שלום לכולם, ובכן הנה אני מביא לכם הדרכה קטנה ופשוטה, ליצור * חומת אש * באמצעות תוכנית פשוטה בשם ** Firehol **.
הסיבה לכך היא לתת למחשבים שלנו קצת יותר אבטחה בחיבורי האינטרנט שלנו שלעולם לא כואב.
מה זה פיירהול?
אבל ראשית מה זה פיירהול:
> Firehol, הוא יישום קטן המסייע לנו לנהל את חומת האש המשולבת בגרעין וכלי ה- iptables שלו. ל- Firehol אין ממשק גרפי, כל התצורה חייבת להיעשות באמצעות קבצי טקסט, אך למרות זאת, התצורה עדיין פשוטה עבור משתמשים מתחילים, או חזקה למי שמחפש אפשרויות מתקדמות. כל מה שפיהול עושה הוא לפשט את יצירת כללי ה- iptables ככל האפשר ולאפשר חומת אש טובה למערכת שלנו.
עם ההקדמה הזו למה Firehol הוא ועושה, בואו נבדוק כיצד להתקין אותו במערכות שלנו. בואו נפתח מסוף ונקליד:
התקנת Firehol על דביאן ונגזרים
אנו פותחים מסוף ושמים:
`sudo apt-get install firehol '
כיצד להקים את Firehol
לאחר התקנת firehol, אנו ממשיכים לפתוח את קובץ התצורה של firehol, הנמצא ב- * / etc / firehol / firehol.conf *, לשם כך נוכל להשתמש בעורך הטקסט לבחירתך (gedit, medit, padpad)
`sudo nano / etc / firehol / firehol.conf '
פעם ושם, אנו יכולים להמשיך להציב את התוכן הבא:
# $ Id: client-all.conf, v 1.2 2002/12/31 15:44:34 ktsaou Exp $ # # קובץ תצורה זה יאפשר לשלוח את כל הבקשות שמקורן במכונה המקומית # דרך כל ממשקי הרשת. # # אין הרשאות לבוא מהרשת. המארח יהיה # מתגנב לחלוטין! זה לא יגיב לשום דבר, והוא לא יכול להיות pingable, אם כי זה יכול להיות מקורו של כל דבר (אפילו pings למארחים אחרים). # גרסה 5 # מקבל את כל התעבורה הנכנסת מממשק ממשק בכל עולם # מדיניות גישה, DROP, כלומר, דוחה את כל מדיניות החבילה הנכנסת ירידה # כל מדיניות ההגנה הפעילה, מסייעת במניעת התקפות כגון SYN Flood, Arp Poison, בין היתר הגנה כל # מדיניות השרת, שירותים שיעבדו (אינטרנט, דואר, MSN, Irc, Jabber, P2P) # רק לשרתים, אם ברצונך לשנות או ליצור שירותים חדשים, יציאות ופרוטוקולים משויכים, קרא את המדריך ל- firehol. # server "http https" accept #server "imap imaps" accept #server "pop3 pop3s" accept # server "smtp smtps" accept # server irc accept # server jabber accept # server msn accept # server p2p accept # policy policy, all יוצא התנועה מקובלת הלקוח כולם מקבלים
קוד פשוט זה די והותר להגנה בסיסית על המחשבים שלנו, ולכן אנו שומרים אותו ויוצאים מעורך הטקסט.
כעת עלינו לגרום ל- firehol להתחיל באופן אוטומטי בכל אתחול, ולשם כך אנו עוברים לקובץ * / etc / default / firehol *, שם נשנה שורה עם הקוד הבא:
'START_FIREHOL = כן'
אנו שומרים את השינויים בקובץ, ועכשיו אנו מבצעים:
`sudo / sbin / firehol start '
מוּכָן!!! עם זאת, Firehol התחיל ויצר את כללי חומת האש הדרושים, וכדי לראות שזה ככה, פשוט הפעל:
`sudo iptables -L`
לפרנואיד, תוכלו לעבור לדף ShieldUP! ולבדוק את חומת האש החדשה שלך, הם בטוח יעברו את המבחן.
אני מקווה שזה עוזר.
הדרכה מצוינת, פשוטה ויעילה, שאלה אחת, שבה אוכל לראות מי ניסה לגשת למחשב שלי או להגיש לו בקשה, עם התקנת firehol
https://blog.desdelinux.net/firehol-iptables-for-human-beings-arch/
עבור קשת 🙂
מצטער, אבל זה יותר גרוע מאשר עריכת טבלאות.
אני מבין את הכוונה הטובה אבל זה זבל.
ברכות מהפרנואיד.
מלבד היותך מפתח iptables, מה שאעריך. סביבה גרפית קטנה לא תהיה גרועה. למרות שזה מחורבן כמו בפיתון.
תודה, סליחה ובברכה.
אנחנו לא רוצים בידודים, ספאם או חלב רע בבלוג הזה !!!!
לא עוד!!!
האם הם לא סיננו את ההערות?
@sinnerman רגוע, באופן עקרוני התגובה של @ zetaka01 לא פגעה בי, ואני לא חושב שזה פוגע גם בסופר המקורי של הפוסט. יש לך את הזכות להביע את דעתך, גם אם אינך שותף לה. אם זה באמת פוגע בדרך כלשהי, ההערה שלך תעבור אל / dev / null. 😉
אני לא מוצא את ההערה חלב רע. ב- RedHat ראיתי שממשקים אלה קיימים. לא כל כך קשה ללמוד iptables, לקרוא קצת את הבלוג הזה תוכלו למצוא סקריפטים.
יותר גרוע מעריכת טבליות? ובכן, אם זה מה שאתה חושב, אני מכבד את זה. אבל אני חושב שללא ספק עדיף לכתוב:
שרת "http https" מקבל
ושיש ליציאות 80 ו 443 פתוחות בכדי שתוכל להשתמש באפצ'י או בכל שרת אינטרנט אחר, עליך לכתוב:
iptables -A INPUT -i eth0 -p tcp -port 80 -m state-state חדש, הוקם -j קבלה
iptables -A INPUT -i eth0 -p tcp -port 443 -m state-state חדש, הוקם -j קבלה
וגם אם שינו את היציאות, קל באותה מידה לבצע את התצורה ב- Firehol כדי לבצע שינויים אלה.
אה אבל עם iptables יש לך הרבה יותר גמישות. אם מה שאתה רוצה הוא משהו גרפי עבור לקוח, אתה יכול להשתמש במשהו כמו firestarter.
@Hugo עם firehol אתה לא מאבד אף אחת מאפשרויות ה- iptables, שכן בשלב זה הוא מציע תמיכה מלאה בכל אפשרויות ה- iptables, כולל IPv6.
לגבי גמישות, Firehol שלם מאוד בתחום זה, ומאפשר NAT, DNAT, הגדרת כללים מפורשים לכל ממשק במערכת, סינון ספציפי של יציאות לפי כתובות IP ו- MAC, מאפשר לך לבצע QOS, להקים DMZ, מטמון שקוף, נקה סיווג תעבורה, ואפילו לתפעל את סך התעבורה של החיבורים השונים שיש לך.
בְּקִצוּר נִמרָץ; Firehol הוא עוצמתי, והוא בהחלט חסר ממשק, אך הוא מכוון בעיקר למגזר השרתים בו X אינם משתמשים נחוצים או מתקדמים שאינם רוצים לשאת חומת אש גרפית.
למי שמשתמש בדביאן ג'סי, מערכת ה- d האהובה / שנואה משתלטת על ידי הפעלת סקריפט ה- firehol כראוי (לפעמים זה לוקח עצום של 30 שניות רק עם הפעלת חומת האש), אז אני ממליץ לך להשבית את הדמון עם systemctl השבת את firehol ולהתקין את iptables -חבילה מתמדת ושמור את תצורת חומת האש בשיטה זו.
הודעה מצוינת ... אלב, המדריך תקף לנגזרות אובונטו? פוסט מ- FIREWALL (PF) למערכת FreeBSD שהוא גם טקסטואלי יהיה טוב.
פיירהול עובד על דביאן ונגזרים בצורה מושלמת.