Всем привет, я предлагаю вам небольшое и простое руководство по созданию * брандмауэра * с помощью простой программы под названием ** Firehol **.
Причина в том, чтобы дать нашим компьютерам немного больше безопасности в наших интернет-соединениях, которые никогда не повредят.
Что такое Файерхол?
Но сначала что такое Firehol:
> Firehol - это небольшое приложение, которое помогает нам управлять брандмауэром, интегрированным в ядро, и его инструментом iptables. Firehol не имеет графического интерфейса, вся конфигурация должна выполняться с помощью текстовых файлов, но, несмотря на это, настройка по-прежнему проста для начинающих пользователей или эффективна для тех, кто ищет расширенные параметры. Все, что делает Firehol, - это максимально упрощает создание правил iptables и обеспечивает хороший межсетевой экран для нашей системы.
После этого введения в то, что такое и что делает Firehol, давайте разберемся, как установить его в наших системах. Откройте терминал и введите:
Установка Firehol на Debian и производные
Открываем терминал и ставим:
`sudo apt-get install firehol`
Как настроить Firehol
После установки firehol мы переходим к открытию файла конфигурации firehol, расположенного в * / etc / firehol / firehol.conf *, для этого мы можем использовать текстовый редактор по вашему выбору (gedit, medit, leafpad).
`sudo nano / etc / firehol / firehol.conf`
Оказавшись там, мы можем приступить к размещению следующего контента:
# $ Id: client-all.conf, v 1.2 2002/12/31 15:44:34 ktsaou Exp $ # # Этот файл конфигурации позволит всем запросам, исходящим от # локальной машины, отправляться через все сетевые интерфейсы. # # Запросы из сети не могут поступать. Хост будет # полностью скрыт! Он ни на что не ответит и # не будет доступен для проверки связи, хотя сможет # создавать что угодно (даже для отправки запросов на другие хосты). # версия 5 # Принимает весь входящий трафик от интерфейса интерфейса в любом мире # Политика доступа, DROP, то есть отклонение всех входящих пакетов policy drop # Все политики активной защиты, помогает избежать атак, таких как SYN Flood, Arp Poison , среди прочего, защита всех # политик сервера, сервисов, которые будут работать (Web, Mail, MSN, Irc, Jabber, P2P) # Только для серверов, если вы хотите изменить или создать новые сервисы, связанные порты и протоколы # прочтите руководство firehol . #server "http https" accept #server "imap imaps" accept #server "pop3 pop3s" accept #server "smtp smtps" accept #server irc accept #server jabber accept #server msn accept #server p2p accept # Политика клиента, все исходящий трафик принимается клиент принимает все
Этого простого кода более чем достаточно для базовой защиты наших компьютеров, поэтому мы сохраняем его и выходим из текстового редактора.
Теперь мы должны сделать так, чтобы firehol автоматически запускался при каждой загрузке, и для этого мы переходим в файл * / etc / default / firehol *, где мы изменим строку со следующим кодом:
`START_FIREHOL = да`
Сохраняем изменения в файл, и теперь выполняем:
`sudo / sbin / firehol start`
Готов!!! После этого firehol запустился и создал необходимые правила брандмауэра, и чтобы убедиться, что это так, просто запустите:
`судо iptables -L`
Для параноиков вы можете перейти на страницу ShieldUP! и протестируйте свой новый брандмауэр, они обязательно пройдут тест.
Я надеюсь, что это помогает.
Отличное руководство, простое и эффективное, один вопрос, где я могу увидеть, кто пытался получить доступ или сделать запрос на мой компьютер, установив firehol
https://blog.desdelinux.net/firehol-iptables-for-human-beings-arch/
Для Arch 🙂
Извините, но это хуже, чем редактирование iptables.
Я понимаю добрые намерения, но это чушь.
Привет от параноика.
Помимо того, что вы разработчик iptables, я был бы признателен. Небольшое графическое окружение было бы неплохо. Хотя хреново как в питоне.
Спасибо, извините и с наилучшими пожеланиями.
МЫ НЕ ХОЧЕМ В ЭТОМ БЛОГЕ ИНСУЛЬТОВ, СПАМА ИЛИ ПЛОХОГО МОЛОКА !!!!
БОЛЬШЕ НЕ НАДО!!!
Разве они не фильтровали комментарии?
@sinnerman quiet, в принципе, комментарий @zetaka01 меня не обидел, и не думаю, что он оскорбляет и первоначального автора поста. Вы имеете право высказать свое мнение, даже если вы его не разделяете. Если это действительно как-то обидно, ваш комментарий пойдет в / dev / null. 😉
Я не считаю комментарий плохим молоком. В RedHat я видел, что эти интерфейсы существуют. Изучить iptables не так уж и сложно, немного почитав этот блог, вы найдете скрипты.
Хуже редактирования iptables? Что ж, если ты так думаешь, я уважаю это. Но я думаю, что лучше написать:
сервер "http https" принимает
и если порты 80 и 443 открыты, чтобы иметь возможность использовать apache или любой другой веб-сервер, вы должны написать:
iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW, ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –dport 443 -m state –state NEW, ESTABLISHED -j ACCEPT
И даже если вы изменили порты, так же легко выполнить конфигурацию в Firehol, чтобы внести эти изменения.
Но с iptables у вас гораздо больше гибкости. Если вам нужно что-то графическое для клиента, вы можете использовать что-то вроде firestarter.
@Hugo with firehol вы не потеряете ни один из параметров iptables, поскольку в настоящее время он предлагает полную поддержку всех параметров iptables, включая IPv6.
Что касается гибкости, Firehol очень полон в этой области, разрешая NAT, DNAT, определение явных правил для каждого интерфейса в системе, специфическую фильтрацию портов по IP и MAC-адресам, позволяет выполнять QOS, устанавливать DMZ, прозрачный кеш. , очистить классификацию трафика и даже управлять общим трафиком различных подключений.
В двух словах; Firehol мощен, и ему определенно не хватает интерфейса, но он в основном нацелен на серверный сектор, где X не нужны, или на опытных пользователей, которые не хотят иметь графический брандмауэр.
Тем, кто использует Debian Jessie, возьмет на себя любимый / ненавистный systemd, запустив скрипт firehol должным образом (иногда на запуск брандмауэра уходит колоссальные 30 секунд), поэтому я рекомендую отключить демон с помощью systemctl отключить firehol, установить пакет iptables-persistent и сохранить конфигурацию межсетевого экрана, используя этот метод.
Отличный пост ... Elav, руководство действительно для производных Ubuntu? Было бы хорошо написать сообщение FIREWALL (PF) для системы FreeBSD, которое также основано на тексте.
Firehol отлично работает с Debian и производными.