Како прво, одат сите кредити @YukiteruAmano, бидејќи овој пост е заснован на туториал објавивте на форумот. Разликата е во тоа што ќе се фокусирам на Лак, иако веројатно работи за други дистрибуции засновани на systemd.
Што е Фајрхол?
Фирохол, е мала апликација која ни помага да управуваме со заштитен allид интегриран во јадрото и неговата алатка iptables. На Фајрхол му недостасува графички интерфејс, целата конфигурација мора да се изврши преку текстуални датотеки, но и покрај тоа, конфигурацијата е сè уште едноставна за почетниците, или моќна за оние што бараат напредни опции. Сè што прави Firehol е што е можно поедноставно креирање правила за iptables и овозможи добар заштитен allид за нашиот систем.
Инсталација и конфигурација
Фајрхол не е во официјалните складишта на Арх, затоа ќе се повикаме AUR.
yaourt -S firehol
Потоа одиме во конфигурациската датотека.
sudo nano /etc/firehol/firehol.conf
И ние ги додаваме правилата таму, можете да ги користите estas.
Продолжете да го активирате Firehol за секое стартување. Прилично едноставна со системска.
sudo systemctl enable firehol
Го започнавме Firehol.
sudo systemctl start firehol
Конечно, потврдуваме дека правилата за iptables се создадени и вчитани правилно.
sudo iptables -L
Оневозможете IPv6
Како што не се справува со firehol ip6 табели и бидејќи повеќето од нашите врски немаат поддршка за IPv6, моја препорака е да го оневозможите.
En Лак додаваме ipv6.оневозможи = 1 до линијата на јадрото во датотеката / etc / default / grub
...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...
Сега го регенерираме grub.cfg:
sudo grub-mkconfig -o /boot/grub/grub.cfg
En Debian доволно со:
sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf
26 коментари, оставете ги вашите
Јас не разбирам. Дали го следите упатството и веќе имате Firewall извршено и ги блокиравте сите врски? Друга работа Туторијал за Arch е комплексен, на пример, никогаш не сум користел sudo или yaourt Firewall. Сепак, тоа е разбрано. Или можеби некој нов ќе ти напише и ќе добие грешка. За Манџаро е поправилно.
Како што велите @felipe, следејќи го упатството и ставајќи ја датотеката /etc/firehol/firehol.conf правилата дадени од @cookie во пастата, веќе ќе имате едноставен заштитен allид за да го заштитите системот на основно ниво. Оваа конфигурација работи за секое дистрибуција каде што можете да го ставите Firehol, со посебноста на секое дистрибуција се справува со своите услуги на различни начини (Debian преку sysvinit, Arch со systemd) и што се однесува до инсталацијата, секој знае што има, во Arch мора да користете ги репродукциите AUR и yaourt, во Дебијан официјалните се доволни, па така и во многу други, само треба малку да пребарувате во складиштата и да ја прилагодувате командата за инсталација.
Мислам дека Јукитеру веќе ги расчисти вашите сомнежи.
Сега, за судо и јаурт, од моја страна не го сметам судо за проблем, само треба да видите дека доаѓа стандардно кога ќе го инсталирате основниот систем на Арх; и јаурт е опционален, можете да го преземете тарболот, да го отпакувате и да инсталирате со makepkg -si.
благодарам, забележувам.
Нешто што заборавив да го додадам на објавата, но не можам да го уредувам.
https://www.grc.com/x/ne.dll?bh0bkyd2
На таа страница можете да го тестирате вашиот заштитен allид 😉 (благодарение повторно на Јукитеру).
Ги поминав тие тестови на мојот Xubuntu и сè излезе совршено! Какво задоволство е да се користи Linux !!! 😀
Сето тоа е многу добро ... но недостасува најважното; мора да објасните како се создаваат правилата !!, што тие значат, како да создадете нови ... Ако тоа не е објаснето, ова што го ставате е од мала корист: - /
Создавањето нови правила е едноставно, документацијата за огнот е јасна и многу прецизна во однос на креирање на сопствени правила, така што малку читање ќе ви олесни да го прилагодите и да го прилагодите на вашите потреби.
Мислам дека првичната причина за објавата @cookie како мојата во форумот беше да им се даде на корисниците и на читателите алатка што им овозможува да им дадат на своите компјутери малку поголема безбедност, сето тоа на основно ниво. Останатиот дел е оставен на тег за да се прилагодите на вашите потреби.
Ако ја прочитате врската до упатството за Јукитеру, ќе сфатите дека намерата е да се објават апликацијата и конфигурацијата на основниот заштитен allид. Појаснив дека мојот пост е само копија фокусирана на Арх.
И ова е „за луѓето“? о_О
Обидете се со Гуфв на Арх: https://aur.archlinux.org/packages/gufw/ >> Кликнете на Статус. Или ufw ако претпочитате терминал: овозможете sudo ufw
Веќе сте заштитени ако сте нормален корисник. Тоа е „за луѓето“
Фајрхол навистина е Front-End за IPTables и ако го споредиме со вториот, тој е прилично човечки
Јас го сметам ufw (Gufw е само негов интерфејс) како лоша опција во однос на безбедноста. Причина: за повеќе безбедносни правила што ги напишав во ufw, не можев да го спречам тоа при тестовите на мојот заштитен allид и преку Интернет и оние што ги извршив со помош на nmap, услугите како avahi-daemon и exim4 ќе се појават отворени и само „Стелт“ нападот беше доволен за да ги знам најмалите карактеристики на мојот систем, јадрото и услугите што ги извршуваше, што не ми се случило да користам firewhol или firewall на арно.
Па, не знам за вас, но како што напишав погоре, го користам Xubuntu и мојот заштитен allид оди со GUFW и ги поминав СИТЕ тестови на врската што авторот ги стави без проблеми. Сите скришум. Ништо отворено. Според мое искуство, ufw (и затоа gufw) тие се одлични за мене. Јас не сум критичен за употреба на други режими на заштитен ид, но gufw работи беспрекорно и дава одлични безбедносни резултати.
Ако имате некои тестови за кои мислите дека можат да предизвикаат ранливости во мојот систем, кажете ми кои се тие и јас со задоволство ќе ги извршам тука и ќе ве известам за резултатите.
Подолу коментирам нешто на темата ufw, каде што велам дека грешката што ја видов во 2008 година, користејќи Убунту 8.04 Харди Херон. Што веќе коригираа? Најверојатно е дека е така, затоа нема причина да се грижите, но и покрај тоа, тоа не значи дека бубачката беше таму и јас можев да го докажам тоа, иако не беше лошо да умрам, јас само ги запрев демоните авахи-демон и егзим4, и веќе проблемот е решен. Најчудно од сè е што само тие два процеса го имаа проблемот.
Јас го споменав фактот како лична анегдота и го дадов истото мислење кога реков: «Сметам ...»
Поздрав
+1
@Yukiteru: Дали го пробавте од ваш сопствен компјутер? Ако барате од вашиот компјутер, нормално е дека можете да пристапите до приклучокот за услуги X, бидејќи сообраќајот што е блокиран е од мрежата, а не од localhost:
http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
https://answers.launchpad.net/gui-ufw/+question/194272
Ако не, пријавете грешка
Поздрав
Од друг компјутер што користи Лан мрежа во случај на nmap и преку Интернет користејќи ја оваа страница https://www.grc.com/x/ne.dll?bh0bkyd2Користејќи ја опцијата за прилагодени пристаништа, двајцата се согласија дека avahi и exim4 слушаат од мрежата, иако ufw има конфигурирано блокирање.
Тој мал детал од avahi-daemon и exim4 го решив со едноставно оневозможување на услугите и тоа е тоа ... Јас не пријавив грешка тогаш и мислам дека нема смисла да го сторам тоа сега, бидејќи тоа беше уште во 2008 година, користејќи го Харди.
2008 година беше пред 5 години; од Харди Херон до Ретко мелодија има 10 * таблети. Истиот тој тест на мојот Xubuntu, направен вчера и повторен денес (август 2013 година) дава совршен во сè. И јас користам само UFW.
Повторувам: Дали имате дополнителни тестови за извршување? Јас го правам тоа со задоволство и известувам за тоа што произлегува од оваа страна.
Направете SYN и IDLE скенирање на вашиот компјутер користејќи nmap, што ќе ви даде идеја за тоа колку е безбеден вашиот систем.
Човекот nmap има повеќе од 3000 линии. Ако ми ги предадете командите да ги извршувам со задоволство, ќе го сторам тоа и ќе го пријавам резултатот
Хм, не знаев за 3000-те страници за nmap. но zenmap е помош за да го сториш тоа што ти го кажувам, тоа е графички преден дел за nmap, но сепак опцијата за SYN скенирање со nmap е -sS, додека опцијата за празно скенирање е -sI, но точната команда Јас ќе бидам.
Направете скенирање од друга машина што покажува на ip на вашата машина со ubuntu, не правете го тоа од вашиот сопствен компјутер, затоа што не функционира така.
СМЕЕЊЕ НА ГЛАС!! Моја грешка околу 3000 страници, кога тие беа редови
Не знам, но мислам дека GUI за тоа во GNU / Linux да управува со заштитен allид би бил нешто претпазлив и да не остави сè откриено како во ubuntu или сè што е покриено како во Fedora, треба да си добар xD, или нешто за да ги конфигурираш проклетите убијци алтернативи xD hjahjahjaja Малку е што се борам со нив и со отворениот jdk, но на крајот мора да го задржите и принципот на бакнеж
Благодарение на сите сопнувања што се случуваа во минатото со iptables, денес можам да разберам niverl raw, односно да зборувам директно со него како што доаѓа од фабриката.
И не е нешто толку комплицирано, многу е лесно да се научи.
Ако авторот на објавата ми дозволи, ќе објавам извадок од скриптата за заштитен allид што ја користам во моментов.
## Чистење на правила
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Поставете стандардна политика: ОТСТРАНЕ
iptables -P ВЛЕЗ ВОВЕД
iptables -P ИЗЛЕЗ КАПА
iptables -P НАПРЕД КАПА
# Работете на localhost без ограничувања
iptables -A ВЛЕЗ -i lo -j ПРИФАА
iptables -A ИЗЛЕЗ -o lo -j ПРИФАА
# Дозволете машината да оди на Интернет
iptables -A INPUT -p tcp -m tcp –sport 80 -m conntrack –ctstate ПОВРЗАНИ, РАБОТЕНИ -j ПРИФАА
iptables -A ИЗЛЕЗ -p tcp -m tcp –pport 80 -j ПРИФАА
# Веќе, исто така, за да обезбедиме мрежи
iptables -A INPUT -p tcp -m tcp –sport 443 -m conntrack –ctstate ПОВРЗАНИ, РАБОТЕНИ -j ПРИФАА
iptables -A ИЗЛЕЗ -p tcp -m tcp –pport 443 -j ПРИФАА
# Дозволете пинг од внатре кон надвор
iptables -A OUTPUT -p icmp –icmp-тип на ехо-барање -j ПРИФАА
iptables -A INPUT -p icmp - тип на ехп-одговор од типот -j ACCEPT
# Заштита за SSH
#iptables -I INPUT -p tcp –dport 22 -m conntrack –ctstate NEW - m limit - ограничување 30 / минута –limit-burst 5-m comment - коментар „SSH-kick“ -j ACCEPT
#iptables -A INPUT -p tcp -m tcp –dport 22 -j LOG –log-prefix "SSH ACCESS ATTEMPT:" –log-level 4
#табли -A ВЛЕЗ -p tcp -m tcp –pport 22 -j DROP
# Правила за амајлија за да се дозволат излезни и дојдовни врски на пристаништето
iptables -A INPUT -p tcp -m tcp –dport 16420 -m conntrack –ctstate NEW -m comment - коментар „aMule“ -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp –sport 16420 -m conntrack –ctstate ПОВРЗАНИ, ОСНОВАНИ -m коментар - коментар „aMule“ -j ПРИФАА
iptables -A INPUT -p udp –dport 9995 -m коментар - коментар „aMule“ -j ACCEPT
iptables -A ИЗЛЕЗ -p udp –спорт 9995 -j ПРИФАА
iptables -A ВЛЕЗ -p udp –pport 16423 -j ПРИФАА
iptables -A ИЗЛЕЗ -p udp –спорт 16423 -j ПРИФАА
Сега малку објаснување. Како што можете да видите, постојат правила со правилата DROP по дифолт, ништо не заминува и влегува во тимот без вие да им кажете.
Потоа, се донесуваат основите, локалниот хост и навигацијата до мрежата на мрежи.
Можете да видите дека исто така има правила за ssh и amule. Ако изгледаат добро како се прават, можат да направат други правила што ги сакаат.
Трикот е да се види структурата на правилата и да се примени на специфичен тип на порта или протокол, било да е тоа udp или tcp.
Се надевам дека можете да го разберете ова што го објавив овде.
Треба да направите објава во која ќе го објасните ... би било одлично.
Имам прашање. Во случај да сакате да ги одбиете врските со http и https што ги ставам:
пад на серверот "http https"?
И така натаму со која било услуга?
Благодарам