V prvom rade idú všetky kredity @YukiteruAmano, pretože tento príspevok je založený na konzultácie ste uverejnili na fóre. Rozdiel je v tom, že sa sústredím na Oblúk, aj keď to pravdepodobne funguje pre iné distribúcie založené na systemd.
Čo je Firehol?
firehol, je malá aplikácia, ktorá nám pomáha spravovať bránu firewall integrovanú do jadra a jeho nástroja iptables. Fireholu, chýba grafické rozhranie, všetka konfigurácia sa musí robiť prostredníctvom textových súborov, ale napriek tomu je konfigurácia stále jednoduchá pre začínajúcich používateľov alebo výkonná pre tých, ktorí hľadajú pokročilé možnosti. Všetko, čo Firehol robí, je čo najviac zjednodušiť tvorbu pravidiel iptables a povoliť dobrý firewall pre náš systém.
Inštalácia a konfigurácia
Firehol sa nenachádza v oficiálnych archívoch Archu, takže sa na ne odvoláme AUR.
yaourt -S firehol
Potom ideme do konfiguračného súboru.
sudo nano /etc/firehol/firehol.conf
A my tam pridávame pravidlá, ktoré môžete použiť si.
Aktivujte Firehol pre každé spustenie. Docela jednoduché s systemd.
sudo systemctl enable firehol
Založili sme Firehol.
sudo systemctl start firehol
Nakoniec overíme, že pravidlá iptables boli vytvorené a načítané správne.
sudo iptables -L
Zakázať protokol IPv6
Nakoľko firehol nezvláda tabuľky ip6 a keďže väčšina našich spojení nemá podporu pre IPv6, odporúčam ho zakázať.
En Oblúk pridáme ipv6.disable = 1 na riadok jadra v súbore / etc / default / grub
...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...
Teraz regenerujeme grub.cfg:
sudo grub-mkconfig -o /boot/grub/grub.cfg
En debian dosť s:
sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf
Nerozumiem. Postupujete podľa návodu a už máte spustenú bránu firewall a všetky pripojenia zablokované? Ďalšia vec Výukový program pre Arch je zložitý, napríklad som nikdy nepoužíval sudo alebo yaourt Firewall. Je to však pochopené. Alebo možno niekto nový napíše yourt a dostane chybu. Pre Manjaro je to správnejšie.
Ako hovoríte @felipe, po ukončení tutoriálu a vložení pravidiel do súboru /etc/firehol/firehol.conf uvedených v pravidlách @cookie už budete mať jednoduchý firewall na ochranu systému na základnej úrovni. Táto konfigurácia funguje pre každé distro, kam môžete umiestniť Firehol, s osobitosťou každého distra, ktorý zaobchádza so svojimi službami rôznymi spôsobmi (Debian cez sysvinit, Arch pomocou systemd) a pokiaľ ide o inštaláciu, každý vie, čo má, v Arche musíte používajte repozitáre AUR a yaourt, v Debiane vám stačia oficiálne, a tak v mnohých ďalších stačí trochu vyhľadať v repozitároch a prispôsobiť inštalačný príkaz.
Myslím, že Yukiteru už objasnil vaše pochybnosti.
Teraz, pokiaľ ide o sudo a yaourt, z mojej strany nepovažujem sudo za problém, len musíte vidieť, že sa štandardne dodáva pri inštalácii základného systému Arch; a yaourt je voliteľný, môžete si stiahnuť tarball, rozbaliť ho a nainštalovať pomocou makepkg -si.
Ďakujem, beriem na vedomie.
Niečo, čo som zabudol pridať k príspevku, ale nemôžem to upraviť.
https://www.grc.com/x/ne.dll?bh0bkyd2
Na tomto webe môžete otestovať svoj firewall 😉 (ešte raz vďaka Yukiteru).
Spustil som tieto testy na svojom Xubuntu a všetko vyšlo perfektne! Aké potešenie používať Linux !!! 😀
Všetko, čo je veľmi dobré ... ale chýba to najdôležitejšie; Musíte vysvetliť, ako sa vytvárajú pravidlá !!, čo znamenajú, ako vytvárať nové ... Ak to nie je vysvetlené, je to, čo uvádzate, k ničomu: - /
Vytváranie nových pravidiel je jednoduché, dokumentácia fireholu je jasná a veľmi presná, pokiaľ ide o vytváranie vlastných pravidiel, takže prečítanie trochu vám uľahčí ich prispôsobenie a prispôsobenie vašim potrebám.
Myslím si, že počiatočným dôvodom príspevku @cookie, ako je ten môj na fóre, bolo poskytnúť používateľom a čitateľom nástroj, ktorý im umožní dať počítačom trochu väčšiu bezpečnosť, a to všetko na základnej úrovni. Zvyšok je ponechaný na vás, aby ste sa prispôsobili svojim potrebám.
Ak si prečítate odkaz na výukový program Yukiteru, uvedomíte si, že zámerom je zverejniť aplikáciu a konfiguráciu základného firewallu. Vysvetlil som, že môj príspevok bol iba kópiou zameranou na Archa.
A toto je „pre ľudí“? o_O
Vyskúšajte Gufw na Arch: https://aur.archlinux.org/packages/gufw/ >> Kliknite na Stav. Alebo ufw, ak uprednostňujete terminal: sudo ufw enable
Ak ste bežným používateľom, ste už chránení. To je „pre ľudí“ 🙂
Firehol je skutočne front-end pre IPTables a keď to porovnáme s poslednými, je to celkom ľudské 😀
Ufw (Gufw je len jeho rozhranie) považujem za zlú možnosť z hľadiska bezpečnosti. Dôvod: Pre viac bezpečnostných pravidiel, ktoré som napísal v ufw, som nemohol zabrániť tomu, aby sa pri testoch môjho firewallu cez web a tých, ktoré som vykonal pomocou nmap, služby ako avahi-daemon a exim4 javili otvorené a iba „utajený“ útok stačil na to, aby som poznal najmenšie vlastnosti môjho systému, jadra a služieb, ktoré spustil, niečo, čo sa mi pri použití fireholu alebo brány firewall od Arno nestalo.
No neviem ako vy, ale ako som už písal vyššie, používam Xubuntu a môj firewall ide s GUFW a prešiel som VŠETKÝMI testmi odkazu, ktorý autor bez problémov vložil. Všetky tajnosti. Nič otvorené. Takže podľa mojich skúseností ufw (a teda gufw) sú pre mňa skvelé. Nie som kritický voči použitiu iných režimov ovládania brány firewall, ale gufw funguje bezchybne a poskytuje vynikajúce bezpečnostné výsledky.
Ak máte nejaké testy, o ktorých si myslíte, že môžu vrhnúť zraniteľné miesta do môjho systému, povedzte mi, o čo ide, a ja ich tu spustím rád a dám vám vedieť výsledky.
Ďalej komentujem niečo na tému ufw, kde hovorím, že chybu som videl v roku 2008, pri použití Ubuntu 8.04 Hardy Heron. Čo už opravili? Najpravdepodobnejšia vec je, že to tak je, takže nie je dôvod sa obávať, ale aj tak to neznamená, že tá chyba tam bola a ja som ju mohol ukázať, hoci nebolo zlé zomrieť, zastavil som iba démonov avahi-daemon a exim4 a problém už vyriešený. Najpodivnejšie na všetkom je, že problém mali iba tieto dva procesy.
Túto skutočnosť som uviedol ako osobnú anekdotu a rovnaký názor som vyjadril aj pri svojom vyhlásení: „Považujem ...“
Zdravím 🙂
+1
@Yukiteru: Skúšali ste to z vlastného počítača? Ak sa pozeráte zo svojho počítača, je normálne, že máte prístup k servisnému portu X, pretože blokovaná komunikácia je sieťová, nie localhost:
http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
https://answers.launchpad.net/gui-ufw/+question/194272
Ak nie, nahláste chybu 🙂
Zdravím 🙂
Z iného počítača používajúceho sieť LAN v prípade nmap a z webu pomocou tejto stránky https://www.grc.com/x/ne.dll?bh0bkyd2Pomocou možnosti vlastných portov sa obaja zhodli, že avahi a exim4 počúvajú zo siete, aj keď ich blokovanie bolo nakonfigurované ufw.
Ten malý detail avahi-daemon a exim4 som vyriešil jednoduchým vypnutím služieb a je to ... V tom čase som nenahlásil chybu a myslím si, že to nemá zmysel robiť teraz, pretože to bolo ešte v roku 2008 pomocou Hardyho.
2008 bol pred 5 rokmi; od Hardy Heron po Raring Ringtail je 10 * buntus. Ten istý test na mojom Xubuntu, ktorý sa uskutočnil včera a ktorý sa opakoval dnes (august 2013), dáva vo všetkom dokonalosť. A používam iba UFW.
Opakujem: Máte nejaké ďalšie testy na vykonanie? Robím to s radosťou a hlásim, čo z tejto stránky vychádza.
Vykonajte skenovanie SYN a IDLE na vašom počítači pomocou nmap, ktoré vám poskytne predstavu o tom, aký bezpečný je váš systém.
Muž nmap má viac ako 3000 riadkov. Ak mi s potešením dáte príkazy na vykonanie, urobím to a ohlásim výsledok.
Hmm, nevedel som o 3000 manuálových stránkach pre nmap. ale zenmap je pomocník pri robení toho, čo vám hovorím, je to grafické rozhranie pre nmap, ale stále je možnosť pre SYN skenovanie s nmap -sS, zatiaľ čo voľba pre voľnobežné skenovanie je -sI, ale presný príkaz Budem.
Skenujte z iného počítača smerujúceho na ip vášho počítača s ubuntu, nerobte to z vlastného počítača, pretože to tak nefunguje.
LOL !! Moja chyba asi 3000 strán, keď to boli riadky 😛
Neviem, ale myslím si, že grafické rozhranie pre správu firewallu v GNU / Linux by bolo niečo prezieravé a nenechávať všetko nezakryté ako v ubuntu alebo všetko zakryté ako vo fedore, mali by ste byť dobrý xD alebo niečo na konfiguráciu alternatív prekliatého vraha xD hjahjahjaja Málo ma so mnou a otvoreným JDK bojovať, ale každopádne musíte tiež dodržať zásadu bozku
Vďaka všetkým kameňom úrazu, ktoré sa v minulosti stali s iptables, dnes rozumiem niverl raw, teda hovoriť s ním priamo, ako to pochádza z továrne.
A nie je to nič také zložité, dá sa ľahko naučiť.
Pokiaľ mi to autor príspevku dovolí, uverejním úryvok skriptu brány firewall, ktorý momentálne používam.
## Pravidlá čistenia
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Nastaviť predvolené pravidlo: DROP
iptables -P INPUT DROP
iptables -P VÝSTUPNÝ VÝPAD
iptables -P VPRED DROP
# Pracujte na localhost bez obmedzení
iptables -A INPUT -i lo -j ACCEPT
iptables -A VÝSTUP -o lo -j AKCEPTOVAŤ
# Umožnite zariadeniu prejsť na web
iptables -A INPUT -p tcp -m tcp –sport 80 -m conntrack –ctstate SÚVISIACE, ZISŤOVANÉ -j AKCEPTOVAŤ
iptables -A VÝSTUP -p tcp -m tcp –dport 80 -j AKCEPTOVAŤ
# Už tiež na zabezpečenie webových stránok
iptables -A INPUT -p tcp -m tcp –sport 443 -m conntrack –ctstate SÚVISIACE, ZISŤOVANÉ -j AKCEPTOVAŤ
iptables -A VÝSTUP -p tcp -m tcp –dport 443 -j AKCEPTOVAŤ
# Povoľte príkaz ping zvnútra
iptables -A VÝSTUP -p icmp –icmp typu echo-požiadavka -j ACCEPT
iptables -A INPUT -p icmp –icmp-typ echo-response -j ACCEPT
# Ochrana pre SSH
#iptables -I INPUT -p tcp –dport 22 -m Conntrack –ctstate NEW -m limit –limit 30 / min –limit-burst 5 -m komentár – komentár „SSH-kick“ -j AKCEPTOVAŤ
#iptables -A INPUT -p tcp -m tcp –dport 22 -j LOG –log-prefix „SSH ACCESS ATTEMPT:“ –log-level 4
#iptables -A VSTUP -p tcp -m tcp –dport 22 -j DROP
# Pravidlá pre amule, ktoré umožňujú odchádzajúce a prichádzajúce spojenia na porte
iptables -A INPUT -p tcp -m tcp –dport 16420 -m conntrack –ctstate NEW -m komentár – komentár „aMule“ -j AKCEPTOVAŤ
iptables -A VÝSTUP -p tcp -m tcp –sport 16420 -m conntrack –ctstate SÚVISIACE, ZOSTAVENÉ -m komentár – komentár „aMule“ -j AKCEPTOVAŤ
iptables -A VSTUP -p udp –dodať 9995 -m komentár – komentár „aMule“ -j PRIJAŤ
iptables -A VÝSTUP -p udp –sport 9995 -j AKCEPTOVAŤ
iptables -A VSTUP -p udp –dport 16423 -j PRIJAŤ
iptables -A VÝSTUP -p udp –sport 16423 -j AKCEPTOVAŤ
Teraz malé vysvetlenie. Ako vidíte, existujú pravidlá s predvolenou politikou DROP, nič neopúšťa a vstupuje do tímu bez toho, aby ste to oznámili.
Potom sú odovzdané základné informácie, localhost a navigácia do siete sietí.
Vidíte, že existujú aj pravidlá pre ssh a amule. Ak vyzerajú dobre, ako sa im darí, môžu urobiť ďalšie potrebné pravidlá.
Trik spočíva v tom, aby ste videli štruktúru pravidiel a vzťahovali sa na konkrétny typ portu alebo protokolu, či už je to udp nebo tcp.
Dúfam, že tomu rozumiete, že som sem poslal príspevok.
Mali by ste zverejniť príspevok, ktorý to vysvetľuje 😉 bolo by skvelé.
Mám otázku. Pre prípad, že by ste chceli odmietnuť http a https pripojenie, som dal:
drop "http https" servera?
A tak ďalej s nejakou službou?
vďaka