Prije svega, svi krediti idu na @YukiteruAmano, jer se ovaj post temelji na udžbenik objavili ste na forumu. Razlika je u tome što ću se usredotočiti na Svod, iako će vjerojatno raditi za druge distribucije temeljene na systemd.
Što je Firehol?
Vatreni alkohol, mala je aplikacija koja nam pomaže u upravljanju vatrozidom integriranim u jezgru i njezin alat iptables. Fireholu nedostaje grafičko sučelje, sva konfiguracija mora se obaviti putem tekstualnih datoteka, ali unatoč tome, konfiguracija je i dalje jednostavna za korisnike početnike ili moćna za one koji traže napredne opcije. Sve što Firehol čini je što je više moguće pojednostaviti stvaranje pravila iptables i omogućiti dobar vatrozid za naš sustav.
Instalacija i konfiguracija
Firehol nije u službenim spremištima Arch, pa ćemo se pozvati AUR.
yaourt -S firehol
Zatim idemo na konfiguracijsku datoteku.
sudo nano /etc/firehol/firehol.conf
I tamo dodajemo pravila, možete koristiti estas.
Nastavite aktivirati Firehol za svako pokretanje. Prilično jednostavno sa systemd-om.
sudo systemctl enable firehol
Pokrenuli smo Firehol.
sudo systemctl start firehol
Na kraju provjeravamo jesu li pravila iptables kreirana i učitana ispravno.
sudo iptables -L
Onemogući IPv6
Kao što se firehol ne nosi ip6 tablice a budući da većina naših veza nema podršku za IPv6, moja je preporuka da ga onemogućite.
En Svod mi dodajemo ipv6.disable = 1 na liniju jezgre u datoteci / etc / default / grub
...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...
Sada regeneriramo grub.cfg:
sudo grub-mkconfig -o /boot/grub/grub.cfg
En Debian dosta sa:
sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf
Ne razumijem. Slijedite li upute i već imate pokrenut vatrozid i blokirali sve veze? Još jedna stvar Tutorial za Arch je složen, na primjer, nikada nisam koristio sudo ili yaourt vatrozid. Međutim to se razumije. Ili možda netko novi napiše vašu poruku i dobije pogrešku. Za Manjara je ispravnije.
Dok kažete @felipe, slijedeći vodič i stavljajući u datoteku /etc/firehol/firehol.conf pravila koja daje @cookie u tijestu, već ćete imati jednostavan vatrozid koji štiti sustav na osnovnoj razini. Ova konfiguracija radi za bilo koju distro mrežu u koju možete staviti Firehol, s posebnošću svake distro distribucije koja svoje usluge obrađuje na različite načine (Debian putem sysvinita, Arch sa systemd), a što se tiče instalacije, svi znaju što imaju, u Archu morate koristite AUR i yaourt repo-ove, u Debianu su dovoljni i službeni, pa tako i u mnogim drugima, morate samo malo potražiti u spremištima i prilagoditi naredbu za instalaciju.
Mislim da je Yukiteru već razjasnio vaše sumnje.
Sad, što se tiče sudoa i yarta, sa svoje strane ne smatram sudo problemom, samo morate vidjeti da dolazi po defaultu kada instalirate Archov osnovni sustav; a yaourt nije obavezan, možete preuzeti tarball, raspakirati ga i instalirati pomoću makepkg -si.
hvala, bilježim.
Nešto što sam zaboravio dodati u post, ali to ne mogu urediti.
https://www.grc.com/x/ne.dll?bh0bkyd2
Na toj stranici možete testirati svoj vatrozid 😉 (još jednom hvala Yukiteru).
Provela sam te testove na svom Xubuntuu i sve je ispalo savršeno! Kakav užitak koristiti Linux !!! 😀
Sve je to vrlo dobro ... ali ono najvažnije nedostaje; morate objasniti kako se pravila kreiraju !!, što ona znače, kako stvoriti nova ... Ako to nije objašnjeno, ono što stavite malo koristi: - /
Stvaranje novih pravila je jednostavno, firehol dokumentacija je jasna i vrlo precizna u smislu stvaranja prilagođenih pravila, pa će vam malo čitanja olakšati prilagodbu i prilagodbu vašim potrebama.
Mislim da je početni razlog posta @cookie poput mog na forumu bio pružiti korisnicima i čitateljima alat koji im omogućuje da svojim računalima daju malo više sigurnosti, a sve na osnovnoj razini. Ostalo je prepušteno vama da se prilagodite svojim potrebama.
Ako pročitate vezu na Yukiteruov tutorial, shvatit ćete da je namjera objaviti aplikaciju i konfiguraciju osnovnog vatrozida. Pojasnio sam da je moj post samo kopija usmjerena na Archa.
A ovo je 'za ljude'? o_O
Isprobajte Gufwa na Archu: https://aur.archlinux.org/packages/gufw/ >> Kliknite na Status. Ili ufw ako više volite terminal: sudo ufw enable
Već ste zaštićeni ako ste normalan korisnik. To je "za ljude" 🙂
Firehol je doista prednji kraj za IPTables i ako ga usporedimo s potonjim, sasvim je ljudski 😀
Ufw (Gufw je samo njegovo sučelje) smatram lošom opcijom u sigurnosnom smislu. Razlog: za više sigurnosnih pravila koja sam napisao u ufw, nisam mogao spriječiti da se u testovima vatrozida i putem weba i onima koje sam provodio koristeći nmap usluge poput avahi-daemon i exim4 čine otvorenima, a dovoljan je samo napad "stelta" da znam najmanje karakteristike mog sustava, kernela i usluga koje je pokrenuo, nešto što mi se nije dogodilo koristeći firehol ili arnov vatrozid.
Pa, ne znam za vas, ali kao što sam gore napisao, koristim Xubuntu i vatrozid mi ide s GUFW-om te sam bez problema prošao SVE testove veze koje je autor stavio. Sva krišom. Ništa otvoreno. Dakle, prema mom iskustvu ufw (a time i gufw) oni su mi izvrsni. Nisam kritičan prema korištenju drugih načina upravljanja vatrozidom, ali gufw radi besprijekorno i daje sjajne sigurnosne rezultate.
Ako imate bilo kakve testove za koje mislite da bi mogli stvoriti ranjivosti u mom sustavu, recite mi koje su i rado ću ih pokrenuti ovdje i obavijestiti vas o rezultatima.
U nastavku komentiram nešto na temu ufw, gdje kažem da sam pogrešku vidio 2008. godine, koristeći Ubuntu 8.04 Hardy Heron. Što su već ispravili? Najvjerojatnije je, tako da nema razloga za brigu, ali čak i tako, to ne znači da je greška bila tamo i da sam je mogao pokazati, iako nije bilo loše umrijeti, zaustavio sam samo demone avahi-demon i exim4, i već riješen problem Najčudnije od svega je što su problem imala samo ta dva procesa.
Činjenicu sam spomenuo kao osobnu anegdotu i na isti sam način razmišljao kad sam rekao: «Smatram ...»
Pozdrav 🙂
+1
@Yukiteru: Jeste li to probali sa svog računala? Ako gledate sa svog računala, normalno je da možete pristupiti X servisnom portu, jer je promet koji je blokiran promet mreže, a ne localhost:
http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
https://answers.launchpad.net/gui-ufw/+question/194272
Ako nije, prijavite grešku 🙂
Pozdrav 🙂
S drugog računala koje koristi Lan mrežu u slučaju nmap-a i putem weba pomoću ove stranice https://www.grc.com/x/ne.dll?bh0bkyd2Koristeći opciju prilagođenih priključaka, složili su se da Avahi i exim4 slušaju s mreže iako je ufw konfigurirao njihovo blokiranje.
Taj mali detalj avahi-demona i exim4 riješio sam jednostavnim onemogućavanjem usluga i to je to ... Tada nisam prijavio grešku i mislim da nema smisla to činiti sada, jer to je bilo davne 2008., koristeći Hardy.
2008. je bila prije 5 godina; od Hardy Heron do Raring Ringtail-a ima 10 * buntusa. Isti test na mom Xubuntuu, odrađen jučer i ponovljen danas (kolovoz 2013.) daje savršenstvo u svemu. I koristim samo UFW.
Ponavljam: Imate li kakve dodatne testove za obaviti? Sa zadovoljstvom to radim i izvještavam što proizlazi s ove strane.
Napravite SYN i IDLE skeniranje računala pomoću nmap-a, što će vam dati predodžbu o sigurnosti vašeg sustava.
Nmap man ima više od 3000 linija. Ako mi date naredbe za izvršavanje sa zadovoljstvom, učinit ću to i prijavit ću rezultat.
Hmm, nisam znao za 3000 man stranica za nmap. ali zenmap je pomoć u izvršavanju onoga što vam kažem, to je grafički prednji kraj za nmap, ali još uvijek je opcija za SYN skeniranje s nmap -sS, dok je opcija za skeniranje u praznom hodu -sI, ali točna naredba Ja cu biti.
Skenirajte s drugog stroja ukazujući na ip vašeg računala s ubuntuom, nemojte to raditi sa svog računala, jer to ne funkcionira.
LOL!! Moja greška oko 3000 stranica, kad su to bili redovi 😛
Ne znam, ali mislim da bi GUI za to u GNU / Linuxu za upravljanje vatrozidom bio donekle razborit i ne bi ostavio sve nepokriveno kao u ubuntuu ili sve pokriveno kao u Fedori, trebali biste biti dobar xD ili nešto za konfiguriranje prokletih alternativa ubojici xD hjahjahjaja Malo je toga što se borim s njima i otvorenim jdk-om, ali na kraju također morate zadržati princip poljupca
Zahvaljujući svim spoticanjima koja su se dogodila u prošlosti s iptablesima, danas mogu razumjeti niverl raw, to jest, razgovarati izravno s njim jer dolazi iz tvornice.
I nije nešto toliko komplicirano, vrlo je lako naučiti.
Ako mi autor posta dopusti, objavit ću ulomak skripte vatrozida koju trenutno koristim.
## Pravila za čišćenje
iptables-F
iptables-X
iptables -Z
iptables -t nat -F
## Postavi zadane politike: DROP
iptables -P ULAZNA KAP
iptables -P IZLAZNI PAD
iptables -P NAPRIJED DROP
# Radite na localhostu bez ograničenja
iptables -A ULAZ -i lo -j PRIHVATI
iptables -A IZLAZ -o lo -j PRIHVATI
# Dopustite uređaju da ide na web
iptables -A ULAZ -p tcp -m tcp –sport 80 -m conntrack –ctstate POVEZANO, OSNOVANO -j PRIHVATI
iptables -A IZLAZ -p tcp -m tcp –port 80 -j PRIHVATI
# Već i za osiguranje mreža
iptables -A ULAZ -p tcp -m tcp –sport 443 -m conntrack –ctstate POVEZANO, OSNOVANO -j PRIHVATI
iptables -A IZLAZ -p tcp -m tcp –port 443 -j PRIHVATI
# Dopustite ping iznutra prema van
iptables -A IZLAZ -p icmp-emp-type -mpmp -j PRIHVATI
iptables -A ULAZ -p icmp-echo-reply -icmp-type ACCEPT
# Zaštita za SSH
#iptables -I INPUT -p tcp -port 22 -m conntrack -ctstate NOVO -m limit -limit 30 / minute -limit-burst 5 -m comment -comment "SSH-kick" -j PRIHVATI
#iptables -A INPUT -p tcp -m tcp –dport 22 -j LOG – predznak dnevnika "SSH POKUŠAJ PRISTUPA:" - nivo 4
#iptables -A ULAZ -p tcp -m tcp –dport 22 -j DROP
# Pravila za amule za dopuštanje odlaznih i dolaznih veza na luci
iptables -A INPUT -p tcp -m tcp –dport 16420 -m conntrack –ctstate NOVO -m komentar –komentar "aMule" -j PRIHVATI
iptables -A OUTPUT -p tcp -m tcp –sport 16420 -m conntrack –ctstate POVEZANO, USTANOVLJENO -m komentar –komentar "aMule" -j PRIHVATI
iptables -A INPUT -p udp –dport 9995 -m komentar –komentar "aMule" -j PRIHVATI
iptables -A IZLAZ -p udp –sport 9995 -j PRIHVATI
iptables -A INPUT -p udp –dport 16423 -j ACCEPT
iptables -A IZLAZ -p udp –sport 16423 -j PRIHVATI
Sad malo objašnjenja. Kao što vidite, prema zadanim postavkama postoje pravila s DROP politikom, ništa ne izlazi i ne ulazi u tim, a da im to niste rekli.
Zatim se prenose osnove, localhost i navigacija mrežom mreža.
Možete vidjeti da postoje i pravila za ssh i amule. Ako dobro izgledaju kako im ide, mogu donijeti druga pravila koja žele.
Trik je uvidjeti strukturu pravila i primijeniti se na određenu vrstu porta ili protokola, bilo da je to udp ili tcp.
Nadam se da možete razumjeti ovo što sam upravo objavio ovdje.
Trebali biste objaviti post s objašnjenjem 😉 bilo bi sjajno.
Imam pitanje. U slučaju da želite odbiti http i https veze, stavio sam:
pad "http https" poslužitelja?
I tako dalje s bilo kojom uslugom?
hvala