Allereerst gaan alle credits naar @BuienRadarNL, omdat dit bericht is gebaseerd op de zelfstudie je hebt gepost op het forum. Het verschil is dat ik me ga focussen op boog, hoewel het waarschijnlijk zal werken voor andere distributies op basis van systemd.
Wat is Firehol?
vuurhol, is een kleine applicatie die ons helpt bij het beheren van de firewall die in de kernel en zijn tool is geïntegreerd iptables. Firehol mist een grafische interface, alle configuratie moet gebeuren via tekstbestanden, maar desondanks is de configuratie nog steeds eenvoudig voor beginnende gebruikers, of krachtig voor wie op zoek is naar geavanceerde opties. Het enige dat Firehol doet, is het maken van iptables-regels zo veel mogelijk vereenvoudigen en een goede firewall voor ons systeem inschakelen.
Installatie en configuratie
Firehol staat niet in de officiële Arch-repositories, dus we zullen verwijzen naar AUR.
yaourt -S firehol
Daarna gaan we naar het configuratiebestand.
sudo nano /etc/firehol/firehol.conf
En we voegen daar de regels toe, die u kunt gebruiken deze.
Blijf Firehol activeren voor elke startup. Vrij eenvoudig met systemd.
sudo systemctl enable firehol
We zijn Firehol begonnen.
sudo systemctl start firehol
Ten slotte controleren we of de iptables-regels correct zijn gemaakt en geladen.
sudo iptables -L
Schakel IPv6 uit
Zoals firehol niet aankan ip6tabellen en aangezien de meeste van onze verbindingen geen ondersteuning hebben voor IPv6, mijn aanbeveling is om het uit te schakelen.
En boog we voegen toe ipv6.disable = 1 naar de kernelregel in het bestand / etc / default / grub
...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...
Nu regenereren we het grub.cfg:
sudo grub-mkconfig -o /boot/grub/grub.cfg
En Debian genoeg met:
sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf
Ik begrijp het niet. Volg je de tutorial en heb je de firewall al draaien en alle verbindingen geblokkeerd? Een ander ding Een tutorial voor Arch is complex, ik heb bijvoorbeeld nog nooit sudo of yaourt Firewall gebruikt. Het wordt echter begrepen. Of misschien schrijft een nieuw iemand je en krijgt hij een foutmelding. Voor Manjaro is het correcter.
Zoals je @felipe zegt, door de tutorial te volgen en het /etc/firehol/firehol.conf bestand de regels gegeven door @cookie in de plak te plaatsen, heb je al een eenvoudige firewall om het systeem op een basisniveau te beschermen. Deze configuratie werkt voor elke distro waar je Firehol kunt plaatsen, met de eigenaardigheid van elke distro behandelt het zijn diensten op verschillende manieren (Debian via sysvinit, Arch met systemd) en wat betreft de installatie, iedereen weet wat ze hebben, in Arch moet je gebruik de AUR- en yaourt-repos, in Debian zijn de officiële repo's voldoende, en dus in vele andere moet u gewoon een beetje zoeken in de repositories en het installatiecommando aanpassen.
Ik denk dat Yukiteru uw twijfels al heeft opgehelderd.
Nu, over sudo en yaourt, wat mij betreft beschouw ik sudo niet als een probleem, je moet gewoon zien dat het standaard wordt geleverd wanneer je het basissysteem van Arch installeert; en yaourt is optioneel, je kunt de tarball downloaden, uitpakken en installeren met makepkg -si.
bedankt, ik neem nota.
Iets dat ik ben vergeten toe te voegen aan het bericht, maar ik kan het niet bewerken.
https://www.grc.com/x/ne.dll?bh0bkyd2
Op die site kun je je firewall testen 😉 (nogmaals bedankt aan Yukiteru).
Ik heb die tests op mijn Xubuntu uitgevoerd en alles kwam perfect uit! Wat een genot om Linux te gebruiken !!! 😀
Dat is allemaal heel goed ... maar het belangrijkste ontbreekt; Je moet uitleggen hoe de regels zijn gemaakt !!, wat ze betekenen, hoe je nieuwe regels kunt maken ... Als dat niet wordt uitgelegd, heeft het weinig nut: - /
Het maken van nieuwe regels is eenvoudig, de Firehol-documentatie is duidelijk en zeer nauwkeurig in termen van het maken van aangepaste regels, dus als u een beetje leest, kunt u het gemakkelijk aanpassen en aanpassen aan uw behoeften.
Ik denk dat de eerste reden voor de @cookie-post zoals die van mij op het forum, was om gebruikers en lezers een tool te geven waarmee ze hun computers een beetje meer beveiliging kunnen geven, allemaal op een basisniveau. De rest wordt op drift gelaten zodat u zich aan uw behoeften kunt aanpassen.
Als u de link naar de Yukiteru-tutorial leest, zult u zich realiseren dat het de bedoeling is om de applicatie en de configuratie van een basisfirewall bekend te maken. Ik verduidelijkte dat mijn bericht slechts een kopie was die was gericht op Arch.
En dit is 'voor mensen'? o_O
Probeer Gufw op Arch: https://aur.archlinux.org/packages/gufw/ >> Klik op Status. Of ufw als u de voorkeur geeft aan terminal: sudo ufw enable
U bent al beschermd als u een normale gebruiker bent. Dat is 'voor mensen' 🙂
Firehol is echt een front-end voor IPTables en als we het vergelijken met de laatste, is het vrij menselijk 😀
Ik beschouw ufw (Gufw is slechts een interface ervan) als een slechte optie in termen van beveiliging. Reden: voor meer beveiligingsregels die ik in ufw heb geschreven, kon ik niet voorkomen dat in de tests van mijn firewall, zowel via het web als die die ik uitvoerde met nmap, services zoals avahi-daemon en exim4 open zouden lijken, en alleen een Een "stealth" -aanval was voldoende om de kleinste kenmerken van mijn systeem, kernel en services die het draaide, te kennen, iets dat mij niet is overkomen met behulp van firehol of arno's firewall.
Nou, ik weet niet hoe het met jou zit, maar zoals ik hierboven schreef, gebruik ik Xubuntu en mijn firewall werkt met GUFW en ik heb ALLE tests van de link die de auteur heeft geplaatst zonder problemen doorstaan. Allemaal stealth. Niets open. Dus, in mijn ervaring ufw (en dus gufw) zijn ze geweldig voor mij. Ik sta niet kritisch tegenover het gebruik van andere firewall-besturingsmodi, maar gufw werkt perfect en geeft geweldige beveiligingsresultaten.
Als je enkele tests hebt waarvan je denkt dat ze kwetsbaarheden in mijn systeem kunnen veroorzaken, vertel me dan wat ze zijn en ik zal ze hier graag uitvoeren en je de resultaten laten weten.
Hieronder becommentarieer ik iets over het onderwerp ufw, waar ik zeg dat de fout die ik in 2008 zag, met Ubuntu 8.04 Hardy Heron. Wat hebben ze al gecorrigeerd? Het meest waarschijnlijke is dat het zo is, dus er is geen reden om je zorgen te maken, maar toch betekent dat niet dat de bug er was en ik het kon bewijzen, hoewel het niet erg was om dood te gaan, stopte ik alleen de demonen avahi-daemon en exim4, en het probleem is al opgelost. Het gekste van alles is dat alleen die twee processen het probleem hadden.
Ik noemde het feit als een persoonlijke anekdote, en ik gaf dezelfde mening toen ik zei: "Ik overweeg ..."
Groeten 🙂
+1
@Yukiteru: Heb je het geprobeerd vanaf je eigen computer? Als u vanaf uw pc kijkt, is het normaal dat u toegang hebt tot de X-servicepoort, aangezien het verkeer dat wordt geblokkeerd dat van het netwerk is en niet van localhost:
http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
https://answers.launchpad.net/gui-ufw/+question/194272
Zo niet, meld dan een bug 🙂
Groeten ????
Vanaf een andere computer die een Lan-netwerk gebruikt in het geval van nmap, en via het web met behulp van deze pagina https://www.grc.com/x/ne.dll?bh0bkyd2Met behulp van de optie aangepaste poorten waren beiden het erover eens dat avahi en exim4 luisterden vanaf het net, ook al had ufw hun blokkering geconfigureerd.
Dat kleine detail van avahi-daemon en exim4 heb ik opgelost door simpelweg de services uit te schakelen en dat is het ... ik heb op dat moment geen bug gerapporteerd, en ik denk dat het nu geen zin heeft om het te doen, want dat was terug in 2008, met behulp van Hardy.
2008 was 5 jaar geleden; van Hardy Heron tot Raring Ringtail zijn er 10 * buntus. Diezelfde test op mijn Xubuntu, gisteren gedaan en vandaag herhaald (augustus 2013) geeft perfect in alles. En ik gebruik alleen UFW.
Ik herhaal: moet u nog aanvullende tests uitvoeren? Met veel plezier doe ik het en ik rapporteer wat er uit deze kant komt.
Voer een SYN- en IDLE-scan van uw pc uit met behulp van nmap, die u een idee geeft van hoe veilig uw systeem is.
De nmap-man heeft meer dan 3000 regels. Als je mij de opdrachten geeft om met plezier uit te voeren, zal ik het doen en zal ik het resultaat rapporteren.
Hmm Ik wist niets van de 3000 manpages voor nmap. maar zenmap is een hulp om te doen wat ik je vertel, het is een grafische front-end voor nmap, maar toch is de optie voor SYN-scan met nmap -sS, terwijl de optie voor inactieve scan -sI is, maar het exacte commando I zal zijn.
Maak de scan vanaf een andere machine door met ubuntu naar het ip van uw machine te wijzen, doe het niet vanaf uw eigen pc, want zo werkt het niet.
LOL!! Mijn fout ongeveer 3000 pagina's, toen het nog regels waren 😛
Ik weet het niet, maar ik denk dat een GUI daarvoor in GNU / Linux om de firewall te beheren enigszins voorzichtig zou zijn en niet alles onbedekt laten zoals in ubuntu of alles bedekt zoals in fedora, je zou een goede xD moeten zijn, of iets om te configureren de verdomde moordenaar alternatieven xD hjahjahjaja Het heeft weinig dat ik met hen vecht en de open jdk maar uiteindelijk moet je ook het principe van kus houden
Dankzij alle struikelblokken die in het verleden met iptables zijn gebeurd, kan ik vandaag niverl raw begrijpen, dat wil zeggen, rechtstreeks met hem praten zoals het uit de fabriek komt.
En het is niet zo ingewikkeld, het is heel gemakkelijk te leren.
Als de auteur van het bericht het mij toestaat, plaats ik een fragment van het firewallscript dat ik momenteel gebruik.
## Regels schoonmaken
iptables-F
iptables-X
iptables-Z
iptables -t nat -F
## Standaardbeleid instellen: DROP
iptables -P INPUT DROP
iptables -P UITVOER DROP
iptables -P VOORUIT DROP
# Werk zonder beperkingen op localhost
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPTEREN
# Laat de machine naar internet gaan
iptables -A INPUT -p tcp -m tcp –sport 80 -m conntrack –ctstate GERELATEERD, GEVESTIGD -j ACCEPT
iptables -A UITGANG -p tcp -m tcp - poort 80 -j ACCEPTEREN
# Al ook om webs te beveiligen
iptables -A INPUT -p tcp -m tcp –sport 443 -m conntrack –ctstate GERELATEERD, GEVESTIGD -j ACCEPT
iptables -A UITGANG -p tcp -m tcp - poort 443 -j ACCEPTEREN
# Sta ping toe van binnen naar buiten
iptables -A UITGANG -p icmp –icmp-type echo-verzoek -j ACCEPTEREN
iptables -A INPUT -p icmp –icmp-type echo-antwoord -j ACCEPT
# Bescherming voor SSH
#iptables -I INPUT -p tcp –dport 22 -m conntrack –ctstate NIEUW -m limiet –limiet 30 / minuut –limiet-burst 5 -m commentaar –commentaar "SSH-kick" -j ACCEPTEREN
#iptables -A INPUT -p tcp -m tcp –dport 22 -j LOG –log-prefix "SSH ACCESS ATTEMPT:" –log-niveau 4
#iptables -A INPUT -p tcp -m tcp –dport 22 -j DROP
# Regels voor amule om uitgaande en inkomende verbindingen op de poort toe te staan
iptables -A INPUT -p tcp -m tcp –dport 16420 -m conntrack –ctstate NIEUW -m commentaar –commentaar "aMule" -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp –sport 16420 -m conntrack –ctstate GERELATEERD, GEVESTIGD -m commentaar –commentaar "aMule" -j ACCEPT
iptables -A INPUT -p udp –dport 9995 -m commentaar –commentaar "aMule" -j ACCEPT
iptables -A OUTPUT -p udp -sport 9995 -j ACCEPT
iptables -A INPUT -p udp -dport 16423 -j ACCEPT
iptables -A OUTPUT -p udp -sport 16423 -j ACCEPT
Nu een kleine uitleg. Zoals je kunt zien, zijn er standaard de regels met het DROP-beleid, niets verlaat en komt het team binnen zonder dat je het ze vertelt.
Vervolgens worden de basisprincipes doorgegeven, de localhost en de navigatie naar het netwerk van netwerken.
Je kunt zien dat er ook regels zijn voor ssh en amule. Als ze goed kijken hoe ze zijn gedaan, kunnen ze de andere regels maken die ze willen.
De truc is om de structuur van de regels te zien en toe te passen op een specifiek type poort of protocol, of het nu udp of tcp is.
Ik hoop dat je dit begrijpt dat ik zojuist hier heb gepost.
Je moet een bericht plaatsen waarin je het uitlegt 😉 zou geweldig zijn.
Ik heb een vraag. Als u http- en https-verbindingen wilt weigeren, zet ik:
server "http https" neerzetten?
En ga zo maar door met welke service dan ook?
bedankt