Zunächst gehen alle Credits an @ YukiteruAmano, weil dieser Beitrag auf dem basiert Lernprogramm Sie haben im Forum gepostet. Der Unterschied ist, dass ich mich konzentrieren werde Bogen, obwohl es wahrscheinlich für andere Distributionen auf Basis von funktionieren wird systemd.
Was ist Firehol?
Feuerholist eine kleine Anwendung, mit der wir die im Kernel und seinem Tool integrierte Firewall verwalten können iptables. Firehol fehlt eine grafische Oberfläche, die gesamte Konfiguration muss über Textdateien erfolgen. Trotzdem ist die Konfiguration für Anfänger einfach oder für diejenigen, die nach erweiterten Optionen suchen, leistungsstark. Alles, was Firehol tut, ist, die Erstellung von iptables-Regeln so weit wie möglich zu vereinfachen und eine gute Firewall für unser System zu ermöglichen.
Installation und Konfiguration
Firehol befindet sich nicht in den offiziellen Arch-Repositories, daher werden wir darauf verweisen AUR.
yaourt -S firehol
Dann gehen wir zur Konfigurationsdatei.
sudo nano /etc/firehol/firehol.conf
Und wir fügen dort die Regeln hinzu, die Sie verwenden können diese.
Aktivieren Sie Firehol für jeden Start weiter. Ziemlich einfach mit systemd.
sudo systemctl enable firehol
Wir haben Firehol gegründet.
sudo systemctl start firehol
Schließlich überprüfen wir, ob die iptables-Regeln korrekt erstellt und geladen wurden.
sudo iptables -L
Deaktivieren Sie IPv6
Da geht firehol nicht mit ip6tables und da die meisten unserer Verbindungen keine Unterstützung für haben IPv6Ich empfehle, es zu deaktivieren.
En Bogen Wir fügen hinzu ipv6.disable = 1 in die Kernelzeile in der Datei / etc / default / grub
...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...
Jetzt regenerieren wir die grub.cfg:
sudo grub-mkconfig -o /boot/grub/grub.cfg
En Debian genug mit:
sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf
Ich verstehe nicht. Folgen Sie dem Tutorial und Sie haben bereits die Firewall ausgeführt und alle Verbindungen blockiert? Eine andere Sache Ein Tutorial für Arch ist komplex, zum Beispiel habe ich noch nie eine sudo- oder yaourt-Firewall verwendet. Es ist jedoch verstanden. Oder vielleicht schreibt jemand neu yaourt und bekommt einen Fehler. Für Manjaro ist es korrekter.
Wie Sie @felipe sagen, haben Sie nach dem Tutorial und dem Einfügen der von @cookie in der Paste angegebenen Regeln in die Datei /etc/firehol/firehol.conf bereits eine einfache Firewall, um das System auf einer grundlegenden Ebene zu schützen. Diese Konfiguration funktioniert für jede Distribution, in der Sie Firehol platzieren können. Die Besonderheit jeder Distribution, die ihre Dienste auf unterschiedliche Weise verwaltet (Debian über sysvinit, Arch mit systemd), und für die Installation weiß jeder, was er hat. In Arch müssen Sie Verwenden Sie die AUR- und Yaourt-Repos. In Debian reichen die offiziellen Repos aus. In vielen anderen müssen Sie nur ein wenig in den Repositorys suchen und den Installationsbefehl anpassen.
Ich denke, Yukiteru hat Ihre Zweifel bereits geklärt.
Nun zu sudo und yaourt, ich für meinen Teil halte sudo nicht für ein Problem, Sie müssen nur sehen, dass es standardmäßig kommt, wenn Sie das Basissystem von Arch installieren. und yaourt ist optional, Sie können den Tarball herunterladen, entpacken und mit makepkg -si installieren.
danke, ich nehme zur Kenntnis.
Etwas, das ich vergessen habe, dem Beitrag hinzuzufügen, aber ich kann es nicht bearbeiten.
https://www.grc.com/x/ne.dll?bh0bkyd2
Auf dieser Site können Sie Ihre Firewall testen again (nochmals vielen Dank an Yukiteru).
Ich habe diese Tests auf meinem Xubuntu durchgeführt und alles war perfekt! Was für eine Freude, Linux zu benutzen !!! 😀
Das alles ist sehr gut ... aber das Wichtigste fehlt; Sie müssen erklären, wie Regeln erstellt werden !!, was sie bedeuten, wie neue erstellt werden ... Wenn dies nicht erklärt wird, ist das, was Sie eingeben, von geringem Nutzen: - /
Das Erstellen neuer Regeln ist einfach, die Firehol-Dokumentation ist klar und sehr präzise in Bezug auf das Erstellen benutzerdefinierter Regeln. Wenn Sie also ein wenig lesen, können Sie sie leicht anpassen und an Ihre Bedürfnisse anpassen.
Ich denke, der ursprüngliche Grund für den @ cookie-Beitrag wie meinen im Forum war, Benutzern und Lesern ein Tool zu bieten, mit dem sie ihren Computern ein wenig mehr Sicherheit geben können, alles auf einer grundlegenden Ebene. Der Rest bleibt Ihnen überlassen, um sich an Ihre Bedürfnisse anzupassen.
Wenn Sie den Link zum Yukiteru-Tutorial lesen, werden Sie feststellen, dass die Anwendung und die Konfiguration einer grundlegenden Firewall veröffentlicht werden sollen. Ich stellte klar, dass mein Beitrag nur eine Kopie war, die sich auf Arch konzentrierte.
Und das ist "für Menschen"? o_O
Versuchen Sie Gufw auf Arch: https://aur.archlinux.org/packages/gufw/ >> Klicken Sie auf Status. Oder ufw, wenn Sie Terminal bevorzugen: sudo ufw enable
Sie sind bereits geschützt, wenn Sie ein normaler Benutzer sind. Das ist "für Menschen"
Firehol ist wirklich ein Front-End für IPTables, und wenn wir es mit letzterem vergleichen, ist es ziemlich menschlich 😀
Ich halte ufw (Gufw ist nur eine Schnittstelle davon) für eine schlechte Option in Bezug auf die Sicherheit. Grund: Für mehr Sicherheitsregeln, die ich in ufw geschrieben habe, konnte ich nicht verhindern, dass bei den Tests meiner Firewall sowohl über das Web als auch mit denen, die ich mit nmap durchgeführt habe, Dienste wie avahi-daemon und exim4 offen und nur angezeigt werden Ein "Stealth" -Angriff reichte aus, um die kleinsten Merkmale meines Systems, Kernels und der von ihm ausgeführten Dienste zu kennen, was mir mit Firehol oder Arnos Firewall nicht passiert ist.
Nun, ich weiß nichts über dich, aber wie ich oben geschrieben habe, benutze ich Xubuntu und meine Firewall geht mit GUFW und ich habe ALLE Tests des Links, den der Autor gesetzt hat, ohne Probleme bestanden. Alles Heimlichkeit. Nichts offen. Nach meiner Erfahrung ufw (und daher gufw) sind sie großartig für mich. Ich bin nicht kritisch gegenüber der Verwendung anderer Firewall-Steuerungsmodi, aber gufw funktioniert einwandfrei und liefert hervorragende Sicherheitsergebnisse.
Wenn Sie Tests haben, von denen Sie glauben, dass sie Schwachstellen in meinem System auslösen können, sagen Sie mir, um welche es sich handelt, und ich werde sie hier gerne ausführen und Ihnen die Ergebnisse mitteilen.
Unten kommentiere ich etwas zum Thema ufw, wo ich sage, dass der Fehler, den ich 2008 mit Ubuntu 8.04 Hardy Heron gesehen habe. Was haben sie bereits korrigiert? Das wahrscheinlichste ist, dass es so ist, also gibt es keinen Grund zur Sorge, aber trotzdem bedeutet das nicht, dass der Fehler da war und ich konnte es beweisen, obwohl es keine schlechte Sache war zu sterben, habe ich nur die Dämonen avahi-daemon und exim4 gestoppt und bereits Problem gelöst. Das Seltsamste von allem ist, dass nur diese beiden Prozesse das Problem hatten.
Ich erwähnte die Tatsache als persönliche Anekdote und dachte genauso, als ich sagte: «Ich überlege ...»
Grüße 🙂
+1
@ Yukiteru: Hast du es von deinem eigenen Computer aus versucht? Wenn Sie von Ihrem PC aus suchen, können Sie normalerweise auf den X-Service-Port zugreifen, da der blockierte Datenverkehr der des Netzwerks und nicht des lokalen Hosts ist:
http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
https://answers.launchpad.net/gui-ufw/+question/194272
Wenn nicht, melden Sie bitte einen Fehler 🙂
Gruß
Von einem anderen Computer, der im Fall von nmap ein Lan-Netzwerk verwendet, und über das Web über diese Seite https://www.grc.com/x/ne.dll?bh0bkyd2Bei Verwendung der Option für benutzerdefinierte Ports waren sich beide einig, dass avahi und exim4 vom Netz abhören, obwohl die Blockierung von ufw konfiguriert war.
Dieses kleine Detail von avahi-daemon und exim4 habe ich gelöst, indem ich einfach die Dienste deaktiviert habe und das war's ... Ich habe damals keinen Fehler gemeldet, und ich denke, es macht jetzt keinen Sinn, es zu tun, weil das so ist war 2008 mit Hardy.
2008 war vor 5 Jahren; Von Hardy Heron bis Raring Ringtail gibt es 10 * Buntus. Der gleiche Test auf meinem Xubuntu, der gestern durchgeführt und heute (August 2013) wiederholt wurde, ist in allem perfekt. Und ich benutze nur UFW.
Ich wiederhole: Haben Sie zusätzliche Tests durchzuführen? Ich mache es gerne und berichte, was von dieser Seite kommt.
Führen Sie mit nmap einen SYN- und IDLE-Scan Ihres PCs durch, um eine Vorstellung davon zu erhalten, wie sicher Ihr System ist.
Der nmap-Mann hat mehr als 3000 Zeilen. Wenn Sie mir die Befehle geben, die ich gerne ausführen soll, werde ich es tun und das Ergebnis melden.
Hmm, ich wusste nichts über die 3000 Manpages für nmap. Aber Zenmap ist eine Hilfe, um das zu tun, was ich Ihnen sage. Es ist ein grafisches Front-End für nmap, aber die Option für SYN-Scan mit nmap ist -sS, während die Option für Leerlauf-Scan -sI ist, aber der genaue Befehl Ich werde sein.
Führen Sie den Scan von einem anderen Computer aus, der mit Ubuntu auf die IP Ihres Computers zeigt, und nicht von Ihrem eigenen PC aus, da dies nicht der Fall ist.
LOL !! Mein Fehler über 3000 Seiten, als sie Zeilen waren 😛
Ich weiß es nicht, aber ich denke, dass eine grafische Benutzeroberfläche für die Verwaltung der Firewall in GNU / Linux etwas umsichtig wäre und nicht alles wie in Ubuntu oder alles, was in Fedora behandelt wird, offen lässt. Sie sollten ein gutes xD sein oder etwas, um die verdammten Killer-Alternativen xD hjahjahjaja zu konfigurieren Es hat wenig, dass ich mit ihnen und dem offenen JDK kämpfe, aber am Ende muss man auch das Prinzip des Kusses beibehalten
Dank all der Stolpersteine, die in der Vergangenheit mit iptables passiert sind, kann ich heute niverl raw verstehen, dh direkt mit ihm sprechen, wie es aus der Fabrik kommt.
Und es ist nicht so kompliziert, es ist sehr leicht zu lernen.
Wenn der Autor des Beitrags es mir erlaubt, werde ich einen Auszug des Firewall-Skripts veröffentlichen, das ich derzeit verwende.
## Regeln reinigen
iptables-F
iptables-X
iptables-Z
iptables -t nat -F
## Standardrichtlinie festlegen: DROP
iptables -P EINGABETROPFEN
iptables -P AUSGABE DROP
iptables -P FORWARD DROP
# Arbeiten Sie ohne Einschränkungen auf localhost
iptables -A INPUT -i lo -j ACCEPT
iptables -A AUSGABE -o lo -j AKZEPTIEREN
# Lassen Sie den Computer ins Internet gehen
iptables -A INPUT -p tcp -m tcp –sport 80 -m conntrack –ctstate RELATED, ESTABLISHED -j ACCEPT
iptables -A AUSGABE -p tcp -m tcp –dport 80 -j AKZEPTIEREN
# Schon auch um Bahnen zu sichern
iptables -A INPUT -p tcp -m tcp –sport 443 -m conntrack –ctstate RELATED, ESTABLISHED -j ACCEPT
iptables -A AUSGABE -p tcp -m tcp –dport 443 -j AKZEPTIEREN
# Ping von innen nach außen zulassen
iptables -A OUTPUT -p icmp –icmp-Typ Echo-Anfrage -j ACCEPT
iptables -A INPUT -p icmp –icmp-Typ Echo-Antwort -j ACCEPT
# Schutz für SSH
#iptables -I INPUT -p tcp –dport 22 -m conntrack –ctstate NEU -m Limit –limit 30 / Minute –limit-Burst 5 -m Kommentar –Kommentar "SSH-kick" -j AKZEPTIEREN
#iptables -A INPUT -p tcp -m tcp –dport 22 -j LOG –log-Präfix "SSH ACCESS ATTEMPT:" –log-Level 4
#iptables -A INPUT -p tcp -m tcp –dport 22 -j DROP
# Regeln für amule, um ausgehende und eingehende Verbindungen am Port zuzulassen
iptables -A EINGABE -p tcp -m tcp –dport 16420 -m conntrack –ctstate NEU -m Kommentar –Kommentar "aMule" -j AKZEPTIEREN
iptables -A OUTPUT -p tcp -m tcp –sport 16420 -m conntrack –ctstate RELATED, ESTABLISHED -m Kommentar –Kommentar "aMule" -j AKZEPTIEREN
iptables -A INPUT -p udp –dport 9995 -m Kommentar –Kommentar "aMule" -j AKZEPTIEREN
iptables -A OUTPUT -p udp –sport 9995 -j AKZEPTIEREN
iptables -A INPUT -p udp –dport 16423 -j ACCEPT
iptables -A OUTPUT -p udp –sport 16423 -j AKZEPTIEREN
Nun eine kleine Erklärung. Wie Sie sehen können, gibt es standardmäßig die Regeln mit der DROP-Richtlinie. Nichts verlässt und betritt das Team, ohne dass Sie es ihnen mitteilen.
Anschließend werden die Grundlagen, der Localhost und die Navigation zum Netzwerk der Netzwerke übergeben.
Sie können sehen, dass es auch Regeln für ssh und amule gibt. Wenn sie gut aussehen, wie sie gemacht werden, können sie die anderen Regeln festlegen, die sie wollen.
Der Trick besteht darin, die Struktur der Regeln zu sehen und auf einen bestimmten Port- oder Protokolltyp anzuwenden, sei es udp oder tcp.
Ich hoffe du kannst das verstehen, was ich gerade hier gepostet habe.
Du solltest einen Beitrag schreiben, der es erklärt - wäre großartig.
Ich habe eine Frage. Für den Fall, dass Sie http- und https-Verbindungen ablehnen möchten, habe ich Folgendes angegeben:
Server "http https" fallen lassen?
Und so weiter mit jedem Service?
dank