まず第一に、すべてのクレジットはに行きます @ゆきてるあまの、この投稿はに基づいているため チュートリアル あなたはフォーラムに投稿しました。 違いは、私が焦点を当てるということです アーチ、に基づいて他のディストリビューションでおそらく機能しますが systemd.
Fireholとは何ですか?
ファイアホールは、カーネルとそのツールに統合されたファイアウォールの管理に役立つ小さなアプリケーションです。 iptables。 Fireholにはグラフィカルなインターフェイスがなく、すべての構成はテキストファイルを介して行う必要がありますが、それでも、構成は初心者ユーザーにとっては単純であり、高度なオプションを探しているユーザーにとっては強力です。 Fireholが行うことは、iptablesルールの作成を可能な限り簡素化し、システムに適切なファイアウォールを有効にすることです。
インストールと構成
Fireholは公式のArchリポジトリにないため、参照します AUR.
yaourt -S firehol
次に、構成ファイルに移動します。
sudo nano /etc/firehol/firehol.conf
そこにルールを追加します。 あなたは.
起動ごとにFireholをアクティブにしてください。 systemdで非常に簡単です。
sudo systemctl enable firehol
Fireholを始めました。
sudo systemctl start firehol
最後に、iptablesルールが正しく作成およびロードされていることを確認します。
sudo iptables -L
IPv6を無効にする
ファイアホルは処理しないので ip6tables そして私たちの接続のほとんどはサポートを持っていないので IPv6、私の推奨事項はそれを無効にすることです。
En アーチ 我々が追加します ipv6.disable = 1 / etc / default / grubファイルのカーネル行に
...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...
今、私たちは再生します grub.cfg:
sudo grub-mkconfig -o /boot/grub/grub.cfg
En Debianの 十分に:
sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf
わかりません。 チュートリアルに従い、ファイアウォールを実行してすべての接続をブロックしましたか? もうXNUMXつのことArchのチュートリアルは複雑です。たとえば、sudoまたはyaourtファイアウォールを使用したことはありません。 しかしそれは理解されています。 あるいは、新しい誰かがヨーグルトを書いてエラーを受け取るかもしれません。 Manjaroの場合はもっと正確です。
@felipeと言うように、チュートリアルに従い、/ etc / firehol / firehol.confファイルに@cookieで指定されたルールを貼り付けると、基本レベルでシステムを保護するための単純なファイアウォールがすでに用意されています。 この構成は、Fireholを配置できるすべてのディストリビューションで機能します。各ディストリビューションの特性により、サービスはさまざまな方法で処理されます(Debianからsysvinit、Archとsystemd)。インストールに関しては、誰もが自分の持っているものを知っています。ArchではAURとyaourtリポジトリを使用します。Debianでは公式のもので十分です。したがって、他の多くの場合は、リポジトリを少し検索してインストールコマンドを調整するだけです。
雪輝はすでにあなたの疑問を明らかにしていると思います。
さて、sudoとyaourtについては、私はsudoを問題とは考えていませんが、Archの基本システムをインストールするときにデフォルトで発生することを確認する必要があります。 yaourtはオプションです。tarballをダウンロードして解凍し、makepkg-siを使用してインストールできます。
ありがとう、私は注意します。
投稿に追加するのを忘れたのですが、編集できません。
https://www.grc.com/x/ne.dll?bh0bkyd2
そのサイトでファイアウォールをテストできます😉(Yukiteruに感謝します)。
Xubuntuでこれらのテストを実行したところ、すべてが完璧になりました。 Linuxを使うのはなんて嬉しいことでしょう!!! 😀
それはすべてとても良いことです...しかし、最も重要なことは欠けています。 ルールがどのように作成されるか、それらが何を意味するか、新しいルールを作成する方法を説明する必要があります...それが説明されていない場合、あなたが置くものはほとんど役に立ちません:-/
新しいルールの作成は簡単です。fireholのドキュメントは、カスタムルールの作成に関して明確で非常に正確であるため、少し読むと、ルールをカスタマイズしてニーズに合わせるのが簡単になります。
フォーラムでの私のような@cookie投稿の最初の理由は、ユーザーと読者に、すべて基本的なレベルで、コンピューターにもう少しセキュリティを与えることができるツールを提供することだったと思います。 残りはあなたがあなたのニーズに適応するために漂流したままになっています。
Yukiteruチュートリアルへのリンクを読むと、アプリケーションと基本的なファイアウォールの構成を公開することを目的としていることがわかります。 私の投稿はArchに焦点を当てたコピーにすぎないことを明確にしました。
そして、これは「人間のために」ですか? o_O
ArchでGufwを試してみてください: https://aur.archlinux.org/packages/gufw/ >> [ステータス]をクリックします。 または、ターミナルが必要な場合はufw:sudo ufw enable
通常のユーザーであれば、すでに保護されています。 それは「人間のために」です🙂
Fireholは実際にはIPTablesのフロントエンドであり、後者と比較すると、かなり人間的です😀
私はufw(Gufwはそれの単なるインターフェースです)をセキュリティの観点から悪いオプションだと考えています。 理由:ufwで作成したセキュリティルールの詳細については、ファイアウォールのテストで、Web経由とnmapを使用して実行されたテストの両方で、avahi-daemonやexim4などのサービスが開いているように見え、 「ステルス」攻撃は、それが実行したシステム、カーネル、およびサービスの最小の特性を知るのに十分でした。これは、fireholまたはarnoのファイアウォールを使用した場合には発生しませんでした。
さて、あなたのことはわかりませんが、上で書いたように、私はXubuntuを使用し、ファイアウォールはGUFWに対応しており、作成者が行ったリンクのすべてのテストに問題なく合格しました。 すべてのステルス。 何も開いていません。 ですから、私の経験では、ufw(したがってgufw)は私にとって素晴らしいものです。 私は他のファイアウォール制御モードを使用することに批判的ではありませんが、gufwは完璧に機能し、優れたセキュリティ結果をもたらします。
私のシステムに脆弱性を投げかける可能性があると思われるテストがある場合は、それらが何であるかを教えてください。ここで喜んで実行し、結果をお知らせします。
以下に、ufwの件についてコメントします。ここでは、Ubuntu 2008 HardyHeronを使用して8.04年に発生したエラーについて説明します。 彼らはすでに何を修正しましたか? 最も可能性が高いのは、これが事実であるため、心配する理由はありませんが、それでも、バグがそこにあり、それを示すことができたという意味ではありません。死ぬことは悪いことではありませんでしたが、私は悪魔avahi-daemonとexim4を停止しただけでした。問題はすでに解決されています。 すべての中で最も奇妙なことは、これらXNUMXつのプロセスだけが問題を抱えていたことです。
私はその事実を個人的な逸話として言及しました、そして私が言ったとき私は同じ意見を述べました:«私は考える...»
ご挨拶🙂
+1
@雪輝:自分のコンピューターから試しましたか? PCから見ている場合、ブロックされるトラフィックはローカルホストではなくネットワークのトラフィックであるため、Xサービスポートにアクセスできるのは正常です。
http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
https://answers.launchpad.net/gui-ufw/+question/194272
そうでない場合は、バグを報告してください🙂
ご挨拶🙂
nmapの場合はLANネットワークを使用している別のコンピューターから、およびこのページを使用してWeb経由で https://www.grc.com/x/ne.dll?bh0bkyd2カスタムポートオプションを使用して、ufwにブロッキングが設定されていても、avahiとexim4がネットからリッスンしていることに同意しました。
avahi-daemonとexim4の詳細は、サービスを無効にするだけで解決しました。それだけです...当時はバグを報告していませんでしたが、今はそれを行うのは意味がないと思います。ハーディを使用して、2008年に戻った。
2008年は5年前でした。 HardyHeronからRaringRingtailまで、10 *のbuntusがあります。 昨日行われ、今日(2013年XNUMX月)繰り返された私のXubuntuでの同じテストは、すべてにおいて完璧です。 そして私はUFWのみを使用しています。
繰り返しますが、実行する追加のテストはありますか? 喜んでそれを行い、こちら側から何が出てくるかを報告します。
nmapを使用してPCのSYNおよびIDLEスキャンを実行します。これにより、システムの安全性がわかります。
nmapmanには3000以上の行があります。 喜んで実行するコマンドをいただければ、それを実行して結果を報告します。
うーん、nmapの3000人のページについては知りませんでした。 しかし、zenmapは私が言うことを実行するのに役立ちます。これはnmapのグラフィカルなフロントエンドですが、nmapを使用したSYNスキャンのオプションは-sSであり、アイドルスキャンのオプションは-sIですが、正確なコマンドです。私は〜になる。
ubuntuを使用してマシンのIPを指す別のマシンからスキャンを実行します。自分のPCからスキャンを実行しないでください。これは、動作方法ではないためです。
笑!! 線だったときの3000ページについての私の間違い😛
わかりませんが、GNU / Linuxでファイアウォールを管理するためのGUIは賢明なものであり、ubuntuのようにすべてをカバーしたままにしたり、fedoraのようにすべてをカバーしたりしないでください。優れたxDか、ひどいキラーの代替手段xDhjahjahjajaを構成するものでなければなりません。彼らやオープンなjdkと私と戦うことはほとんどありませんが、とにかくキスの原則を守る必要があります
過去にiptablesで発生したすべての障害のおかげで、今日、私はniverl rawを理解できます。つまり、工場から出荷されたときに彼に直接話しかけることができます。
そして、それはそれほど複雑なことではなく、学ぶのはとても簡単です。
投稿の作成者が許可してくれれば、現在使用しているファイアウォールスクリプトの抜粋を投稿します。
##ルールのクリーニング
iptablesの-F
iptablesの-X
iptables-Z
iptables -t nat -F
##デフォルトポリシーを設定します:DROP
iptables -P入力ドロップ
iptables -P 出力ドロップ
iptables -Pフォワードドロップ
#制限なしでローカルホストで操作する
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#マシンがWebにアクセスできるようにする
iptables -A INPUT -p tcp -m tcp –sport 80 -m conntrack –ctstate RELATED、ESTABLISHED -j ACCEPT
iptables -A 出力 -p tcp -m tcp –dport 80 -j ACCEPT
#すでにウェブサイトを保護する
iptables -A INPUT -p tcp -m tcp –sport 443 -m conntrack –ctstate RELATED、ESTABLISHED -j ACCEPT
iptables -A 出力 -p tcp -m tcp –dport 443 -j ACCEPT
#裏返しからのpingを許可する
iptables -A OUTPUT -p icmp –icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp –icmp-type echo-reply -j ACCEPT
#SSHの保護
#iptables -I INPUT -p tcp –dport 22 -m conntrack –ctstate NEW -m limit –limit 30 / minutes –limit-burst 5 -m comment –comment "SSH-kick" -j ACCEPT
#iptables -A INPUT -p tcp -m tcp –dport 22 -j LOG –log-prefix "SSH ACCESS ATTEMPT:" –log-level 4
#iptables -A 入力 -p tcp -m tcp –dport 22 -j ドロップ
#ポートでの発信接続と着信接続を許可するamuleのルール
iptables -A INPUT -p tcp -m tcp –dport 16420 -m conntrack –ctstate NEW -mコメント–コメント "aMule" -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp –sport 16420 -m conntrack –ctstate RELATED、ESTABLISHED -m comment –comment "aMule" -j ACCEPT
iptables -A INPUT -p udp –dport 9995 -mコメント–コメント "aMule" -j ACCEPT
iptables -A OUTPUT -p udp –sport 9995 -j ACCEPT
iptables -A INPUT -p udp -dport 16423 -j ACCEPT
iptables -A OUTPUT -p udp –sport 16423 -j ACCEPT
さて、少し説明します。 ご覧のとおり、デフォルトのDROPポリシーにはルールがあり、何も言わずにチームを出入りすることはありません。
次に、基本、ローカルホスト、およびネットワークのネットワークへのナビゲーションが渡されます。
sshとamuleのルールもあることがわかります。 彼らがどのように行われているかをよく見れば、彼らは彼らが望む他のルールを作ることができます。
秘訣は、ルールの構造を確認し、udpまたはtcpなどの特定のタイプのポートまたはプロトコルに適用することです。
私がここに投稿したことを理解していただければ幸いです。
あなたはそれを説明する投稿をするべきです😉は素晴らしいでしょう。
質問があります。 httpおよびhttps接続を拒否したい場合は、次のようにします。
サーバー「httphttps」ドロップ?
など、どんなサービスでも?
感謝