Firehol: azo ampiasaina amin'ny olombelona (Arch)

Voalohany indrindra, mankany ny crédit rehetra @YukiteruAmano, satria ity lahatsoratra ity dia miorina amin'ny tutorial nalefanao tao amin'ny forum. Ny maha samy hafa azy dia ny hifantohako andohalambo, na dia mety ho an'ny disto hafa mifototra amin'ny systemd.

Inona ny Firehol?

Firehol, dia rindranasa kely izay manampy antsika hitantana ny firewall tafiditra ao anaty kernel sy ny fitaovany iptables. Firehol tsy manana interface graphique, ny configurement rehetra dia tsy maintsy atao amin'ny alàlan'ny rakitra an-tsoratra, saingy na eo aza izany, ny fikirakirana dia mbola tsotra ihany ho an'ireo mpampiasa vao, na mahery ho an'ireo izay mitady safidy mandroso. Izay rehetra ataon'i Firehol dia manamora ny famoronana fitsipika iptables araka izay azo atao ary manome firewall tsara ho an'ny rafitray.

Fametrahana sy fikirakirana

Firehol dia tsy ao amin'ny repositories ofisialy Arch, noho izany dia hiresaka momba izany izahay AUR.

yaourt -S firehol
Avy eo mankany amin'ny fisie fikirakirana isika.

sudo nano /etc/firehol/firehol.conf

Ary ampianay ao ny lalàna, azonao ampiasaina estas.

Ampandehano hatrany ny Firehol isaky ny fanombohana. Tsotra tsotra miaraka amin'ny systemd.

sudo systemctl enable firehol

Nanomboka ny Firehol izahay.

sudo systemctl start firehol

Farany manamarina izahay fa ny fitsipika iptables dia noforonina ary napetraka tsara.

sudo iptables -L

Atsaharo ny IPv6

Toy ny firehol tsy mahazaka ip6 latabatra ary satria ny ankamaroan'ny fifandraisanay dia tsy manana fanohanana IPv6, ny tolo-kevitro dia ny hanafoanana azy.

En andohalambo manampy izahay ipv6.disable = 1 mankany amin'ny tsipika kernel ao amin'ny fisie / etc / default / grub


...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...

Izao dia mamerina indray ny grub.cfg:

sudo grub-mkconfig -o /boot/grub/grub.cfg

En Debian ampy amin'ny:

sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf


Ny atin'ny lahatsoratra dia manaraka ny fitsipiky ny etika fanonta. Raha hitatitra tsindry diso eto.

26 hevitra, avelao ny anao

Avelao ny hevitrao

Ny adiresy email dia tsy ho namoaka. Mitaky saha dia marika amin'ny *

*

*

  1. Tompon'andraikitra amin'ny data: Miguel Ángel Gatón
  2. Tanjon'ny angona: Control SPAM, fitantanana hevitra.
  3. Legitimation: Ny fanekenao
  4. Fifandraisana momba ny angona: Tsy hampitaina amin'ny antoko fahatelo ny angona raha tsy amin'ny adidy ara-dalàna.
  5. Fitehirizana angona: Database nomen'ny Occentus Networks (EU)
  6. Zo: Amin'ny fotoana rehetra, azonao atao ny mametra, mamerina ary mamafa ny mombamomba anao.

  1.   Felipe dia hoy izy:

    Tsy azoko. Manaraka ny tutorial ve ianao ary efa manana ny Firewall mihazakazaka ary manakana ny fifandraisana rehetra? Zavatra iray hafa Mazava ho azy ny tutorial ho an'ny Arch, ohatra, mbola tsy nampiasa sudo na yaourt Firewall. Na izany aza dia takatra izany. Na mety misy olona vaovao manoratra anao ary hahazo lesoka. Ho an'i Manjaro dia marina kokoa.

    1.    Yukiteru dia hoy izy:

      Araka ny voalazanao @felipe, manaraka ny tutorial ary mametraka ao anaty /etc/firehol/firehol.conf mametraka ny lalàna nomen'i @cookie ao anaty pasteur, dia efa manana firewall tsotra ianao hiarovana ny rafitra amin'ny ambaratonga fototra. Ity fanaingoana ity dia miasa amin'ny distro rehetra ahafahanao mametraka Firehol, miaraka amin'ny mampiavaka ny distro tsirairay dia mitantana ny serivisy amin'ny fomba samihafa (Debian amin'ny alàlan'ny sysvinit, Arch miaraka amin'ny systemd) ary raha ny fametrahana azy, fantatry ny rehetra izay ananany, ao amin'ny Arch ianao dia mila Ampiasao ny repo AUR sy yaourt, amin'ny Debian dia ampy ny ofisialy, ary toy izany amin'ny maro hafa, mila mikaroka kely fotsiny ao amin'ireo trano fitahirizana ianao ary mampifanaraka ny baiko fametrahana.

  2.   ci dia hoy izy:

    misaotra, manamarika aho.

  3.   config dia hoy izy:

    Tena tsara daholo izany ... fa ny tena zava-dehibe tsy hita; Tokony hazavao ny fomba namoronana ny lalàna !!, ny dikan'izany, ny fomba famoronana vaovao ... Raha tsy hazavaina izany, dia tsy dia misy dikany firy ny apetrakao: - /

    1.    Yukiteru dia hoy izy:

      Tsotra ny famoronana fitsipika vaovao, mazava ny antontan-taratasy firehol ary tena marina amin'ny resaka famoronana fitsipika manokana, noho izany ny famakiana kely dia ho mora aminao ny manamboatra azy sy mampifanaraka azy amin'izay ilainao.

      Heveriko fa ny antony voalohany nandefasana ny @cookie post toa ahy tao amin'ny forum, dia ny fanomezana fitaovana ho an'ireo mpampiasa sy mpamaky mamela azy ireo hanome fiarovana kely kokoa ny solosain'izy ireo, amin'ny ambaratonga fototra rehetra. Ny sisa tavela avela ho anao hifanaraka amin'ny filanao.

    2.    mofomamy dia hoy izy:

      Raha mamaky ny rohy mankany amin'ny tutorial Yukiteru ianao dia ho tsapanao fa ny fikasana dia ny fampahalalana ny fampiharana sy ny fikirakirana rindrina fototra. Nanazava aho fa ny lahatsoratro dia kopia iray niompana tamin'i Arch.

  4.   Maakoba dia hoy izy:

    Ary ity dia 'ho an'ny olombelona'? o_O
    Andramo ny Gufw amin'ny Arch: https://aur.archlinux.org/packages/gufw/ >> Tsindrio ny Status. Na ufw raha tianao ny terminal: sudo ufw alefaso

    Efa voaro ianao raha mpampiasa mahazatra. Izany dia 'ho an'ny olombelona' 🙂

    1.    elav dia hoy izy:

      Firehol dia tena Front-End ho an'ny IPTables ary raha ampitahaintsika amin'ny farany dia tena olombelona 😀

    2.    Yukiteru dia hoy izy:

      Heveriko fa ufw (ny Gufw dia mpifanaraka aminy fotsiny) ho safidy ratsy amin'ny resaka filaminana. Antony: ho an'ny lalàna fiarovana bebe kokoa izay nosoratako tao amin'ny ufw, tsy azoko nosakanana izany tamin'ny fitsapana ny firewall-ko tamin'ny alàlan'ny Internet sy ireo izay nataoko tamin'ny fampiasana nmap, ireo serivisy toy ny avahi-daemon sy exim4 dia hisokatra misokatra, ary Ny fanafihana "mangalatra" dia ampy hahafantarana ireo toetra bitika indrindra amin'ny rafitro sy ny kernel ary ny serivisy izay nihazakazaka, zavatra tsy mbola nahazo ahy tamin'ny fampiasana firehol na firewall arno.

      1.    Giskard dia hoy izy:

        Eny, tsy fantatro ny momba anao, fa araka ny nanoratako tetsy ambony, mampiasa Xubuntu aho ary mandeha amin'ny GUFW ny firewall ary nandalo ny fitsapana REHETRA an'ny rohy napetraky ny mpanoratra tsy nisy olana aho. Fangalarana rehetra. Tsy misy misokatra. Noho izany, amin'ny zavatra niainako ufw (ary noho izany gufw) dia tsara ho ahy izy ireo. Tsy mitsikera ny fampiasana maodely fanaraha-maso firewall hafa aho, fa gufw dia miasa tsy misy kilema ary manome valiny fiarovana lehibe.

        Raha manana fitsapana izay heverinao fa mety hanary fahalemena ao amin'ny rafitrao aho dia lazao amiko hoe inona izy ireo ary ho entiko eto izy ireo ary hampahafantariko anao ny valiny.

        1.    Yukiteru dia hoy izy:

          Eto ambany aho dia manome hevitra momba ny resaka ufw, izay ilazako fa ny lesoka hitako tamin'ny 2008, amin'ny fampiasana Ubuntu 8.04 Hardy Heron. Inona no efa nohamarinin'izy ireo? Ny zavatra azo inoana indrindra dia hoe izany no izy, ka tsy misy antony tokony hitaintainana, kanefa na dia izany aza, tsy midika izany fa teo ilay bibikely ary azoko aseho azy, na dia tsy zavatra ratsy tokony ho faty aza izany, dia nampijanona ny demony avahi-daemon sy exim4, ary efa voavaha ny olana. Ny zavatra hafahafa indrindra dia ireo dingana roa ireo ihany no nanana ny olana.

          Notanisako ho toy ny tantaram-piainan'olona manokana io zava-misy io, ary nieritreritra toy izany koa aho rehefa nilaza hoe: «Mihevitra aho ...»

          Miarahaba 🙂

    3.    Giskard dia hoy izy:

      +1

  5.   izay tao anatin'ny lasakany dia hoy izy:

    @Yukiteru: Nanandrana azy tamin'ny solosainao manokana ve ianao? Raha mijery amin'ny PC-nao ianao, ara-dalàna raha afaka miditra amin'ny seranan-tseranana X ianao, satria ny fifamoivoizana voasakana dia ny an'ny tamba-jotra fa tsy ny localhost:
    http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
    https://answers.launchpad.net/gui-ufw/+question/194272

    Raha tsy izany dia mitenena bug bug
    Miarahaba 🙂

    1.    Yukiteru dia hoy izy:

      Avy amin'ny solosaina hafa mampiasa tambajotra Lan raha misy nmap, ary amin'ny alàlan'ny Internet mampiasa ity pejy ity https://www.grc.com/x/ne.dll?bh0bkyd2Amin'ny fampiasana ny safidin'ny seranana manokana dia samy nanaiky izy ireo fa ny avahi sy ny exim4 dia mihaino avy amin'ny Internet na dia ufw aza dia namboarina ny fanakanana.

      Namaha io antsipiriany kely momba ny avahi-daemon sy exim4 io aho tamin'ny alàlan'ny fanalana ny serivisy tsotra izao ary dia izay ... Tsy nitory bibikely aho tamin'izany fotoana izany, ary heveriko fa tsy mitombina ny fanaovana azy izao, satria niverina izany tamin'ny 2008, mampiasa Hardy.

      1.    Giskard dia hoy izy:

        2008 dia 5 taona lasa izay; avy any Hardy Heron ka hatrany amin'ny Raring Ringtail misy 10 * buntus. Ity fitsapana ity tao amin'ny Xubuntu nataoko omaly ary naverimberina androany (Aogositra 2013) dia manome lafatra amin'ny zavatra rehetra. Ary UFW ihany no ampiasaiko.

        Averiko ihany: Misy fitsapana fanampiny hatao ve ianao? Amin'ny fahafinaretana no anaovako izany ary tateriko izay mivoaka avy amin'ity lafiny ity.

        1.    Yukiteru dia hoy izy:

          Manaova scan SYN sy IDLE an'ny solosainao amin'ny alàlan'ny nmap, izay hanome anao hevitra hoe azo antoka ve ny rafitrao.

          1.    Giskard dia hoy izy:

            Ny lehilahy nmap dia manana tsipika 3000 mahery. Raha omenao ahy ny baiko hampihatra amin'ny fahafinaretana dia hataoko izany ary hotateriko ny vokany.

          2.    Yukiteru dia hoy izy:

            Hmm tsy fantatro ny pejy 3000 lehilahy ho an'ny nmap. fa zenmap dia fanampiana hanatanterahana izay nolazaiko anao, sary eo alohan'ny sary ho an'ny nmap, saingy mbola ny safidy ho an'ny scan SYN miaraka amin'ny nmap dia -sS, raha ny safidy ho an'ny scan tsy miasa dia -sI, fa ny baiko marina Izaho dia ho.

            Ataovy ny scan amin'ny milina hafa manondro ny ip an'ny masininao amin'ny ubuntu, aza atao amin'ny PC-nao, satria tsy izany no fiasa.

          3.    Yukiteru dia hoy izy:

            TPT!! Ny hadisoako momba ny pejy 3000, raha andalana 😛

  6.   Jeus Israel Perales Martinez dia hoy izy:

    Tsy haiko fa mieritreritra aho fa ny GUI ho an'izany ao amin'ny GNU / Linux hitantanana ny firewall dia ho malina ary tsy hamela ny zava-miafina rehetra toy ny ao amin'ny ubuntu na izay rehetra rakotra toy ny amin'ny Fedora, tokony ho xD tsara ianao, na zavatra hanamboarana ireo fomba hafa mpamono olona xD hjahjahjaja Tsy dia kely ny ady ataoko amin'izy ireo sy ny jdk misokatra fa amin'ny farany dia mila mitandrina ny fitsipiky ny fanorohana ihany koa ianao

  7.   Mauricio dia hoy izy:

    Misaotra ireo vato misakana rehetra nitranga taloha tamin'ny iptables, androany dia azoko tsara ny niverl raw, izany hoe miresaka aminy mivantana avy amin'ny ozinina.

    Ary tsy zavatra manahirana izy io, fa tena mora ny mianatra.

    Raha mamela ahy ny mpanoratra ny lahatsoratra dia handefa sombin-tsoratra ny script firewall ampiasaiko aho izao.

    ## Fitsipika fanadiovana
    iptables -F
    iptables -X
    iptables -Z
    iptables -t nat -F

    ## Mametraha politika tsy misy fangarony: DROP
    iptables -P INPUT DROP
    iptables -P DROP OUTPUT
    iptables -P MANDRITRA MITONDRA

    # Miasa amin'ny localhost tsy misy fetra
    iptables -A INPUT -i lo -j MANAIKY
    iptables -A OUTPUT -o lo -j MANAIKY

    # Avelao ny milina handeha amin'ny Internet
    iptables -A INPUT -p tcp -m tcp –sport 80 -m mampifandray –ctstate mifandraika, naorina -j MANAIKY
    iptables -A OUTPUT -p tcp -m tcp –dport 80 -j MANAIKY

    # Efa miaro tranokala ihany koa
    iptables -A INPUT -p tcp -m tcp –sport 443 -m mampifandray –ctstate mifandraika, naorina -j MANAIKY
    iptables -A OUTPUT -p tcp -m tcp –dport 443 -j MANAIKY

    # Avelao ny ping avy ao anatiny hivoaka
    iptables -A OUTPUT -p icmp – fangatahana echo-type -j -mpANDRAY
    iptables -A INPUT -p icmp –icmp-karazana echo-reply -j MANAIKY

    # Fiarovana ho an'ny SSH

    #iptables -I INPUT -p tcp –dport 22 -m conntrack –ctstate NEW -m fetra - limit 30 / minitra –limit-burst 5 -m comment –comment "SSH-kick" -j ACCEPT
    #iptables -A INPUT -p tcp -m tcp –dport 22 -j LOG –log-preview "SSH ACCESS ATTEMPT:" –log-level 4
    #iptables -A INPUT -p tcp -m tcp –dport 22 -j DROPA

    # Fitsipika ho an'ny amule hamelana ireo fifandraisana mivoaka sy miditra ao amin'ny seranan-tsambo
    iptables -A INPUT -p tcp -m tcp –dport 16420 -m conntrack –ctstate NEW -m comment –comment "aMule" -j ACCEPT
    iptables -A OUTPUT -p tcp -m tcp –sport 16420 -m conntrack –ctstate RELATED, ESTABLISHED -m comment –comment "aMule" -j ACCEPT
    iptables -A INPUT -p udp –dport 9995 -m comment –comment "aMule" -j ACCEPT
    iptables -A OUTPUT -p udp –sport 9995 -j MANAIKY
    iptables -A INPUT -p udp –dport 16423 -j MANAIKY
    iptables -A OUTPUT -p udp –sport 16423 -j MANAIKY

    Fanazavana kely izao. Araka ny hitanao, misy ny lalàna miaraka amin'ny politikan'ny DROP amin'ny alàlan'ny default, tsy misy na inona na inona miala ary miditra amin'ny ekipa raha tsy milaza azy ireo ianao.

    Avy eo, lany ny fototra, ny localhost ary ny fitetezana ny tamba-jotra.

    Azonao atao ny mahita fa misy koa ny lalàna mifehy ny ssh sy amule. Raha mijery tsara ny fomba anaovany azy izy ireo, dia afaka manao ny lalàna hafa tadiaviny.

    Ny fikafika dia ny mahita ny firafitry ny lalàna ary mihatra amin'ny karazana seranan-tsambo na protokol manokana, na udp na tcp.

    Manantena aho fa azonareo ny momba an'io vao avy navoakako teto.

    1.    mofomamy dia hoy izy:

      Tokony hanao lahatsoratra manazava izany ianao 😉 mety tsara.

  8.   @Jlcmux dia hoy izy:

    Manana fanontaniana aho. Raha te handà ny fifandraisana http sy https ianao dia apetrako:

    mpizara "http https" milatsaka?

    Ary toy izany hatrany amin'ny serivisy rehetra?

    Gracias