Hallo allemaal, hier breng ik jullie een kleine en eenvoudige tutorial, om een * firewall * te maken met behulp van een eenvoudig programma genaamd ** Firehol **.
De reden hiervoor is om onze computers een beetje meer veiligheid te bieden in onze internetverbindingen, wat nooit pijn doet.
Wat is Firehol?
Maar eerst wat is Firehol:
> Firehol, is een kleine applicatie die ons helpt om de firewall geïntegreerd in de kernel en zijn iptables tool te beheren. Firehol mist een grafische interface, alle configuratie moet gebeuren via tekstbestanden, maar desondanks is de configuratie nog steeds eenvoudig voor beginnende gebruikers, of krachtig voor wie op zoek is naar geavanceerde opties. Het enige dat Firehol doet, is het maken van iptables-regels zo veel mogelijk vereenvoudigen en een goede firewall voor ons systeem inschakelen.
Met die inleiding tot wat Firehol is en doet, gaan we kijken hoe we het in onze systemen kunnen installeren. Laten we een terminal openen en typen:
Firehol installeren op Debian en derivaten
We openen een terminal en plaatsen:
`sudo apt-get install firehol`
Hoe Firehol op te zetten
Zodra firehol is geïnstalleerd, gaan we verder met het openen van het firehol-configuratiebestand, gelegen in * / etc / firehol / firehol.conf *, hiervoor kunnen we de teksteditor van je keuze gebruiken (gedit, medit, leafpad)
`sudo nano / etc / firehol / firehol.conf`
Eenmaal en daar kunnen we doorgaan met het plaatsen van de volgende inhoud:
# $ Id: client-all.conf, v 1.2 2002/12/31 15:44:34 ktsaou Exp $ # # Met dit configuratiebestand kunnen alle verzoeken die afkomstig zijn van de lokale computer door alle netwerkinterfaces worden verzonden. # # Er mogen geen verzoeken van het netwerk komen. De host wordt # volledig verborgen! Het zal nergens op reageren, en het zal # niet pingbaar zijn, hoewel het in staat zal zijn om iets te genereren # (zelfs pingen naar andere hosts). # versie 5 # Accepteert al het inkomende verkeer van een interface-interface overal ter wereld # Toegangsbeleid, DROP, dat wil zeggen, alle inkomende pakketten weigeren, beleidsverlaging # Alle actieve beschermingsbeleidslijnen helpen om aanvallen zoals SYN Flood, Arp Poison te voorkomen , onder andere bescherming van alle # Serverbeleid, Services die zullen werken (Web, Mail, MSN, Irc, Jabber, P2P) # Alleen voor servers, als u nieuwe services, bijbehorende poorten en protocollen wilt wijzigen of maken # lees de Firehol-handleiding . #server "http https" accepteren #server "imap imaps" accepteren #server "pop3 pop3s" accepteren #server "smtp smtps" accepteren #server irc accepteren #server jabber accepteren #server msn accepteren #server p2p accepteren # Clientbeleid, alles uitgaand verkeer wordt geaccepteerd client alle accepteren
Deze eenvoudige code is meer dan voldoende voor een basisbescherming van onze computers, dus slaan we deze op en verlaten we de teksteditor.
Nu moeten we firehol automatisch laten starten bij elke keer opstarten, en hiervoor gaan we naar het bestand * / etc / default / firehol *, waar we een regel zullen veranderen met de volgende code:
`START_FIREHOL = ja`
We slaan de wijzigingen op in het bestand en voeren nu het volgende uit:
`sudo / sbin / firehol start`
Klaar!!! Hiermee is firehol al in werking gesteld en heeft het de nodige firewall regels gemaakt, en om te zien dat het zo is, voer je gewoon uit:
`sudo iptables -L`
Voor de paranoïde kun je naar de ShieldUP-pagina gaan! en test je nieuwe firewall, ze zullen de test zeker doorstaan.
Ik hoop dat het helpt.
Uitstekende zelfstudie, eenvoudig en effectief, één vraag, waar kan ik zien wie probeerde toegang te krijgen tot mijn computer of een verzoek hiertoe te doen, met Firehol geïnstalleerd
https://blog.desdelinux.net/firehol-iptables-for-human-beings-arch/
Voor Arch 🙂
Sorry, maar dat is erger dan iptables bewerken.
Ik begrijp de goede bedoeling, maar het is onzin.
Groeten van de paranoïde.
Behalve dat jij een iptables-ontwikkelaar bent, wat ik op prijs zou stellen. Een kleine grafische omgeving zou niet slecht zijn. Hoewel het waardeloos is zoals in python.
Bedankt, sorry en vriendelijke groeten.
WIJ WILLEN GEEN INSULTATEN, SPAM OF SLECHTE MELK IN DEZE BLOG !!!!
NIET MEER!!!
Filterden ze de opmerkingen niet?
@sinnerman kalm, in principe heeft de opmerking van @ zetaka01 me niet beledigd, en ik denk ook niet dat het de oorspronkelijke auteur van het bericht beledigt. U heeft het recht om uw mening te uiten, zelfs als u deze niet deelt. Als het op een of andere manier echt beledigend is, gaat je opmerking naar / dev / null. 😉
Ik vind de opmerking slechte melk niet. In RedHat heb ik gezien dat deze interfaces bestaan. Het is niet zo moeilijk om iptables te leren, als je deze blog een beetje leest, kom je scripts tegen.
Erger dan iptables bewerken? Als je dat denkt, respecteer ik het. Maar ik denk dat het ongetwijfeld beter is om te schrijven:
server "http https" accepteren
en poorten 80 en 443 open hebben om apache of een andere webserver te kunnen gebruiken, moet je schrijven:
iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NIEUW, GEVESTIGD -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –dport 443 -m state –state NIEUW, GEVESTIGD -j ACCEPT
En zelfs als u de poorten hebt gewijzigd, is het net zo eenvoudig om de configuratie in Firehol uit te voeren om die wijzigingen aan te brengen.
Ah maar met iptables heb je veel meer flexibiliteit. Als wat u wilt iets grafisch is voor een klant, kunt u zoiets als firestarter gebruiken.
@Hugo met firehol verlies je geen van de iptables-opties, omdat het op dit moment volledige ondersteuning biedt voor alle iptables-opties, inclusief IPv6.
Wat betreft flexibiliteit is Firehol zeer compleet op dit gebied, waardoor NAT, DNAT, definitie van expliciete regels voor elke interface in het systeem, specifieke filtering van poorten op IP- en MAC-adressen mogelijk is, het stelt u in staat om QOS te doen, DMZ tot stand te brengen, transparante cache , duidelijke verkeersclassificatie en manipuleer zelfs het totale verkeer van de verschillende verbindingen die u heeft.
In een notendop; Firehol is krachtig, en het mist zeker een interface, maar het is vooral gericht op de serversector waar geen X'en nodig zijn of geavanceerde gebruikers die geen grafische firewall willen dragen.
Voor degenen die Debian Jessie gebruiken, neemt het geliefde / gehate systeem het over door het Firehol-script correct te starten (soms duurt het maar liefst 30 seconden door de firewall te starten), dus ik raad aan om de daemon te deactiveren met systemctl zet firehol uit, en installeer het iptables-persistent pakket, en sla de firewallconfiguratie met deze methode op.
Uitstekend bericht ... Elav, de gids is geldig voor Ubuntu-derivaten? Een bericht van FIREWALL (PF) voor het FreeBSD-systeem, dat ook tekstueel is, zou goed zijn.
Firehol werkt perfect op Debian en derivaten.