सबसे पहले, सभी क्रेडिट जाते हैं @YukiteruAmano, क्योंकि यह पोस्ट पर आधारित है ट्यूटोरियल आपने मंच पर पोस्ट किया। अंतर यह है कि मैं ध्यान केंद्रित करने जा रहा हूं मेहराब, हालांकि यह संभवतः अन्य डिस्ट्रोस के आधार पर काम करेगा systemd.
फायरहोल क्या है?
फायरहोल, एक छोटा अनुप्रयोग है जो हमें कर्नेल और उसके टूल में एकीकृत फ़ायरवॉल को प्रबंधित करने में मदद करता है iptables। फायरहॉल में एक ग्राफिकल इंटरफ़ेस का अभाव है, सभी कॉन्फ़िगरेशन पाठ फ़ाइलों के माध्यम से किया जाना चाहिए, लेकिन इसके बावजूद, कॉन्फ़िगरेशन नौसिखिए उपयोगकर्ताओं के लिए अभी भी सरल है, या उन्नत विकल्पों की तलाश करने वालों के लिए शक्तिशाली है। फायरहॉल जो भी करता है वह सभी संभव के रूप में iptables नियमों के निर्माण को सरल करता है और हमारे सिस्टम के लिए एक अच्छा फ़ायरवॉल सक्षम करता है।
स्थापना और विन्यास
फायरहोल आधिकारिक आर्क रिपॉजिटरी में नहीं है, इसलिए हम इसका उल्लेख करेंगे AUR.
yaourt -S firehol
फिर हम कॉन्फ़िगरेशन फ़ाइल पर जाते हैं।
sudo nano /etc/firehol/firehol.conf
और हम वहां नियम जोड़ते हैं, आप उपयोग कर सकते हैं तुम हो.
प्रत्येक स्टार्टअप के लिए फायरहोल को सक्रिय रखें। सिस्टमैड के साथ बहुत सरल।
sudo systemctl enable firehol
हमने फायरहोल शुरू किया।
sudo systemctl start firehol
अंत में हम सत्यापित करते हैं कि iptables नियम बनाए गए हैं और सही तरीके से लोड किए गए हैं।
sudo iptables -L
IPv6 को अक्षम करें
जैसे कि फायरहोल संभालती नहीं है ip6टेबल्स और चूंकि हमारे अधिकांश कनेक्शन के लिए समर्थन नहीं है IPv6, मेरी सिफारिश इसे निष्क्रिय करने की है।
En मेहराब हम जोड़ते हैं ipv6.disable = 1 / etc / default / grub फ़ाइल में कर्नेल लाइन के लिए
...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...
अब हम पुनः निर्माण करते हैं ग्रब.cfg:
sudo grub-mkconfig -o /boot/grub/grub.cfg
En डेबियन पर्याप्त साथ:
sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf
26 टिप्पणियाँ, तुम्हारा छोड़ दो
मुझे समझ नहीं आता। क्या आप ट्यूटोरियल का पालन करते हैं और आपके पास पहले से ही फ़ायरवॉल चल रहा है और सभी कनेक्शनों को अवरुद्ध कर दिया गया है? एक और बात आर्क के लिए एक ट्यूटोरियल जटिल है उदाहरण के लिए मैंने कभी सूडो या यॉटो फायरवॉल का उपयोग नहीं किया है। हालांकि यह अंडरस्टूड है। या हो सकता है कि कोई नया फिर से लिखता है और उसे एक त्रुटि मिलेगी। मंज़रो के लिए यह अधिक सही है।
जैसा कि आप कहते हैं @felipe, ट्यूटोरियल का अनुसरण करते हुए /etc/firehol/firehol.conf में पेस्ट में @cookie द्वारा दिए गए नियमों को दर्ज करें, आपके पास पहले से ही एक बुनियादी स्तर पर सिस्टम की सुरक्षा के लिए एक सरल फ़ायरवॉल होगा। यह कॉन्फ़िगरेशन किसी भी डिस्ट्रो के लिए काम करता है जहां आप फायरहोल लगा सकते हैं, प्रत्येक डिस्ट्रो की ख़ासियत के साथ यह अलग-अलग तरीकों से अपनी सेवाएं संभालता है (सिबियनविट के माध्यम से डेबियन, सिस्टम के साथ आर्क) और स्थापना के लिए, हर कोई जानता है कि उनके पास आर्क में क्या होना चाहिए डेब में AUR और येरोच रेपो का उपयोग करें, आधिकारिक आपके लिए पर्याप्त हैं, और इसलिए कई अन्य में, आपको बस रिपॉजिटरी में थोड़ा खोज करना होगा और इंस्टॉलेशन कमांड को अनुकूलित करना होगा।
मुझे लगता है कि युकितु ने पहले ही आपके संदेह को स्पष्ट कर दिया है।
अब, sudo और yaourt के बारे में, अपने हिस्से के लिए मैं sudo को समस्या नहीं मानता, आपको बस यह देखना होगा कि जब आप Arch के बेस सिस्टम को इंस्टॉल करते हैं तो यह डिफ़ॉल्ट रूप से आता है; और यॉटो वैकल्पिक है, आप टारबॉल डाउनलोड कर सकते हैं, इसे अनज़िप कर सकते हैं और मेकपैक -सी के साथ इंस्टॉल कर सकते हैं।
धन्यवाद, मैं ध्यान देता हूं।
कुछ ऐसा जिसे मैं पोस्ट में जोड़ना भूल गया, लेकिन मैं इसे संपादित नहीं कर सकता।
https://www.grc.com/x/ne.dll?bh0bkyd2
उस साइट पर आप अपने फ़ायरवॉल का परीक्षण कर सकते हैं test (फिर से युकटरू को धन्यवाद)।
मैंने अपने Xubuntu पर उन परीक्षणों को चलाया और सब कुछ सही निकला! क्या लिनक्स का उपयोग करने के लिए एक खुशी !!! 😀
वह सब बहुत अच्छा है ... लेकिन सबसे महत्वपूर्ण बात याद आ रही है; आपको यह समझाना होगा कि नियम कैसे बनाए जाते हैं !!, उनका क्या अर्थ है, नए कैसे बनाए जाएं ... यदि यह नहीं समझाया गया है, तो आप जो कहते हैं वह बहुत कम उपयोग में है: - /
नए नियम बनाना सरल है, कस्टम नियमों को बनाने के मामले में फायरहोल डॉक्यूमेंट स्पष्ट और बहुत सटीक है, इसलिए थोड़ा पढ़ना आपके लिए अपनी आवश्यकताओं को अनुकूलित और अनुकूलित करना आसान होगा।
मुझे लगता है कि मंच में मेरी तरह @cookie पोस्ट के लिए प्रारंभिक कारण, उपयोगकर्ताओं और पाठकों को एक उपकरण देना था जो उन्हें अपने कंप्यूटर को एक बुनियादी स्तर पर सभी को थोड़ी अधिक सुरक्षा देने की अनुमति देता है। बाकी आपको अपनी आवश्यकताओं के अनुकूल बनाने के लिए छोड़ दिया गया है।
यदि आप युकटरू ट्यूटोरियल के लिंक को पढ़ते हैं, तो आप महसूस करेंगे कि एप्लिकेशन और मूल फ़ायरवॉल के कॉन्फ़िगरेशन को सार्वजनिक करना है। मैंने स्पष्ट किया कि मेरी पोस्ट केवल आर्क पर केंद्रित कॉपी थी।
और यह humans मनुष्यों के लिए ’है? o_O
आर्च पर Gufw का प्रयास करें: https://aur.archlinux.org/packages/gufw/ >> स्टेटस पर क्लिक करें। या ufw यदि आप टर्मिनल पसंद करते हैं: sudo ufw सक्षम करें
यदि आप एक सामान्य उपयोगकर्ता हैं तो आप पहले से ही सुरक्षित हैं। वह 'मनुष्यों के लिए ’है
फायरहोल वास्तव में IPTables के लिए एक फ्रंट-एंड है और अगर हम इसकी तुलना बाद से करते हैं, तो यह काफी मानवीय है
मुझे लगता है कि सुरक्षा के मामले में ufw (Gufw सिर्फ इसका एक इंटरफेस है) एक बुरा विकल्प है। कारण: ufw में लिखे गए अधिक सुरक्षा नियमों के कारण, मैं यह नहीं रोक सका कि मैं अपने फ़ायरवॉल के परीक्षणों में वेब के माध्यम से और जिन्हें मैंने नैम्प का उपयोग करके किया है, अव्ही-डेमन और एक्सिम 4 जैसी सेवाएँ खुली दिखाई देंगी, और केवल एक "स्टील्थ" हमला पर्याप्त था मेरे सिस्टम, कर्नेल और सेवाओं की सबसे छोटी विशेषताओं को जानने के लिए, जो कि चलीं, कुछ ऐसा जो फायरहोल या अर्नो के फ़ायरवॉल का उपयोग करके मेरे साथ नहीं हुआ है।
खैर, मैं आपके बारे में नहीं जानता, लेकिन जैसा कि मैंने ऊपर लिखा था, मैं Xubuntu का उपयोग करता हूं और मेरा फ़ायरवॉल GUFW के साथ जाता है और मैंने लिंक के सभी परीक्षण पारित कर दिए जो लेखक ने समस्याओं के बिना डाले। सब चोरी से। कुछ भी नहीं खुला। इसलिए, मेरे अनुभव में ufw (और इसलिए gufw) वे मेरे लिए महान हैं। मैं अन्य फ़ायरवॉल नियंत्रण मोड का उपयोग करने के लिए महत्वपूर्ण नहीं हूं, लेकिन gufw निर्दोष रूप से काम करता है और महान सुरक्षा परिणाम देता है।
यदि आपके पास कोई परीक्षण है जो आपको लगता है कि मेरे सिस्टम में कमजोरियों को फेंक सकता है, तो मुझे बताएं कि वे क्या हैं और मैं ख़ुशी से उन्हें यहां चलाऊंगा और आपको परिणाम बताऊंगा।
नीचे मैं ufw के विषय पर कुछ टिप्पणी करता हूं, जहां मैं कहता हूं कि त्रुटि मैंने 2008 में देखी, उबंटू 8.04 हार्डी हेरॉन का उपयोग करते हुए। उन्होंने पहले ही क्या सुधारा है? सबसे अधिक संभावना यह है कि यह ऐसा है, इसलिए चिंता का कोई कारण नहीं है, लेकिन फिर भी, इसका मतलब यह नहीं है कि बग वहां था और मैं इसका सबूत दे सकता था, हालांकि यह मरने के लिए कोई बुरी बात नहीं थी, मैंने केवल रोका राक्षसों avahi-daemon और exim4, और समस्या पहले से ही हल। सब से अजीब बात यह है कि केवल उन दो प्रक्रियाओं में समस्या थी।
मैंने इस तथ्य का उल्लेख एक व्यक्तिगत उपाख्यान के रूप में किया, और मैंने उसी तरह से सोचा जब मैंने कहा: «मुझे लगता है ...»
अभिवादन 🙂
+1
@Yukiteru: क्या आपने इसे अपने कंप्यूटर से आज़माया है? यदि आप अपने पीसी से देख रहे हैं, तो यह सामान्य है कि आप एक्स सर्विस पोर्ट को एक्सेस कर सकते हैं, क्योंकि जो ट्रैफ़िक अवरुद्ध है, वह नेटवर्क का है, लोकलहोस्ट का नहीं:
http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
https://answers.launchpad.net/gui-ufw/+question/194272
यदि नहीं, तो कृपया बग 🙂 रिपोर्ट करें
अभिवादन 🙂
एक अन्य कंप्यूटर से nmap के मामले में एक लैन नेटवर्क का उपयोग करके, और इस पृष्ठ का उपयोग करके वेब के माध्यम से https://www.grc.com/x/ne.dll?bh0bkyd2कस्टम पोर्ट्स विकल्प का उपयोग करते हुए, वे दोनों सहमत थे कि अवही और एक्सिम 4 नेट से सुन रहे थे, भले ही ufw उनके अवरुद्ध कॉन्फ़िगर किया गया था।
अवधी-डेमॉन और एक्सिम 4 के उस छोटे से विवरण को मैंने बस सेवाओं को अक्षम करके हल किया और यह बात है ... मैंने उस समय बग की सूचना नहीं दी थी, और मुझे लगता है कि अब इसे करने का कोई मतलब नहीं है, क्योंकि वह 2008 में हार्डी का उपयोग कर रहा था।
2008 5 साल पहले था; हार्डी हेरन से लेकर रेयरिंग रिंगटोन तक 10 * बंट्स हैं। कल और बार-बार (अगस्त 2013) में किए गए मेरे जुबांटु पर वही परीक्षण, सब कुछ में सही देता है। और मैं केवल यूएफडब्ल्यू का उपयोग करता हूं।
मैं दोहराता हूं: क्या आपके पास प्रदर्शन करने के लिए कोई अतिरिक्त परीक्षण है? खुशी के साथ मैं इसे करता हूं और रिपोर्ट करता हूं कि इस पक्ष से क्या निकलता है।
अपने पीसी का एक SYN और IDLE स्कैन करें, जो कि आपके सिस्टम को सुरक्षित रखने के बारे में जानकारी देगा।
नैप्मेंट मैन के पास 3000 से अधिक लाइनें हैं। यदि आप मुझे खुशी के साथ निष्पादित करने की आज्ञा देते हैं, तो मैं इसे करूंगा और मैं परिणाम की रिपोर्ट करूंगा।
हम्म मैं नप के लिए 3000 आदमी पृष्ठों के बारे में नहीं जानता था। लेकिन जेनमैप एक मदद करने के लिए है जो मैं आपको बताता हूं, यह नैम्प के लिए एक ग्राफिकल फ्रंट-एंड है, लेकिन फिर भी नैप के साथ SYN स्कैन का विकल्प -sS है, जबकि निष्क्रिय स्कैन के लिए विकल्प -sI है, लेकिन सटीक कमांड I होगा।
Ubuntu के साथ अपनी मशीन के आईपी की ओर इशारा करते हुए दूसरी मशीन से स्कैन करें, इसे अपने पीसी से न करें, क्योंकि यह काम नहीं करता है।
जबरदस्त हंसी!! 3000 पृष्ठों के बारे में मेरी गलती, जब वे लाइनें थीं,
मुझे नहीं पता लेकिन मुझे लगता है कि GNU / Linux में फ़ायरवॉल को प्रबंधित करने के लिए एक GUI कुछ विवेकपूर्ण होगा और ubuntu या सब कुछ जो फेडोरा में कवर किया गया है, के रूप में सब कुछ छोड़ने के लिए नहीं, आपको अच्छा xD होना चाहिए, या कुछ और कॉन्फ़िगर लानत हत्यारा विकल्प hjahjahjaja xD यह थोड़ा कि मैं उन्हें और खुले JDK के साथ लड़ने लेकिन अंत में आप भी चुंबन के सिद्धांत रखने के लिए है
सभी स्टंबलिंग ब्लॉक्स के लिए धन्यवाद, जो कि iptables के साथ अतीत में हुआ था, आज मैं निवल को कच्चे समझ सकता हूं, अर्थात, कारखाने से आने पर सीधे उससे बात कर सकता हूं।
और यह कुछ ऐसा नहीं है जो जटिल है, यह सीखना बहुत आसान है।
यदि पोस्ट का लेखक मुझे अनुमति देता है, तो मैं वर्तमान में उपयोग की जाने वाली फ़ायरवॉल स्क्रिप्ट का एक अंश पोस्ट करूँगा।
## नियम सफाई
iptables के एफ
iptables के एक्स
iptables -Z
आईपीटेबल्स-टी नेट-एफ
## डिफ़ॉल्ट नीति सेट करें: DROP
iptables -P INPUT DROP
iptables -P आउटपुट ड्रॉप
आईप्टेबल्स -पी फॉरवर्ड ड्रॉप
# सीमाओं के बिना लोकलहोस्ट पर काम करना
iptables-INPUT -i lo -j ACCEPT
iptables-OUTPUT -o lo -j ACCEPT
# मशीन को वेब पर जाने की अनुमति दें
iptables-INPUT -p tcp -m tcp –sport 80 -m conntrack –ctstate संबंधित, ESTABLISHED -j ACCEPT
iptables-OUTPUT -p tcp -m tcp –dport 80 -j ACCEPT
# पहले से ही वेबसाइटों को सुरक्षित करने के लिए भी
iptables-INPUT -p tcp -m tcp –sport 443 -m conntrack –ctstate संबंधित, ESTABLISHED -j ACCEPT
iptables-OUTPUT -p tcp -m tcp –dport 443 -j ACCEPT
# अंदर से बाहर पिंग की अनुमति दें
iptables-OUTPUT -p icmp –icmp- प्रकार इको-अनुरोध -j ACCEPT
iptables-INPUT -p icmp -icmp-type इको-रिप्लाई -j ACCEPT
# SSH के लिए सुरक्षा
#iptables -I INPUT -p tcp –dport 22 -m conntrack –ctstate NEW -m limit -limit 30 / मिनट -लमिट-फट 5 -m टिप्पणी "SSH- किक" -j ACTPT
#iptables-INPUT -p tcp -m tcp –dport 22 -j Log -log-उपसर्ग "SSH ACCESS ATTEMPT:" –log-level 4
#iptables-INPUT -p tcp -m tcp –dport 22 -j DROP
# बंदरगाह पर आउटगोइंग और इनकमिंग कनेक्शन की अनुमति के लिए नियम
iptables-INPUT -p tcp -m tcp –dport 16420 -m conntrack –ctstate NEW -m comment -comment "aMule" -j ACCEPT
iptables-OUTPUT -p tcp -m tcp –sport 16420 -m conntrack -ctstate संबंधित, संबंधित टिप्पणी -mment "aMule" -j ACCEPT
iptables-INPUT -p udp -dport 9995 -m comment -comment "aMule" -j ACSTPT
iptables-OUTPUT -p udp -sport 9995 -j ACCEPT
iptables-INPUT -p udp -dport 16423 -j ACCEPT
iptables-OUTPUT -p udp -sport 16423 -j ACCEPT
अब थोड़ा स्पष्टीकरण। जैसा कि आप देख सकते हैं, डिफ़ॉल्ट रूप से DROP नीति के साथ नियम हैं, कुछ भी नहीं छोड़ता है और आपको बताए बिना टीम में प्रवेश करता है।
फिर, मूल बातें पारित की जाती हैं, लोकलहोस्ट और नेटवर्क के नेटवर्क पर नेविगेशन।
आप देख सकते हैं कि ssh और amule के भी नियम हैं। यदि वे अच्छी तरह से देखते हैं कि उन्हें कैसे किया जाता है, तो वे दूसरे नियम बना सकते हैं जो वे चाहते हैं।
चाल नियमों की संरचना को देखने और एक विशिष्ट प्रकार के पोर्ट या प्रोटोकॉल पर लागू होती है, चाहे वह udp या tcp हो।
मुझे आशा है कि आप इसे समझ सकते हैं कि मैंने अभी यहां पोस्ट किया है।
आपको यह बताते हुए एक पोस्ट करना चाहिए कि यह बहुत अच्छा होगा।
मेरा एक सवाल है। यदि आप http और https कनेक्शन अस्वीकार करना चाहते हैं, तो:
सर्वर "http https" ड्रॉप?
और इतने पर किसी सेवा के साथ?
धन्यवाद