য তাবিজের নিয়মাবলী
iptables -A INPUT -p tcp -m tcp --port 16420 -m কনট্র্যাক –ctstate NEW -m মন্তব্য comment কমেন্ট "aMule" -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp 16420sport XNUMX -m কনট্র্যাক tsctstate সম্পর্কিত, প্রতিষ্ঠিত -এম মন্তব্য -কমেন্ট "aMule" -j এসিপিপিটি
iptables -A INPUT -p udp 9995dport XNUMX -m মন্তব্য -কমেন্ট "aMule" -j এসিসিপিটি
iptables -A OUTPUT -p udp 9995sport XNUMX -j ACCEPT
iptables -A INPUT -p udp -port 16423 -J ACCEPT
iptables -A OUTPUT -p udp 16423sport XNUMX -j ACCEPT
এবার একটু ব্যাখ্যা। আপনি দেখতে পাচ্ছেন, ডিআরওপি নীতিমালার সাথে ডিফল্ট নিয়ম রয়েছে, কিছুই না বলে এবং দলে tersোকা না you
তারপরে, বেসিকগুলি পাস করা হয়, লোকালহোস্ট এবং নেটওয়ার্কগুলির নেটওয়ার্কে নেভিগেশন।
আপনি দেখতে পাচ্ছেন যে ssh এবং তাবিজের জন্যও বিধি রয়েছে। তারা কীভাবে কীভাবে করা হয় তা যদি তারা ভাল করে দেখে তবে তারা তাদের পছন্দ মতো অন্যান্য বিধি তৈরি করতে পারে।
কৌশলটি হ'ল নিয়মগুলির কাঠামো দেখতে এবং নির্দিষ্ট ধরণের পোর্ট বা প্রোটোকলের ক্ষেত্রে প্রয়োগ করা, এটি ইউডিপি বা টিসিপি হোক।
আমি আশা করি আপনি এটি বুঝতে পারবেন যে আমি এখানে এখানে পোস্ট করেছি।
আপনার এটির ব্যাখ্যা দিয়ে একটি পোস্ট করা উচিত great দুর্দান্ত।
আমার একটা প্রশ্ন আছে. আপনি যে HTTP এবং https সংযোগগুলি রেখেছি তা প্রত্যাখ্যান করতে চান:
সার্ভার "HTTP https" ড্রপ?
এবং কোন পরিষেবা দিয়ে?
এবং Gracias