În primul rând, toate creditele merg la @YukiteruAmano, deoarece această postare se bazează pe tutorial ai postat pe forum. Diferența este că mă voi concentra asupra Arc, deși probabil va funcționa pentru alte distribuții bazate pe systemd.
Ce este Firehol?
firehol, este o aplicație mică care ne ajută să gestionăm firewall-ul integrat în kernel și instrumentul său iptables. Firehol nu are o interfață grafică, toate configurațiile trebuie să fie realizate prin fișiere text, dar în ciuda acestui fapt, configurația este încă simplă pentru utilizatorii începători sau puternică pentru cei care caută opțiuni avansate. Firehol nu face decât să simplifice cât mai mult posibil crearea de reguli iptables și să permită un firewall bun pentru sistemul nostru.
Instalare și configurare
Firehol nu se află în depozitele oficiale Arch, așa că ne vom referi la AUR.
yaourt -S firehol
Apoi mergem la fișierul de configurare.
sudo nano /etc/firehol/firehol.conf
Și adăugăm regulile acolo, pe care le puteți folosi estas.
Continuați să activați Firehol pentru fiecare pornire. Destul de simplu cu systemd.
sudo systemctl enable firehol
Am început Firehol.
sudo systemctl start firehol
În cele din urmă verificăm dacă regulile iptables au fost create și încărcate corect.
sudo iptables -L
Dezactivați IPv6
Deoarece firehol nu se descurcă ip6tables și din moment ce majoritatea conexiunilor noastre nu au suport pentru IPv6, recomandarea mea este să o dezactivați.
En Arc adaugam ipv6.disable = 1 la linia de nucleu din fișierul / etc / default / grub
...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...
Acum regenerăm grub.cfg:
sudo grub-mkconfig -o /boot/grub/grub.cfg
En Debian suficient cu:
sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf
Nu inteleg. Urmăriți tutorialul și aveți deja Firewall-ul rulat și toate conexiunile blocate? Un alt lucru Un tutorial pentru Arch este complex, de exemplu nu am folosit niciodată sudo sau yaourt Firewall. Cu toate acestea este Înțeles. Sau poate cineva nou scrie yaourt și va primi o eroare. Pentru Manjaro este mai corect.
După cum spuneți @felipe, urmând tutorialul și introducând în fișierul /etc/firehol/firehol.conf regulile date de @cookie în paste, veți avea deja un firewall simplu pentru a proteja sistemul la un nivel de bază. Această configurație funcționează pentru orice distribuție în care puteți pune Firehol, cu particularitatea fiecărei distro, care își gestionează serviciile în moduri diferite (Debian prin sysvinit, Arch cu systemd) și în ceea ce privește instalarea, toată lumea știe ce are, în Arch trebuie să folosiți repourile AUR și yaourt, în Debian sunt suficiente cele oficiale, așa că în multe altele trebuie doar să căutați puțin în depozite și să adaptați comanda de instalare.
Cred că Yukiteru v-a clarificat deja îndoielile.
Acum, despre sudo și yaourt, la rândul meu, nu consider sudo o problemă, văd doar că vine implicit când instalați sistemul de bază al Arch; iar yaourt este opțional, puteți descărca tarball-ul, dezarhivați-l și instalați-l cu makepkg -si.
mulțumesc, iau notă.
Ceva pe care am uitat să-l adaug la postare, dar nu-l pot edita.
https://www.grc.com/x/ne.dll?bh0bkyd2
Pe acel site vă puteți testa firewall-ul 😉 (mulțumesc din nou lui Yukiteru).
Am efectuat testele respective pe Xubuntu și totul a ieșit perfect! Ce încântare să folosești Linux !!! 😀
Toate acestea sunt foarte bune ... dar cel mai important lucru lipsește; Trebuie să explicați cum sunt create regulile !!, ce înseamnă acestea, cum să creați altele noi ... Dacă acest lucru nu este explicat, ceea ce puneți este de puțin folos: - /
Crearea de reguli noi este simplă, documentația firehol este clară și foarte precisă în ceea ce privește crearea de reguli personalizate, astfel încât să citiți un pic vă va facilita personalizarea și adaptarea la nevoile dvs.
Cred că motivul inițial al postării @cookie ca a mea în forum, a fost de a oferi utilizatorilor și cititorilor un instrument care le permite să ofere computerelor lor ceva mai multă securitate, totul la un nivel de bază. Restul este lăsat în derivă pentru ca tu să te adaptezi nevoilor tale.
Dacă citiți linkul către tutorialul Yukiteru, veți realiza că intenția este să faceți publicitate aplicației și configurației unui firewall de bază. Am clarificat că postarea mea era doar o copie axată pe Arch.
Și asta este „pentru oameni”? o_O
Încercați Gufw pe Arch: https://aur.archlinux.org/packages/gufw/ >> Faceți clic pe Stare. Sau ufw dacă preferați terminalul: sudo ufw enable
Sunteți deja protejat dacă sunteți un utilizator normal. Aceasta este „pentru oameni” 🙂
Firehol este într-adevăr un front-end pentru IPTables și dacă îl comparăm cu acesta din urmă, este destul de uman 😀
Consider ufw (Gufw este doar o interfață a acestuia) ca o opțiune proastă din punct de vedere al securității. Motiv: pentru mai multe reguli de securitate pe care le-am scris în ufw, nu am putut evita ca în testele firewall-ului meu, atât prin web, cât și pe cele efectuate folosind nmap, servicii precum avahi-daemon și exim4 să apară deschise și doar un atacul „stealth” a fost suficient pentru a cunoaște cele mai mici caracteristici ale sistemului, nucleului și serviciilor mele pe care le-a rulat, lucru care nu mi s-a întâmplat folosind firewall-ul sau firewall-ul arno.
Ei bine, nu știu despre tine, dar așa cum am scris mai sus, folosesc Xubuntu și firewall-ul meu merge cu GUFW și am trecut TOATE testele link-ului pe care autorul le-a pus fără probleme. Tot stealth. Nimic deschis. Deci, din experiența mea ufw (și, prin urmare, gufw) sunt minunate pentru mine. Nu sunt critic în ceea ce privește utilizarea altor moduri de control firewall, dar gufw funcționează perfect și oferă rezultate excelente de securitate.
Dacă aveți teste care credeți că pot arunca vulnerabilități în sistemul meu, spuneți-mi care sunt acestea și le voi rula cu plăcere aici și vă voi anunța rezultatele.
Mai jos comentez ceva despre subiectul ufw, unde spun că eroarea am văzut-o în 2008, folosind Ubuntu 8.04 Hardy Heron. Ce au corectat deja? Cel mai probabil este că este așa, deci nu există niciun motiv de îngrijorare, dar chiar și așa, asta nu înseamnă că bug-ul a fost acolo și aș putea să-l dovedesc, deși nu a fost un lucru rău să mor, am oprit doar demonii avahi-daemon și exim4 și problema deja rezolvată. Cel mai ciudat lucru este că doar cele două procese au avut problema.
Am menționat faptul ca o anecdotă personală și am dat aceeași părere atunci când am spus: «Consider ...»
Salutări 🙂
+1
@Yukiteru: Ați încercat-o de pe propriul computer? Dacă căutați de pe computer, este normal să puteți accesa portul de servicii X, deoarece traficul blocat este cel al rețelei, nu al localhost:
http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
https://answers.launchpad.net/gui-ufw/+question/194272
Dacă nu, vă rugăm să raportați o eroare 🙂
Salutări 🙂
De pe un alt computer care utilizează o rețea Lan în cazul nmap și prin intermediul Web utilizând această pagină https://www.grc.com/x/ne.dll?bh0bkyd2Utilizând opțiunea de porturi personalizate, ambii au fost de acord că avahi și exim4 ascultau de pe net, chiar dacă blocarea lor a fost configurată de ufw.
Acel mic detaliu de avahi-daemon și exim4 l-am rezolvat pur și simplu dezactivând serviciile și gata ... Nu am raportat o eroare în acel moment și cred că nu are sens să o faci acum, pentru că asta a revenit în 2008, folosind Hardy.
2008 a fost acum 5 ani; de la Hardy Heron la Raring Ringtail există 10 * buntus. Același test pe Xubuntu, făcut ieri și repetat astăzi (august 2013) oferă perfect în toate. Și eu folosesc doar UFW.
Repet: Aveți de efectuat teste suplimentare? O fac cu plăcere și raportez ce iese din această parte.
Efectuați o scanare SYN și IDLE a computerului dvs. folosind nmap, care vă va oferi o idee despre cât de sigur este sistemul dumneavoastră.
Omul nmap are mai mult de 3000 de linii. Dacă îmi trimiți comenzile de executat cu plăcere, o voi face și voi raporta rezultatul
Hmm, nu știam despre cele 3000 de pagini de man pentru nmap. dar zenmap este un ajutor pentru a face ceea ce vă spun, este un front-end grafic pentru nmap, dar opțiunea pentru scanarea SYN cu nmap este -sS, în timp ce opțiunea pentru scanarea inactivă este -sI, dar comanda exactă I va fi.
Faceți scanarea de pe o altă mașină care indică ip-ul mașinii dvs. cu ubuntu, nu o faceți de pe propriul computer, deoarece nu așa funcționează.
LAUGH OUT LOUD!! Greșeala mea despre 3000 de pagini, când erau rânduri 😛
Nu știu, dar cred că o interfață grafică pentru GNU / Linux pentru gestionarea paravanului de protecție ar fi oarecum prudentă și nu ar lăsa totul descoperit ca în Ubuntu sau tot ce este acoperit ca în fedora, ar trebui să fii bun xD sau ceva de configurat alternativele nenorocite de ucigaș xD hjahjahjaja Nu prea am decât să lupt cu ei și jdk deschis, dar până la urmă trebuie să păstrezi și principiul sărutului
Datorită tuturor împiedicărilor care s-au întâmplat în trecut cu iptables, astăzi pot să înțeleg niverl raw, adică să îi vorbesc direct așa cum vine din fabrică.
Și nu este ceva atât de complicat, este foarte ușor de învățat.
Dacă autorul postării îmi permite, voi posta un extras din scriptul firewall pe care îl folosesc în prezent.
## Curățarea regulilor
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Setați politica implicită: DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORDARD DROP
# Operați pe localhost fără limitări
iptables -A INPUT -i lo -j ACCEPT
iptables -A IEȘIRE -o lo -j ACCEPT
# Permiteți aparatului să acceseze web
iptables -A INPUT -p tcp -m tcp –sport 80 -m conntrack –ctstate RELATED, STABILIT -j ACCEPT
iptables -A IEȘIRE -p tcp -m tcp –dport 80 -j ACCEPT
# De asemenea, pentru a securiza site-uri web
iptables -A INPUT -p tcp -m tcp –sport 443 -m conntrack –ctstate RELATED, STABILIT -j ACCEPT
iptables -A IEȘIRE -p tcp -m tcp –dport 443 -j ACCEPT
# Permiteți ping-ul din interior spre exterior
iptables -A OUTPUT -p icmp –icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp –icmp-type echo-reply -j ACCEPT
# Protecție pentru SSH
#iptables -I INPUT -p tcp –dport 22 -m conntrack –ctstate NEW -m limit –limit 30 / minute –limit-burst 5 -m comment –comment „SSH-kick” -j ACCEPT
#iptables -A INPUT -p tcp -m tcp –dport 22 -j LOG –log-prefix "SSH ACCESS ATTEMPT:" –log-level 4
#iptables -A INTRARE -p tcp -m tcp –dport 22 -j DROP
# Reguli pentru amule pentru a permite conexiunile de ieșire și de intrare pe port
iptables -A INPUT -p tcp -m tcp –port 16420 -m conntrack –ctstate NEW -m comentariu –comentează „aMule” -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp –sport 16420 -m conntrack –ctstate RELATED, STABILIT -m comentariu –comment "aMule" -j ACCEPT
iptables -A INPUT -p udp –port 9995 -m comentariu –comentează „aMule” -j ACCEPTĂ
iptables -A IEȘIRE -p udp –sport 9995 -j ACCEPT
iptables -A INTRARE -p udp –dport 16423 -j ACCEPT
iptables -A IEȘIRE -p udp –sport 16423 -j ACCEPT
Acum o mică explicație. După cum puteți vedea, există reguli cu politica DROP în mod implicit, nimic nu iese și intră în echipă fără ca dvs. să le spuneți.
Apoi, sunt trecute noțiunile de bază, localhost și navigarea către rețeaua de rețele.
Puteți vedea că există și reguli pentru ssh și amule. Dacă arată bine cum sunt făcute, pot face celelalte reguli pe care și le doresc.
Trucul constă în a vedea structura regulilor și a se aplica unui anumit tip de port sau protocol, fie că este udp sau tcp.
Sper că puteți înțelege acest lucru pe care tocmai l-am postat aici.
Ar trebui să faci o postare care să o explice 😉 ar fi grozav.
Am o intrebare. În cazul în care doriți să respingeți conexiunile http și https am pus:
server "http https" drop?
Și așa mai departe cu orice serviciu?
Mulţumiri