Pertama-tama, semua kredit diberikan @YukiteruAo, karena postingan ini didasarkan pada tutorial Anda memposting di forum. Perbedaannya adalah saya akan fokus Lengkungan, meskipun mungkin akan bekerja untuk distro lain yang berbasis systemd.
Apa itu Firehol?
firehol, adalah aplikasi kecil yang membantu kita mengelola firewall yang terintegrasi ke dalam kernel dan alatnya iptables. Firehol tidak memiliki antarmuka grafis, semua konfigurasi harus dilakukan melalui file teks, tetapi meskipun demikian, konfigurasinya masih sederhana untuk pengguna pemula, atau kuat bagi mereka yang mencari opsi lanjutan. Semua yang dilakukan Firehol adalah menyederhanakan pembuatan aturan iptables sebanyak mungkin dan mengaktifkan firewall yang baik untuk sistem kami.
Instalasi dan konfigurasi
Firehol tidak ada dalam repositori Arch resmi, jadi kami akan merujuknya AUR.
yaourt -S firehol
Lalu kita pergi ke file konfigurasi.
sudo nano /etc/firehol/firehol.conf
Dan kami menambahkan aturan di sana, Anda dapat menggunakan kamu adalah.
Terus aktifkan Firehol untuk setiap startup. Cukup sederhana dengan systemd.
sudo systemctl enable firehol
Kami memulai Firehol.
sudo systemctl start firehol
Akhirnya kami memverifikasi bahwa aturan iptables telah dibuat dan dimuat dengan benar.
sudo iptables -L
Nonaktifkan IPv6
Seperti firehol tidak menangani tabel ip6 dan karena sebagian besar koneksi kami tidak mendukung IPv6, rekomendasi saya adalah menonaktifkannya.
En Lengkungan kami menambah ipv6.disable = 1 ke baris kernel di file / etc / default / grub
...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...
Sekarang kami meregenerasi grub.cfg:
sudo grub-mkconfig -o /boot/grub/grub.cfg
En Debian cukup dengan:
sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf
Saya tidak mengerti. Apakah Anda mengikuti tutorial dan Anda sudah menjalankan Firewall dan memblokir semua koneksi? Hal lain Tutorial untuk Arch itu rumit misalnya saya belum pernah menggunakan sudo atau yaourt Firewall. Bagaimanapun itu Dimengerti. Atau mungkin seseorang yang baru menulis yaourt dan akan mendapatkan error. Bagi Manjaro itu lebih tepat.
Seperti yang Anda katakan @felipe, mengikuti tutorial dan meletakkan di file /etc/firehol/firehol.conf aturan yang diberikan oleh @cookie di paste, Anda sudah memiliki firewall sederhana untuk melindungi sistem pada tingkat dasar. Konfigurasi ini berfungsi untuk setiap distro di mana Anda dapat meletakkan Firehol, dengan kekhasan masing-masing distro itu menangani layanannya dengan cara yang berbeda (Debian melalui sysvinit, Arch dengan systemd) dan untuk instalasi, semua orang tahu apa yang mereka miliki, di Arch Anda harus gunakan repositori AUR dan yaourt, di Debian yang resmi sudah cukup, dan di banyak lainnya, Anda hanya perlu mencari sedikit di repositori dan menyesuaikan perintah instalasi.
Saya pikir Yukiteru telah menjelaskan keraguan Anda.
Sekarang, tentang sudo dan yaourt, bagi saya, saya tidak menganggap sudo sebagai masalah, Anda hanya perlu melihat bahwa sudo muncul secara default saat Anda menginstal sistem dasar Arch; dan yaourt bersifat opsional, Anda dapat mengunduh tarball, mengekstraknya, dan menginstalnya dengan makepkg -si.
terima kasih, saya perhatikan.
Sesuatu yang saya lupa tambahkan ke postingan, tetapi saya tidak dapat mengeditnya.
https://www.grc.com/x/ne.dll?bh0bkyd2
Di situs itu Anda dapat menguji firewall Anda 😉 (sekali lagi terima kasih kepada Yukiteru).
Saya menjalankan tes tersebut di Xubuntu saya dan semuanya menjadi sempurna! Sungguh menyenangkan menggunakan Linux !!! 😀
Semua itu sangat bagus ... tetapi yang paling penting hilang; Anda harus menjelaskan bagaimana aturan dibuat !!, apa artinya, bagaimana membuat yang baru ... Jika itu tidak dijelaskan, apa yang Anda masukkan tidak banyak berguna: - /
Membuat aturan baru itu sederhana, dokumentasi firehol jelas dan sangat tepat dalam hal membuat aturan khusus, jadi membaca sedikit akan memudahkan Anda untuk menyesuaikannya dan menyesuaikannya dengan kebutuhan Anda.
Saya pikir alasan awal untuk posting @cookie seperti milik saya di forum, adalah untuk memberi pengguna dan pembaca alat yang memungkinkan mereka memberikan sedikit lebih banyak keamanan pada komputer mereka, semuanya pada tingkat dasar. Sisanya dibiarkan terpaut bagi Anda untuk menyesuaikan dengan kebutuhan Anda.
Jika Anda membaca tautan ke tutorial Yukiteru, Anda akan menyadari bahwa tujuannya adalah untuk mempublikasikan aplikasi dan konfigurasi firewall dasar. Saya mengklarifikasi bahwa postingan saya hanyalah salinan yang difokuskan pada Arch.
Dan ini 'untuk manusia'? o_O
Coba Gufw di Arch: https://aur.archlinux.org/packages/gufw/ >> Klik Status. Atau ufw jika Anda lebih suka terminal: sudo ufw aktifkan
Anda sudah terlindungi jika Anda adalah pengguna biasa. Itu 'untuk manusia' 🙂
Firehol benar-benar merupakan Front-End untuk IPTables dan jika kita membandingkannya dengan yang terakhir, itu cukup manusiawi 😀
Saya menganggap ufw (Gufw hanyalah antarmuka saja) sebagai opsi yang buruk dalam hal keamanan. Alasan: untuk lebih banyak aturan keamanan yang saya tulis di ufw, saya tidak dapat menghindari bahwa dalam pengujian firewall saya baik melalui Web maupun yang saya lakukan menggunakan nmap, layanan seperti avahi-daemon dan exim4 akan muncul terbuka, dan hanya a Serangan "stealth" sudah cukup untuk mengetahui karakteristik terkecil dari sistem saya, kernel dan layanan yang dijalankannya, sesuatu yang tidak pernah terjadi pada saya menggunakan firehol atau firewall arno.
Yah, saya tidak tahu tentang Anda, tetapi seperti yang saya tulis di atas, saya menggunakan Xubuntu dan firewall saya menggunakan GUFW dan saya lulus SEMUA tes dari tautan yang dibuat oleh penulis tanpa masalah. Semuanya diam-diam. Tidak ada yang terbuka. Jadi, menurut pengalaman saya ufw (dan karena itu gufw) mereka bagus untuk saya. Saya tidak kritis dalam menggunakan mode kontrol firewall lain, tetapi gufw bekerja dengan sempurna dan memberikan hasil keamanan yang bagus.
Jika Anda memiliki tes yang menurut Anda dapat menimbulkan kerentanan di sistem saya, beri tahu saya apa itu dan saya akan dengan senang hati menjalankannya di sini dan memberi tahu Anda hasilnya.
Di bawah ini saya berkomentar sesuatu tentang masalah ufw, di mana saya mengatakan bahwa kesalahan yang saya lihat pada tahun 2008, menggunakan Ubuntu 8.04 Hardy Heron. Apa yang sudah mereka koreksi? Hal yang paling mungkin adalah demikian, jadi tidak ada alasan untuk khawatir, tetapi meskipun demikian, itu tidak berarti bahwa bug itu ada dan saya dapat membuktikannya, meskipun itu bukan hal yang buruk untuk mati, saya hanya berhenti setan avahi-daemon dan exim4, dan masalah sudah terpecahkan. Yang paling aneh dari semuanya adalah hanya dua proses itu yang bermasalah.
Saya menyebutkan fakta tersebut sebagai anekdot pribadi, dan saya memberikan pendapat yang sama ketika saya berkata: «Saya mempertimbangkan ...»
Salam 🙂
+1
@Yukiteru: Apakah Anda mencobanya dari komputer Anda sendiri? Jika Anda melihat dari PC Anda, itu normal bahwa Anda dapat mengakses port layanan X, karena lalu lintas yang diblokir adalah dari jaringan, bukan host lokal:
http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
https://answers.launchpad.net/gui-ufw/+question/194272
Jika tidak, laporkan bug 🙂
Salam 🙂
Dari komputer lain yang menggunakan jaringan Lan dalam kasus nmap, dan melalui Web menggunakan halaman ini https://www.grc.com/x/ne.dll?bh0bkyd2Menggunakan opsi port khusus, keduanya setuju bahwa avahi dan exim4 mendengarkan dari internet meskipun pemblokiran ufw telah dikonfigurasi.
Saya memecahkan detail kecil avahi-daemon dan exim4 hanya dengan menonaktifkan layanan dan hanya itu ... Saya tidak melaporkan bug saat itu, dan menurut saya tidak masuk akal untuk melakukannya sekarang, karena itu kembali pada tahun 2008, menggunakan Hardy.
2008 adalah 5 tahun yang lalu; dari Hardy Heron ke Raring Ringtail ada 10 * buntus. Tes yang sama di Xubuntu saya, yang dilakukan kemarin dan diulang hari ini (Agustus 2013) memberikan kesempurnaan dalam segala hal. Dan saya hanya menggunakan UFW.
Saya ulangi: Apakah Anda memiliki tes tambahan yang harus dilakukan? Saya melakukannya dengan senang hati dan melaporkan apa yang keluar dari sisi ini.
Lakukan pemindaian SYN dan IDLE pada PC Anda menggunakan nmap, yang akan memberi Anda gambaran tentang seberapa aman sistem Anda.
Pria nmap memiliki lebih dari 3000 baris. Jika Anda memberi saya perintah untuk mengeksekusi dengan senang hati, saya akan melakukannya dan saya akan melaporkan hasilnya.
Hmm saya tidak tahu tentang 3000 halaman manual untuk nmap. tetapi zenmap adalah bantuan untuk melakukan apa yang saya katakan, ini adalah front-end grafis untuk nmap, tetapi masih opsi untuk pemindaian SYN dengan nmap adalah -sS, sedangkan opsi untuk pemindaian diam adalah -sI, tetapi perintah yang tepat I akan.
Lakukan pemindaian dari mesin lain dengan menunjuk ke ip mesin Anda dengan ubuntu, jangan lakukan dari komputer Anda sendiri, karena itu bukan cara kerjanya.
LOL !! Kesalahan saya sekitar 3000 halaman, ketika itu adalah garis 😛
Saya tidak tahu tetapi saya pikir GUI untuk itu di GNU / Linux untuk mengelola firewall akan menjadi sesuatu yang bijaksana dan tidak membiarkan semuanya terbuka seperti di ubuntu atau semuanya tercakup seperti di fedora, Anda harus menjadi xD yang baik, atau sesuatu untuk konfigurasikan alternatif pembunuh sialan xD hjahjahjaja Ini memiliki sedikit yang saya bertarung dengan mereka dan jdk terbuka tetapi pada akhirnya Anda juga harus menjaga prinsip ciuman
Berkat semua sandungan yang terjadi di masa lalu dengan iptables, hari ini saya dapat memahami niverl raw, yaitu berbicara langsung kepadanya karena berasal dari pabrik.
Dan itu bukanlah sesuatu yang rumit, itu sangat mudah dipelajari.
Jika penulis postingan mengizinkan saya, saya akan memposting cuplikan skrip firewall yang saat ini saya gunakan.
## Aturan pembersihan
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Tetapkan kebijakan default: DROP
iptables -P DRP INPUT
iptables -P KELUARAN DROP
iptables -P MAJU DROP
# Beroperasi di localhost tanpa batasan
iptables -A INPUT -i lo -j MENERIMA
iptables -A OUTPUT -o lo -j TERIMA
# Biarkan mesin pergi ke web
iptables -A INPUT -p tcp -m tcp –sport 80 -m conntrack –ctstate TERKAIT, DIDIRIKAN -j TERIMA
iptables -A OUTPUT -p tcp -m tcp –dport 80 -j TERIMA
# Sudah juga untuk mengamankan website
iptables -A INPUT -p tcp -m tcp –sport 443 -m conntrack –ctstate TERKAIT, DIDIRIKAN -j TERIMA
iptables -A OUTPUT -p tcp -m tcp –dport 443 -j TERIMA
# Izinkan ping dari dalam ke luar
iptables -A OUTPUT -p icmp –icmp-type echo-request -j TERIMA
iptables -A INPUT -p icmp –icmp-type echo-reply -j TERIMA
# Perlindungan untuk SSH
#iptables -I INPUT -p tcp –dport 22 -m conntrack –ctstate BARU -m limit –limit 30 / menit –limit-burst 5 -m comment –comment "SSH-kick" -j ACCEPT
#iptables -A INPUT -p tcp -m tcp –dport 22 -j LOG –log-prefix "SSH ACCESS ATTEMPT:" –log-level 4
#iptables -A MASUKAN -p tcp -m tcp –dport 22 -j DROP
# Aturan untuk amule untuk mengizinkan koneksi keluar dan masuk di pelabuhan
iptables -A INPUT -p tcp -m tcp –dport 16420 -m conntrack –ctstate BARU -m comment –comment "aMule" -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp –sport 16420 -m conntrack –ctstate TERKAIT, DIDIRIKAN -m comment –comment "aMule" -j ACCEPT
iptables -A INPUT -p udp –dport 9995 -m comment –comment "aMule" -j ACCEPT
iptables -A OUTPUT -p udp –sport 9995 -j TERIMA
iptables -A INPUT -p udp –dport 16423 -j TERIMA
iptables -A OUTPUT -p udp –sport 16423 -j TERIMA
Sekarang sedikit penjelasannya. Seperti yang Anda lihat, ada aturan dengan kebijakan DROP secara default, tidak ada yang keluar dan masuk ke tim tanpa Anda beri tahu.
Kemudian, dasar-dasar diteruskan, localhost dan navigasi ke jaringan jaringan.
Anda dapat melihat bahwa ada juga aturan untuk ssh dan amule. Jika mereka terlihat bagus dalam melakukannya, mereka dapat membuat aturan lain yang mereka inginkan.
Triknya adalah dengan melihat struktur aturan dan berlaku untuk jenis port atau protokol tertentu, baik itu udp atau tcp.
Saya harap Anda dapat memahami ini yang baru saja saya posting di sini.
Anda harus membuat posting yang menjelaskannya 😉 akan bagus.
Saya punya pertanyaan. Jika Anda ingin menolak koneksi http dan https saya meletakkan:
server "http https" drop?
Dan seterusnya dengan layanan apa saja?
terima kasih