Kõigepealt lähevad kõik ainepunktid @YukiteruAmano, sest see postitus põhineb juhendaja postitasite foorumisse. Erinevus seisneb selles, et keskendun sellele Kaar, kuigi see põhineb tõenäoliselt teiste distrode puhul systemd.
Mis on Firehol?
firehol, on väike rakendus, mis aitab meil hallata kernelisse integreeritud tulemüüri ja selle tööriista iptables. Firehol puudub graafiline liides, kõik seadistused tuleb teha tekstifailide kaudu, kuid hoolimata sellest on seadistamine algajatele kasutajatele siiski lihtne või edasijõudnutele mõeldud võimaluste jaoks võimas. Firehol teeb lihtsaks iptables-reeglite loomist nii palju kui võimalik ja võimaldab meie süsteemil head tulemüüri.
Paigaldamine ja seadistamine
Fireholi ei ole Archi ametlikes hoidlates, seega me viitame sellele Aur.
yaourt -S firehol
Seejärel läheme konfiguratsioonifaili.
sudo nano /etc/firehol/firehol.conf
Ja lisame sinna reeglid, mida saate kasutada estas.
Jätkake iga käivitamise korral Fireholi aktiveerimist. Süsteemiga üsna lihtne.
sudo systemctl enable firehol
Alustasime Fireholi.
sudo systemctl start firehol
Lõpuks kontrollime, kas iptables reeglid on loodud ja õigesti laaditud.
sudo iptables -L
Keela IPv6
Kuna firehol ei saa hakkama ip6tabelid ja kuna enamikul meie ühendustest pole tuge IPv6, minu soovitus on see keelata.
En Kaar lisame ipv6.disable = 1 kerneli reale failis / etc / default / grub
...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...
Nüüd taastame grub.cfg:
sudo grub-mkconfig -o /boot/grub/grub.cfg
En Debian piisavalt koos:
sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf
Ma ei saa aru. Kas järgite õpetust ja teil on juba tulemüür töötav ja blokeeritud kõik ühendused? Teine asi: Archi õpetus on keeruline, näiteks pole ma kunagi kasutanud sudo ega yaourti tulemüüri. Kuid sellest on aru saadud. Või äkki kirjutab keegi uus yaourti ja saab vea. Manjaro jaoks on see õigem.
Nagu te ütlete @felipe, järgides õpetust ja sisestades /etc/firehol/firehol.conf faili pastas @cookie antud reeglid, on teil juba lihtne tulemüür süsteemi kaitsmiseks põhitasandil. See konfiguratsioon töötab kõigi distributsioonide puhul, kuhu saab panna Fireholi, kusjuures iga distroo eripära käsitleb ta oma teenuseid erineval viisil (Debian sysviniti kaudu, Arch süsteemiga) ja installimise osas teavad kõik, mis neil on, Archis peate kasuta AUR- ja yaourt-reposid, Debianis piisab ametlikest ja nii tuleb paljudes teistes lihtsalt hoidlatest veidi otsida ja installikäsk kohandada.
Ma arvan, et Yukiteru on teie kahtlused juba selgeks teinud.
Nüüd, sudo ja yaourti kohta, ei pea ma omalt poolt sudot probleemiks, peate lihtsalt Archi põhisüsteemi installimisel nägema, et see tuleb vaikimisi; ja yaourt on valikuline, saate alla laadida tarballi, pakkida lahti ja installida failiga makepkg -si.
aitäh, võtan teadmiseks.
Midagi, mille unustasin postitusele lisada, kuid ma ei saa seda muuta.
https://www.grc.com/x/ne.dll?bh0bkyd2
Sellel saidil saate testida oma tulemüüri 😉 (aitäh veelkord Yukiterule).
Jooksin need testid oma Xubuntus ja kõik tuli ideaalselt välja! Milline rõõm Linuxi kasutada !!! 😀
Kõik see on väga hea ... kuid kõige tähtsam on puudu; Peate selgitama, kuidas reeglid luuakse !!, mida need tähendavad, kuidas uusi luua ... Kui seda ei selgitata, on teie pakutavast vähe kasu: - /
Uute reeglite loomine on lihtne, fireholi dokumentatsioon on kohandatud reeglite loomisel selge ja väga täpne, nii et natuke lugedes on teil seda hõlpsam kohandada ja oma vajadustele kohandada.
Ma arvan, et minu foorumipõhise @cookie postituse esialgne põhjus oli anda kasutajatele ja lugejatele tööriist, mis võimaldab neil oma arvutitele veidi rohkem turvalisust pakkuda, seda kõike põhitasemel. Ülejäänud osa jääb teie jaoks kohanemiseks oma vajadustele vastavaks.
Kui loete linki Yukiteru õpetusele, mõistate, et kavatsetakse avaldada rakendus ja põhitulemüüri konfiguratsioon. Täpsustasin, et minu postitus oli ainult Archile keskendunud koopia.
Ja see on "inimeste jaoks"? o_O
Proovige Gufwit Archis: https://aur.archlinux.org/packages/gufw/ >> Klõpsake olekut. Või ufw, kui eelistate terminali: sudo ufw enable
Kui olete tavaline kasutaja, olete juba kaitstud. See on "inimeste jaoks" 🙂
Firehol on tõesti IPTable-ide eesliides ja kui seda viimastega võrrelda, on see üsna inimlik 😀
Pean ufw-d (Gufw on lihtsalt selle liides) turvalisuse mõttes halvaks võimaluseks. Põhjus: rohkemate turvareeglite jaoks, mille kirjutasin ufw-sse, ei saanud ma takistada, et nii tulemüüri kui ka Interneti kaudu läbi viidud tulemüüri testides kuvatakse sellised teenused nagu avahi-daemon ja exim4 avatud ning ainult "Stealth" rünnak oli piisav, et teada saada minu süsteemi, kerneli ja teenuste väikseimaid omadusi, mida see käivitas, mida pole minuga juhtunud fireholi või arno tulemüüri kasutades.
Noh, ma ei tea sinust, aga nagu ma eespool kirjutasin, kasutan Xubuntut ja minu tulemüür sobib GUFW-ga ning ma läbisin KÕIK lingi testid, mille autor probleemideta pani. Kõik varjatud. Midagi pole avatud. Nii et minu kogemuse järgi on ufw (ja seega ka gufw) minu jaoks suurepärased. Ma ei ole teiste tulemüüri juhtimisrežiimide kasutamise suhtes kriitiline, kuid gufw töötab laitmatult ja annab suurepäraseid turvatulemusi.
Kui teil on teste, mis teie arvates võivad mu süsteemis haavatavusi paisata, öelge mulle, mis need on ja ma käivitan need hea meelega siin ja annan teile tulemustest teada.
Allpool kommenteerin midagi ufw teemal, kus ütlen, et viga, mida nägin 2008. aastal, kasutades Ubuntu 8.04 Hardy Heronit. Mida nad on juba parandanud? Kõige tõenäolisem on see, et see on nii, nii et muretsemiseks pole põhjust, kuid isegi nii ei tähenda see, et viga oli olemas, ja ma võisin seda tõestada, kuigi see ei olnud halb asi surra, ma ainult peatus deemonid avahi-daemon ja exim4 ning probleem on juba lahendatud. Kõige kummalisem on see, et probleem oli ainult neil kahel protsessil.
Mainisin fakti isikliku anekdoodina ja mõtlesin samamoodi, kui ütlesin: «Ma arvan ...»
Tervitused 🙂
+1
@Yukiteru: Kas proovisite seda oma arvutist? Kui otsite arvutist, on normaalne, et pääsete juurde X teenusepordile, kuna blokeeritud liiklus on võrgu, mitte localhost:
http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
https://answers.launchpad.net/gui-ufw/+question/194272
Kui ei, siis teatage veast 🙂
Tervitused 🙂
Teisest arvutist, mis kasutab nmapi korral LAN-võrku, ja veebi kaudu, kasutades seda lehte https://www.grc.com/x/ne.dll?bh0bkyd2Kasutades suvandit kohandatud pordid, nõustusid mõlemad, et avahi ja exim4 kuulasid netist, kuigi ufw oli blokeerimise konfigureerinud.
See väike avahi-deemoni ja exim4 detaili lahendasin selle lihtsalt teenuste keelamisega ja see on kõik ... Ma ei teatanud tol ajal veast ja arvan, et pole mõtet seda nüüd teha, sest see oli tagasi 2008. aastal, kasutades Hardyt.
2008 oli 5 aastat tagasi; Hardy Heronist kuni Raring Ringtailini on 10 * bunti. See sama test minu Xubuntul, tehtud eile ja korratud täna (august 2013), annab kõiges täiusliku. Ja ma kasutan ainult UFW-d.
Kordan: kas teil on veel täiendavaid katseid teha? Teen seda hea meelega ja annan teada, mis sellest küljest välja tuleb.
Tehke oma arvuti SYN ja IDLE skannimine, kasutades nmap-i, mis annab teile aimu, kui turvaline teie süsteem on.
Nmap-mehel on üle 3000 joone. Kui annate mulle käske, mida peaksin mõnuga täitma, siis täidan seda ja teatan tulemusest.
Hmm, ma ei teadnud nmap-i 3000-mehelisi lehti. kuid zenmap on abiks selle tegemisel, mida ma teile ütlen, see on nmap-i graafiline esiosa, kuid siiski on nmap-iga SYN-i skannimise võimalus -sS, samas kui tühikäigu võimalus on -sI, kuid täpne käsk I saab.
Tehke skannimine teisest masinast, osutades ubuntuga oma arvuti ip-le, ärge tehke seda oma arvutist, sest see ei toimi nii.
LOL !! Minu viga umbes 3000 lehekülge, kui need olid read 😛
Ma ei tea, kuid ma arvan, et GNU / Linuxis selle tulemüüri haldamiseks mõeldud graafiline kasutajaliides oleks mõnevõrra mõistlik ja ei jätaks kõike katmata nagu ubuntus või kõike kaetud nagu fedoras, peaksite olema hea xD või midagi, mida seadistada neetud tapja alternatiivid xD hjahjahjaja See on vähe, et ma võitlen nende ja avatud jdk-ga, kuid lõpuks peate ka suudluse põhimõtet järgima
Tänu kõigile iptablesiga minevikus juhtunud komistustele saan täna aru, et niverl toores ehk räägin otse temaga, kui see tehasest tuleb.
Ja see pole midagi nii keerulist, seda on väga lihtne õppida.
Kui postituse autor lubab, postitan väljavõtte praegu kasutatavast tulemüüri skriptist.
## Reeglite puhastamine
iptables-F
iptables-X
iptables -Z
iptables -t nat -F
## Määra vaikepoliitika: DROP
Iptable -P sisendi langus
iptables -P VÄLJUNDI LÕPP
iptables -P EDASI DROP
# Kasutage localhost'i piiranguteta
iptables -A SISEND -i lo -j VASTU
iptables -A VÄLJUND -o lo -j VASTU
# Laske masinal veebi minna
iptables -A INPUT -p tcp -m tcp –sport 80 -m conntrack –ctstate SEOTUD, ESITATUD -j ACCEPT
iptables -A VÄLJUND -p tcp -m tcp –port 80 -j VASTU
# Juba ka veebide turvamiseks
iptables -A INPUT -p tcp -m tcp –sport 443 -m conntrack –ctstate SEOTUD, ESITATUD -j ACCEPT
iptables -A VÄLJUND -p tcp -m tcp –port 443 -j VASTU
# Luba pingimine seestpoolt välja
iptables -A VÄLJUND -p icmp –icmp-tüüpi kaja-taotlus -j ACCEPT
iptables -A INPUT -p icmp –icmp-tüüpi kaja-vastus -j ACCEPT
# SSH kaitse
#iptables -I INPUT -p tcp –port 22 -m ühendusraja –riik UUS -m limiit –piirang 30 / minut –piirang-purske 5 -m kommentaar –kommentaar „SSH-kick“ -j VASTU
#iptables -A INPUT -p tcp -m tcp –dport 22 -j LOG –log-prefiks "SSH ACCESS ATTEMPT:" –logitase 4
#iptables -A SISEND -p tcp -m tcp –port 22 -j DROP
# Amule reeglid väljuvate ja sissetulevate ühenduste lubamiseks pordis
iptables -A SISEND -p tcp -m tcp –port 16420 -m conntrack –olukord UUS -m kommentaar –kommentaar "aMule" -j VASTU
iptables -A VÄLJU -p tcp -m tcp –sport 16420 -m conntrack –ctstate SEOTUD, ESITATUD -m kommentaar –kommentaar „aMule” -j VASTU
iptables -A INPUT -p udp –port 9995 -m kommentaar –kommentaar "aMule" -j ACCEPT
iptables -A VÄLJUND -p udp –sport 9995 -j ACCEPT
iptable -A INPUT -p udp -port 16423 -j ACCEPT
iptables -A VÄLJUND -p udp –sport 16423 -j ACCEPT
Nüüd väike selgitus. Nagu näete, on DROP-reeglitega reeglid reeglina olemas, miski ei lahku ja siseneb meeskonda ilma, et te neile seda ütleksite.
Seejärel edastatakse põhitõed, kohalik host ja navigeerimine võrkude võrku.
Näete, et ka ssh ja amule kohta kehtivad reeglid. Kui nad näevad hästi välja, kuidas neil läheb, saavad nad luua muud soovitud reeglid.
Trikk on näha reeglite ülesehitust ja rakendada teatud tüüpi porte või protokolle, olgu see siis udp või tcp.
Loodan, et saate sellest aru, mille ma just siia postitasin.
Peaksite selle selgitamiseks postituse tegema 😉 oleks tore.
Mul on küsimus. Juhul, kui soovite keelduda http- ja https-ühendustest, panin:
serveri "http https" tilk?
Ja nii mis tahes teenuse puhul?
tänan