सर्व प्रथम, सर्व क्रेडिट्स वर जातात Uk युकिटरू अमानो, कारण हे पोस्ट आधारित आहे प्रशिक्षण आपण मंच वर पोस्ट केले. फरक असा आहे की मी लक्ष केंद्रित करणार आहे कमानजरी हे कदाचित इतर डिस्ट्रॉसवर आधारित असेल systemd.
फायरहोल म्हणजे काय?
फायरहोल, एक छोटा अनुप्रयोग आहे जो आपल्याला कर्नल आणि त्याच्या साधनामध्ये समाकलित केलेला फायरवॉल व्यवस्थापित करण्यास मदत करतो iptables. फायरहोलला ग्राफिकल इंटरफेसचा अभाव आहे, सर्व कॉन्फिगरेशन मजकूर फाइल्सद्वारे केले जाणे आवश्यक आहे, परंतु असे असूनही, नवशिक्या वापरकर्त्यांसाठी कॉन्फिगरेशन अद्याप सोपी आहे किंवा प्रगत पर्याय शोधणा looking्यांसाठी शक्तिशाली आहे. फायरहोल जे करतो ते सर्व शक्य तितके इप्टेबल्स नियम तयार करणे सुलभ करते आणि आमच्या सिस्टमसाठी चांगले फायरवॉल सक्षम करते.
स्थापना आणि संरचना
फायरहोल अधिकृत आर्क रेपॉजिटरीमध्ये नाही, म्हणून आम्ही त्यांचा संदर्भ घेऊ AUR.
yaourt -S firehol
मग आपण कॉन्फिगरेशन फाईल वर जाऊ.
sudo nano /etc/firehol/firehol.conf
आणि आम्ही तेथे नियम समाविष्ट करतो, आपण वापरू शकता estas.
प्रत्येक स्टार्टअपसाठी फायरहोल सक्रिय करणे सुरू ठेवा. सिस्टीमसह खूपच सोपे.
sudo systemctl enable firehol
आम्ही फायरहोल सुरू केले.
sudo systemctl start firehol
शेवटी आम्ही सत्यापित करतो की iptables नियम तयार केले गेले आहेत आणि योग्यरित्या लोड केले गेले आहेत.
sudo iptables -L
IPv6 अक्षम करा
फायरहॉल हाताळत नाही म्हणून ip6 टेबल आणि आमच्या बर्याच कनेक्शनला समर्थन मिळत नाही IPv6, माझी शिफारस ती अक्षम करणे आहे.
En कमान आम्ही जोडतो ipv6.disable = 1 / etc / default / grub फाईल मधील कर्नल लाईनवर
...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...
आता आम्ही पुन्हा निर्माण करतो grub.cfg:
sudo grub-mkconfig -o /boot/grub/grub.cfg
En डेबियन यासह पुरेसे:
sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf
मला कळत नाही. आपण या ट्यूटोरियलचे अनुसरण करता आणि आपल्याकडे आधीच फायरवॉल चालू आहे आणि सर्व कनेक्शन अवरोधित आहेत? दुसरी गोष्ट आर्चसाठीचे ट्यूटोरियल जटिल आहे उदाहरणार्थ मी कधीही सूडो किंवा यॉर्ट फायरवॉल वापरलेले नाही. तथापि हे समजलेले आहे. किंवा कदाचित कोणी नवीन yaourt लिहितो आणि एक त्रुटी मिळेल. मांजरोसाठी हे अधिक योग्य आहे.
जसे आपण @ फिलिप म्हणता तसे ट्यूटोरियल अनुसरण करून आणि /etc/firehol/firehol.conf मध्ये पेस्टमध्ये @ कूकीने दिलेले नियम फाईल करणे, मूलभूत स्तरावर सिस्टीमचे रक्षण करण्यासाठी तुमच्याकडे आधीपासून एक साधा फायरवॉल असेल. ही कॉन्फिगरेशन कोणत्याही डिस्ट्रॉसाठी कार्य करते जिथे आपण फायरहोल ठेवू शकता, प्रत्येक विचित्रतेच्या वैशिष्ट्याने ते वेगवेगळ्या मार्गांनी आपली सेवा हाताळते (डेबियन सिस्विनिट, आर्किट सिस्टमसह) आणि स्थापनेसाठी, प्रत्येकास माहित आहे की त्यांच्याकडे काय आहे, आर्किमध्ये आपण असणे आवश्यक आहे एयूआर आणि यॉर्ट रेपोचा वापर करा, डेबियनमध्ये अधिकृत अधिक आहेत आणि इतर बर्याच ठिकाणी, आपल्याला फक्त रेपॉजिटरीजमध्ये थोडे शोधावे लागेल आणि इन्स्टॉलेशन कमांडशी जुळवून घ्यावे लागेल.
मला असे वाटते की युकिटरूने आधीच आपल्या शंका स्पष्ट केल्या आहेत.
आता सुडो आणि यॉर्ट बद्दल मी माझ्या दृष्टीने sudo ची समस्या मानत नाही, फक्त आपण आर्चची बेस सिस्टम स्थापित करता तेव्हा तो डीफॉल्टनुसार येतो हे पहा; आणि यॉर्ट पर्यायी आहे, आपण टर्बॉल डाउनलोड करू शकता, अनझिप करा आणि मेकपीजी-सीसह स्थापित करू शकता.
धन्यवाद, मी नोंद घेतो.
असे काहीतरी जे मी पोस्टमध्ये जोडायला विसरले, परंतु मी ते संपादित करू शकत नाही.
https://www.grc.com/x/ne.dll?bh0bkyd2
त्या साइटवर आपण आपल्या फायरवॉलची चाचणी घेऊ शकता 😉 (युकीटरू पुन्हा धन्यवाद)
मी माझ्या झुबंटूवर त्या चाचण्या केल्या आणि सर्वकाही परिपूर्ण होते! लिनक्स वापरण्यास किती आनंद झाला !!! 😀
ते सर्व खूप चांगले आहे ... परंतु सर्वात महत्वाची गोष्ट गहाळ आहे; नियम कसे तयार केले जातात ते आपल्याला समजावून सांगावे लागेल !, त्यांचा काय अर्थ आहे, नवीन कसे तयार करावे ... जर ते स्पष्ट केले नाही तर आपण जे ठेवले ते काही उपयोग नाहीः / /
नवीन नियम तयार करणे सोपे आहे, सानुकूल नियम तयार करण्याच्या दृष्टीने फायरहॉल कागदपत्रे स्पष्ट आणि अगदी तंतोतंत आहेत, म्हणून थोडेसे वाचणे आपल्याला त्यास सानुकूलित करणे आणि आपल्या गरजा अनुकूलित करणे सुलभ करेल.
माझ्या मते फोरममधील माझ्या सारख्या @ कुकी पोस्टचे प्रारंभिक कारण म्हणजे वापरकर्त्यांना आणि वाचकांना असे साधन दिले गेले जे त्यांना संगणकास थोडी अधिक सुरक्षा देण्यास परवानगी देईल, सर्व प्राथमिक पातळीवर. आपल्या गरजा अनुकूल करण्यासाठी आपल्यास उर्वरित अडचणी सोडल्या आहेत.
आपण युकिटरू ट्यूटोरियलची लिंक वाचल्यास आपल्या लक्षात येईल की अनुप्रयोग सार्वजनिक करणे आणि मूलभूत फायरवॉलचे कॉन्फिगरेशन करणे हा आपला हेतू आहे. मी हे स्पष्ट केले की माझे पोस्ट फक्त आर्चवर केंद्रित एक प्रत होती.
आणि हे 'मानवांसाठी' आहे? ओ_ओ
आर्चवर गुफडण्याचा प्रयत्न करा: https://aur.archlinux.org/packages/gufw/ >> स्टेटस वर क्लिक करा. किंवा आपण टर्मिनलला प्राधान्य देत असल्यास ufw: sudo ufw सक्षम
आपण सामान्य वापरकर्ता असल्यास आपण आधीच संरक्षित आहात. ते 'मानवांसाठी' आहे 🙂
फायरहोल खरोखरच आयपीटेबल्ससाठी एक फ्रंट-एंड आहे आणि जर आपण त्यास नंतरची तुलना केली तर ते मानवाचे आहे 😀
मी युफडब्ल्यू (गॅफडब्ल्यू फक्त एक इंटरफेस आहे) सुरक्षेच्या दृष्टीने एक वाईट पर्याय म्हणून. कारणः मी युफडब्ल्यूमध्ये लिहिलेल्या अधिक सुरक्षा नियमांसाठी, मी वेबद्वारे आणि एनएमएपी वापरुन केलेल्या फायरवॉलच्या चाचण्यांमध्ये, अवाही-डेमन आणि एक्झिम 4 सारख्या सेवा खुल्या दिसू शकतील आणि फक्त "स्टिल्ट" हल्ला पुरे झाला माझ्या सिस्टीमची सर्वात लहान वैशिष्ट्ये, कर्नल आणि त्या चालणार्या सेवांबद्दल जाणून घेण्यासाठी, फायरहॉल किंवा आर्नोच्या फायरवॉलचा वापर करून माझ्याशी घडलेले नाही.
बरं, मला तुमच्याबद्दल माहित नाही, पण मी वर लिहील्याप्रमाणे मी झुबंटू वापरतो आणि माझे फायरवॉल जीयूएफडब्ल्यूकडे जाते आणि मी लेखकाने अडचणी न आणलेल्या लिंकच्या सर्व चाचण्या पार केल्या. सर्व चोरी. काहीही उघडलेले नाही. तर, माझ्या अनुभवातून (आणि म्हणूनच) ते माझ्यासाठी छान आहेत. मी इतर फायरवॉल कंट्रोल मोड वापरण्यावर टीका करत नाही परंतु gufw निर्दोषपणे कार्य करते आणि उत्कृष्ट सुरक्षा परिणाम देते.
माझ्या सिस्टममध्ये असुरक्षा टाकू शकतात असे आपल्याला वाटणार्या काही चाचण्या असल्यास, ते काय आहेत ते मला सांगा आणि मी त्यांना येथे आनंदाने चालवतो आणि त्याचा परिणाम आपल्याला कळवितो.
खाली मी युफडब्ल्यू च्या विषयावर काही टिप्पणी करतो, जिथे मी असे म्हणतो की उबंटू 2008 हार्डी हेरॉन वापरुन मी 8.04 मध्ये पाहिलेली त्रुटी. त्यांनी आधीच काय दुरुस्त केले आहे? बहुधा अशी गोष्ट आहे की ती तशी आहे म्हणूनच काळजी करण्याचे कोणतेही कारण नाही, परंतु तरीही, याचा अर्थ असा नाही की बग तेथे होता आणि मी त्याचा पुरावा घेऊ शकू, जरी ही मरणे वाईट गोष्ट नव्हती, परंतु मी फक्त दुरात्मे अही-डेमन आणि एक्झिम 4 थांबविली, आणि आधीच समस्या निराकरण सर्वात विचित्र गोष्ट म्हणजे फक्त त्या दोन प्रक्रियेतच समस्या होती.
मी वस्तुस्थितीचा उल्लेख वैयक्तिक किस्सा म्हणून केला आणि जेव्हा मी असे म्हटले तेव्हा मी त्याच प्रकारे विचार केला: «मी विचार करतो ...»
शुभेच्छा 🙂
+1
@ युकिटरू: आपण आपल्या स्वतःच्या संगणकावरुन प्रयत्न केला? जर आपण आपल्या पीसीकडे पहात असाल तर आपण एक्स सर्व्हिस पोर्टमध्ये प्रवेश करू शकता हे सामान्य आहे, कारण अवरोधित केलेली रहदारी नेटवर्कची आहे, लोकल होस्ट नाही:
http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
https://answers.launchpad.net/gui-ufw/+question/194272
तसे नसल्यास कृपया बग नोंदवा 🙂
शुभेच्छा 🙂
एनएमएपच्या बाबतीत लॅन नेटवर्क वापरणार्या दुसर्या संगणकावरून आणि हे पृष्ठ वापरुन वेबद्वारे https://www.grc.com/x/ne.dll?bh0bkyd2सानुकूल पोर्ट पर्यायाचा वापर करून, दोघांनीही मान्य केले की यूएफडब्ल्यूने त्यांचे ब्लॉकिंग कॉन्फिगर केले असले तरीही ओही आणि एक्झिम 4 नेटवरून ऐकत आहेत.
अवही-डेमन आणि एक्झिम 4 ची थोडीशी माहिती मी फक्त सेवा अक्षम करुन सोडविली आणि तेच ... मी त्यावेळी बग नोंदविला नाही, आणि मला वाटते की आता ते करण्यास काही अर्थ नाही, कारण ते २०० 2008 मध्ये हार्डीचा वापर करून परत आले होते.
2008 वर्षांपूर्वी 5 होते; हार्डी हेरॉन ते रेअरिंग रिंगटेल पर्यंत 10 * बंटस आहेत. माझ्या झुबंटूवर तीच परीक्षा काल आणि पुन्हा पुन्हा केली गेली (ऑगस्ट २०१)) प्रत्येक गोष्टीत परिपूर्ण देते. आणि मी फक्त यूएफडब्ल्यू वापरतो.
मी पुन्हा सांगतो: आपल्याकडे काही अतिरिक्त चाचण्या केल्या आहेत का? मी ते आनंदाने करतो आणि या बाजूने काय घडते ते नोंदविते.
आपल्या संगणकाची एनएमएपी वापरुन एसवायएन व आयडीएल स्कॅन करा, यामुळे तुमची प्रणाली किती सुरक्षित आहे याची कल्पना येईल.
एनएमएपी मॅनकडे 3000 पेक्षा जास्त ओळी आहेत. जर तुम्ही मला आनंदाने अंमलात आणण्याचे आदेश दिले तर मी ते करेन आणि मी निकालाची माहिती देईन
हम्म मला एनएमएपसाठी 3000 मॅन पृष्ठांबद्दल माहित नव्हते. परंतु झेनमॅप हे मी तुम्हाला सांगतो तसे करण्यास मदत आहे, हे एनएमएपीसाठी ग्राफिकल फ्रंट-एंड आहे, परंतु तरीही एनएमएपीसह एसवायएन स्कॅनचा पर्याय -sS आहे, तर निष्क्रिय स्कॅनसाठी पर्याय -एसआय आहे, परंतु अचूक आज्ञा मी होईल.
उबंटूने आपल्या मशीनच्या आयपीकडे निर्देशित केलेल्या दुसर्या मशीनचे स्कॅन करा, आपल्या स्वत: च्या संगणकावरून करू नका, कारण ते कसे कार्य करते तेच नाही.
मोठ्याने हसणे!! माझी mistake००० पृष्ठे बद्दलची चूक, जेव्हा ते ओळी असतात
मला माहित नाही परंतु मला वाटते की फायरवॉल व्यवस्थापित करण्यासाठी जीएनयू / लिनक्समधील जीयूआय काही विवेकी असेल आणि उबंटू किंवा फेडोरा प्रमाणे सर्वकाही झाकलेले न ठेवता, आपण चांगले एक्सडी असले पाहिजे किंवा निंदा करणारे किलर विकल्प कॉन्फिगर करण्यासाठी काहीतरी असावे XD हजाजजाजा मी त्यांच्याशी आणि ओपन जेडीकेशी संघर्ष करतो हे थोडेच नाही परंतु शेवटी आपण चुंबन घेण्याचे तत्व देखील पाळले पाहिजे
Iptables सह भूतकाळात झालेल्या सर्व अडखळ्यांबद्दल धन्यवाद, आज मला निव्हर्ल कच्चे समजू शकते, म्हणजे फॅक्टरीमधून आल्यावर त्याच्याशी थेट बोलू शकेल.
आणि ही जटिल गोष्ट नाही, हे शिकणे खूप सोपे आहे.
जर पोस्टचा लेखक मला परवानगी देत असेल तर मी सध्या वापरत असलेल्या फायरवॉल स्क्रिप्टचा एक अंश पोस्ट करेन.
## साफसफाईचे नियम
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## डीफॉल्ट धोरण सेट करा: डीआरओपी
iptables -P इनपुट ड्रॉप
iptables -P OUTPUT ड्रॉप
iptables -P फॉरवर्ड ड्रॉप
# लोकलहोस्टवर मर्यादा न ठेवता ऑपरेट करा
iptables -A इनपुट -i लो -j ACCEPT
iptables -A आउटपुट -o lo -j स्वीकारा
# मशीनला वेबवर जाण्याची परवानगी द्या
आयपटेबल्स -ए इनपुट -पी टीसीपी-एम टीसीपी - -०-मीटर कॉन्ट्रॅक -एकस्टेटशी संबंधित, स्थापना -जे-एसीपीटी
iptables -A OUTPUT -p tcp -m tcp-dport 80 -j ACCEPT
# आधीच वेब सुरक्षित करण्यासाठी
आयपटेबल्स -ए इनपुट -पी टीसीपी-एम टीसीपी - -०-मीटर कॉन्ट्रॅक -एकस्टेटशी संबंधित, स्थापना -जे-एसीपीटी
iptables -A OUTPUT -p tcp -m tcp-dport 443 -j ACCEPT
# आतून पिंगला परवानगी द्या
iptables -A OUTPUT -p icmp-cmp-eco-विनंती -j ACCEPT
आयपटेबल्स -ए इनपुट-पी आयसीएमपी-सीपीपी-प्रकार प्रतिध्वनी-उत्तर -जे एसीसीपीटी
# एसएसएच साठी संरक्षण
#iptables -I INPUT -p tcp –dport 22 -m conntrack tsctstate NEW -m मर्यादा -लिमिट 30 / मिनिट -लिमिट-ब्रेस्ट 5 -m कमेंट-टिप्पणी "एसएसएच-किक" -जे एसीईपीटी
#iptables -A INPUT -p tcp -m tcp portdport 22 -j LOG –log-उपसर्ग "एसएसएच प्रवेश प्राप्त करा:" -लॉग-स्तर 4
#iptables -A इनपुट -p टीसीपी -एम टीसीपी -डोर्ट 22 -j ड्रॉप
पोर्टवर आउटगोइंग आणि इनकमिंग कनेक्शन अनुमत करण्यासाठी ताबीरचे नियम
iptables -A INPUT -p tcp -m tcp -dport 16420 -m कॉन्ट्रॅक –ctstate NEW -m टिप्पणी ment टिप्पणी "aMule" -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp ortsport 16420 -m conntrack –ctstate Relaated, ESTABLISHED -m टिप्पणी - टिप्पणी "aMule" -j ACCEPT
iptables -A INPUT -p udp portdport 9995 -m टिप्पणी - टिप्पणी "aMule" -j ACCEPT
iptables -A OUTPUT -p udp 9995sport XNUMX -j ACCEPT
आयपटेबल्स -ए इनपुट-पी यूडीपी -डिपोर्ट 16423 -जे एसीसीपीटी
iptables -A OUTPUT -p udp 16423sport XNUMX -j ACCEPT
आता थोडे स्पष्टीकरण. आपण पहातच आहात की डीआरओपी धोरणासह काही नियम डीफॉल्टनुसार आहेत, काहीही सांगत नाही आणि संघात प्रवेश केल्याशिवाय आपण त्यांना सांगितले नाही.
नंतर, मूलभूत गोष्टी पुरविल्या जातात, लोकलहोस्ट आणि नेटवर्कच्या नेटवर्कवर नेव्हिगेशन.
आपण पाहू शकता की ssh आणि amule साठी देखील नियम आहेत. ते कसे केले जातात हे जर त्यांना चांगले दिसत असेल तर ते त्यांना हवे असलेले इतर नियम बनवू शकतात.
युक्ति म्हणजे नियमांची रचना पाहणे आणि विशिष्ट प्रकारचे पोर्ट किंवा प्रोटोकॉल लागू करणे, मग ते यूडीपी किंवा टीसीपी असो.
मी आशा करतो की मी येथे नुकताच पोस्ट केलेले हे आपल्याला समजू शकेल.
आपण त्याचे स्पष्टीकरण देणारे एक पोस्ट तयार केले पाहिजे - ते उत्तम होईल.
माझा एक प्रश्न आहे. जर मी तुम्हाला दिलेली http आणि https कनेक्शन नाकारू इच्छित असाल तरः
सर्व्हर "HTTP https" ड्रॉप?
आणि मग कोणत्याही सेवेसह?
धन्यवाद