Firehol: iptables pou èt imen (Arch)

Premye a tout, tout kredi ale nan @YukiteruAmano, paske pòs sa a baze sou la leson patikilye ou afiche sou fowòm lan. Diferans lan se ke mwen pral konsantre sou Arch, byenke li pral pwobableman travay pou distribisyon lòt ki baze sou systemd.

Ki sa ki Firehol?

Firehol, se yon ti aplikasyon ki ede nou jere firewall la entegre nan Kernel la ak zouti li yo iptables. Firehol manke yon koòdone grafik, tout konfigirasyon dwe fèt nan dosye tèks, men malgre sa, konfigirasyon an toujou senp pou itilizatè inisyasyon, oswa pwisan pou moun kap chèche opsyon avanse. Tout sa Firehol fè se senplifye kreyasyon règ iptables yo otank posib epi pèmèt yon bon firewall pou sistèm nou an.

Enstalasyon ak konfigirasyon

Firehol se pa nan depo ofisyèl Arch yo, se konsa nou pral refere a AUR.

yaourt -S firehol
Lè sa a, nou ale nan dosye a konfigirasyon.

sudo nano /etc/firehol/firehol.conf

Epi nou ajoute règ yo la, ou ka itilize sa yo.

Kenbe aktive Firehol pou chak demaraj. Trè senp ak systemd.

sudo systemctl enable firehol

Nou te kòmanse Firehol.

sudo systemctl start firehol

Finalman nou verifye ke règ iptables yo te kreye epi chaje kòrèkteman.

sudo iptables -L

Enfim IPv6

Kòm firehol pa okipe ip6tables e depi pi fò nan koneksyon nou yo pa gen sipò pou IPv6, rekòmandasyon mwen se enfim li.

En Arch nou ajoute ipv6.disable = 1 nan liy Kernel la nan dosye / etc / default / grub la


...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...

Koulye a, nou relanse a grub.cfg:

sudo grub-mkconfig -o /boot/grub/grub.cfg

En dbyan ase ak:

sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf


Kontni an nan atik la respekte prensip nou yo nan etik editoryal. Pou rapòte yon erè klike sou isit la.

26 kòmantè, kite ou

Kite kòmantè ou

Adrès imèl ou pa pral dwe pibliye. Jaden obligatwa yo make ak *

*

*

  1. Responsab pou done yo: Miguel Ángel Gatón
  2. Objektif done yo: Kontwòl SPAM, jesyon kòmantè.
  3. Lejitimasyon: konsantman ou
  4. Kominikasyon nan done yo: done yo pa pral kominike bay twazyèm pati eksepte pa obligasyon legal.
  5. Done depo: baz done anime pa rezo Occentus (Inyon Ewopeyen)
  6. Dwa: Nenpòt ki lè ou ka limite, refè ak efase enfòmasyon ou yo.

  1.   Felipe diro

    Mwen pa konprann. Èske ou swiv leson patikilye a epi ou deja gen pare-feu a kouri ak bloke tout koneksyon yo? Yon lòt bagay Yon leson patikilye pou Arch se konplèks pou egzanp mwen pa janm itilize sudo oswa firewall yaourt. Sepandan li konprann. Oswa petèt yon moun nouvo ekri yaourt epi yo pral jwenn yon erè. Pou Manjaro li pi kòrèk.

    1.    yukiteru diro

      Kòm ou di @felipe, swiv leson patikilye a ak mete nan /etc/firehol/firehol.conf dosye règ yo bay nan @cookie nan keratin nan, ou pral deja gen yon firewall ki senp pwoteje sistèm lan nan yon nivo debaz yo. Konfigirasyon sa a ap travay pou chak distro kote ou ka mete Firehol, ak patikilye a nan chak distro li okipe sèvis li yo nan diferan fason (Debian nan sysvinit, Arch ak systemd) ak jan pou enstalasyon an, tout moun konnen sa yo genyen, nan Arch ou dwe sèvi ak AUR la ak yaourt repos, nan Debian yo menm ofisyèl yo ase pou ou, e konsa nan anpil lòt moun, ou jis gen nan rechèch yon ti kras nan depo yo ak adapte lòd la enstalasyon.

  2.   ci diro

    Mèsi, mwen pran nòt.

  3.   Config diro

    Tout sa ki trè bon ... men bagay ki pi enpòtan ki manke; Ou dwe eksplike kijan règ yo kreye !!, ki sa yo vle di, ki jan yo kreye nouvo ... Si sa pa eksplike, sa ou mete a se nan ti kras itil: - /

    1.    yukiteru diro

      Kreye nouvo règ yo senp, dokiman firehol la klè e trè presi an tèm de kreye règ koutim, kidonk li yon ti jan ap fè li fasil pou ou Customize li epi adapte li a bezwen ou yo.

      Mwen panse ke rezon inisyal la pou pòs la @cookie tankou m 'nan fowòm nan, te bay itilizatè yo ak lektè yon zouti ki pèmèt yo bay òdinatè yo yon ti kras plis sekirite, tout nan yon nivo debaz yo. Se rès la kite deriv pou ou pou w adapte yo ak bezwen ou yo.

    2.    bonbon diro

      Si ou li lyen ki nan leson patikilye a Yukiteru ou pral reyalize ke entansyon an se pibliye aplikasyon an ak konfigirasyon an nan yon firewall debaz yo. Mwen klarifye ke pòs mwen te sèlman yon kopi konsantre sou Arch.

  4.   Maakub diro

    Lè sa a se 'pou imen'? o_O
    Eseye Gufw sou Arch: https://aur.archlinux.org/packages/gufw/ >> Klike sou Status. Oswa ufw si ou prefere tèminal: sudo ufw pèmèt

    Ou deja pwoteje si ou se yon itilizatè nòmal. Sa se 'pou moun' 🙂

    1.    elav diro

      Firehol reyèlman se yon Front-End pou IPTables epi si nou konpare li ak lèt ​​la, li se byen imen 😀

    2.    yukiteru diro

      Mwen konsidere ufw (Gufw se jis yon koòdone nan li) kòm yon move opsyon an tèm de sekirite. Rezon ki fè: pou plis règ sekirite ke mwen te ekri nan ufw, mwen pa t 'kapab evite ke nan tès yo nan firewall mwen an, tou de atravè entènèt la ak sa yo te pote soti lè l sèvi avèk nmap, sèvis tankou avahi-daemon ak exim4 ta parèt louvri, epi sèlman yon atak "enfiltrasyon" te ase yo konnen karakteristik ki pi piti nan sistèm mwen an, Kernel ak sèvis ke li kouri, yon bagay ki pa te rive m 'lè l sèvi avèk firehol oswa firewall arno la.

      1.    Giskard diro

        Oke, mwen pa konnen sou ou, men jan mwen te ekri pi wo a, mwen itilize Xubuntu ak firewall mwen ale ak GUFW epi mwen pase TOUT tès yo nan lyen ke otè a mete san pwoblèm. Tout enfiltrasyon. Pa gen anyen ki louvri. Se konsa, nan eksperyans mwen ufw (ak Se poutèt sa gufw) mwen fè bèl bagay. Mwen menm mwen pa kritik nan lè l sèvi avèk lòt mòd kontwòl firewall, men gufw travay parfètman epi li bay rezilta sekirite gwo.

        Si ou gen nenpòt tès ke ou panse ki ka voye frajilite nan sistèm mwen an, di m 'sa yo ye epi mwen pral kè kontan kouri yo isit la epi fè w konnen rezilta yo.

        1.    yukiteru diro

          Anba a mwen kòmante yon bagay sou sijè a nan ufw, kote mwen di ke erè a mwen te wè nan 2008, lè l sèvi avèk Ubuntu 8.04 Hardy Heron. Ki sa yo deja korije? Bagay la gen plis chans se ke li se konsa, kidonk pa gen okenn rezon ki fè yo enkyete, men menm si sa, sa pa vle di ke ensèk la te la e mwen te kapab prèv li, byenke li pa te yon move bagay yo mouri, mwen sèlman sispann move lespri yo avahi-daemon ak exim4, e deja pwoblèm rezoud. Bagay la etranj nan tout se ke se sèlman de pwosesis sa yo te gen pwoblèm nan.

          Mwen mansyone reyalite a kòm yon anekdot pèsonèl, e mwen te panse nan menm fason an lè mwen te di: «Mwen konsidere ...»

          Bonjou 🙂

    3.    Giskard diro

      +1

  5.   sak diro

    @Yukiteru: Eske ou te eseye li nan pwòp òdinatè ou a? Si ou ap chèche soti nan PC ou, li nòmal ke ou kapab jwenn aksè nan pò a sèvis X, depi trafik la ki bloke se sa yo ki an rezo a, pa localhost:
    http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
    https://answers.launchpad.net/gui-ufw/+question/194272

    Si ou pa, tanpri rapòte yon ensèk 🙂
    Bonjou 🙂

    1.    yukiteru diro

      Soti nan yon lòt òdinatè lè l sèvi avèk yon rezo Lan nan ka a nan nmap, ak atravè entènèt la lè l sèvi avèk paj sa a https://www.grc.com/x/ne.dll?bh0bkyd2Sèvi ak opsyon nan pò koutim, yo tou de te dakò ke avahi ak exim4 yo te koute soti nan nèt la menm si ufw te bloke yo configuré.

      Ti detay nan avahi-daemon ak exim4 mwen rezoud li pa senpleman enfimite sèvis yo e se li ... Mwen pa t 'rapòte yon ensèk nan tan sa a, e mwen panse ke li pa fè sans fè li kounye a, paske te tounen nan 2008, lè l sèvi avèk Hardy.

      1.    Giskard diro

        2008 te 5 ane de sa; soti nan Hardy Heron Raring Ringtail gen 10 * buntus. Sa menm tès sou Xubuntu mwen an, te fè yè ak repete jodi a (Out 2013) bay pafè nan tout bagay. Apre sa, mwen sèlman itilize UFW.

        Mwen repete: Èske w gen nenpòt tès adisyonèl pou fè? Avèk plezi mwen fè li epi mwen rapòte sa ki soti nan bò sa a.

        1.    yukiteru diro

          Fè yon SYN ak san fè anyen konsa eskanè nan PC ou lè l sèvi avèk nmap, ki pral ba ou yon lide sou ki jan sekirite sistèm ou an se.

          1.    Giskard diro

            Nonm lan nmap gen plis pase 3000 liy yo. Si ou ban m 'kòmandman yo egzekite ak plezi, mwen pral fè li epi mwen pral rapòte rezilta a.

          2.    yukiteru diro

            Hmm mwen pa t 'konnen sou 3000 paj sa yo moun pou nmap. men zenmap se yon èd pou fè sa mwen di ou, li se yon grafik devan-fen pou nmap, men yo toujou opsyon a pou SYN eskanè ak nmap se -sS, pandan y ap opsyon pou eskanè san fè anyen konsa se -sI, men lòd egzak la mwen ap.

            Fè eskanè a soti nan yon lòt machin ki montre ip machin ou ak ubuntu, pa fè li nan pwòp PC ou, paske se pa ki jan li fonksyone.

          3.    yukiteru diro

            LOL !! Erè mwen sou 3000 paj, lè yo te liy 😛

  6.   Jeus pèp Izrayèl Perales Martinez diro

    Mwen pa konnen men mwen panse ke yon entèfas pou sa nan GNU / Linux pou jere pare-feu a ta dwe yon bagay pridan epi yo pa kite tout bagay dekouvri tankou nan ubuntu oswa tout bagay ki kouvri tankou nan fedora, ou ta dwe bon xD, oswa yon bagay yo konfigire altènativ yo modi asasen xD hjahjahjaja Li gen ti kras goumen m 'ak yo ak jdk la louvri men de tout fason ou menm tou ou dwe kenbe prensip la nan bo

  7.   Moris diro

    Mèsi a tout blòk yo bite ki te pase nan tan lontan an ak iptables, jodi a mwen ka konprann niverl anvan tout koreksyon, se sa ki, pale avè l 'dirèkteman jan li soti nan faktori a.

    Epi li se pa yon bagay ki konplike, li trè fasil yo aprann.

    Si otè pòs la pèmèt mwen, mwen pral poste yon ekstrè nan script pare-feu mwen itilize kounye a.

    ## Règ netwayaj
    iptables -F
    iptables -X
    iptables -Z
    iptables -t nat -F

    ## Mete politik default: gout
    iptables -P INPUT gout
    iptables -P Sòti gout
    iptables -P ANVAN gout

    # Opere sou localhost san limit
    iptables -A ENPUT -i lo -j AKSEPTE
    iptables -A OUTPUT -o lo -j AKSEPTE

    # Pèmèt machin nan ale sou entènèt la
    iptables -A INPUT -p tcp -m tcp –sport 80 -m conntrack –ctstate RELATED, etabli -j AKSEPTE
    iptables -A OUTPUT -p tcp -m tcp –port 80 -j AKSEPTE

    # Deja tou an sekirite sou sit entènèt
    iptables -A INPUT -p tcp -m tcp –sport 443 -m conntrack –ctstate RELATED, etabli -j AKSEPTE
    iptables -A OUTPUT -p tcp -m tcp –port 443 -j AKSEPTE

    # Pèmèt ping soti anndan an deyò
    iptables -A OUTPUT -p icmp –icmp-type echo-request -j AKSEPTE
    iptables -A INPUT -p icmp –icmp-type echo-reply -j AKSEPTE

    # Pwoteksyon pou SSH

    #iptables -I INPUT -p tcp –port 22 -m conntrack –ctstate NEW -m limit –limit 30 / minute –limit-pete 5 -m kòmantè –kòmantè "SSH-choute" -j AKSEPTE
    #iptables -A INPUT -p tcp -m tcp –port 22 -j LOG –log-prefix "SSH ACCESS TENTPT:" –log-level 4
    #iptables -A INPUT -p tcp -m tcp –port 22 -j DROP

    # Règ pou amule pou pèmèt koneksyon sortan ak fèk ap rantre sou pò a
    iptables -A INPUT -p tcp -m tcp –port 16420 -m conntrack –ctstate NEW -m kòmantè –kòmante "aMule" -j AKSEPTE
    iptables -A OUTPUT -p tcp -m tcp –sport 16420 -m conntrack –ctstate RELATED, etabli -m kòmantè –kòmantè "aMule" -j AKSEPTE
    iptables -A INPUT -p udp –port 9995 -m kòmantè –kòmante "aMule" -j AKSEPTE
    iptables -A OUTPUT -p udp –sport 9995 -j AKSEPTE
    iptables -A INPUT -p udp –port 16423 -j AKSEPTE
    iptables -A OUTPUT -p udp –sport 16423 -j AKSEPTE

    Koulye a, yon ti eksplikasyon. Kòm ou ka wè, gen règleman yo ak règleman an gout default, pa gen anyen kite ak antre nan ekip la san ou pa di li.

    Lè sa a, Basics yo yo te pase, lokal la ak navigasyon nan rezo a nan rezo.

    Ou ka wè ke genyen tou règ pou ssh ak amule. Si yo gade byen ki jan yo fè, yo ka fè lòt règ yo vle.

    Trick a se yo wè estrikti a nan règleman yo, epi aplike nan yon kalite espesifik nan pò oswa pwotokòl, se pou li udp oswa tcp.

    Mwen espere ke ou ka konprann sa ke mwen jis afiche isit la.

    1.    bonbon diro

      Ou ta dwe fè yon pòs ki eksplike li 😉 ta dwe gwo.

  8.   @Jlcmux diro

    Mwen gen yon kesyon. Nan ka ou vle rejte koneksyon http ak https mwen mete:

    sèvè "http https" gout?

    Ak sou sa ak nenpòt sèvis?

    Mèsi