Pozdravljeni, tukaj vam prinašam majhno in preprosto vadnico za ustvarjanje * požarnega zidu * s preprostim programom ** Firehol **.
Razlog za to je, da našim računalnikom zagotovimo malo več varnosti v naših internetnih povezavah, kar nikoli ne škodi.
Kaj je Firehol?
Najprej pa kaj je Firehol:
> Firehol, je majhna aplikacija, ki nam pomaga upravljati požarni zid, integriran v jedro in njegovo orodje iptables. Firehol nima grafičnega vmesnika, vse konfiguracije je treba izvesti z besedilnimi datotekami, kljub temu pa je konfiguracija še vedno preprosta za uporabnike začetnike ali zmogljiva za tiste, ki iščejo napredne možnosti. Vse, kar Firehol počne, je čim bolj poenostaviti ustvarjanje pravil iptables in omogočiti dober požarni zid za naš sistem.
S tem uvodom v to, kaj Firehol je in kaj počne, pojdimo na to, kako ga namestiti v naše sisteme. Odprimo terminal in vtipkamo:
Namestitev Firehola na Debian in izpeljanke
Odpremo terminal in damo:
`sudo apt-get install firehol`
Kako nastaviti Firehol
Ko je firehol nameščen, nadaljujemo z odpiranjem konfiguracijske datoteke firehol, ki se nahaja v * / etc / firehol / firehol.conf *, za to pa lahko uporabimo urejevalnik besedil po vaši izbiri (gedit, medit, leafpad)
`sudo nano / etc / firehol / firehol.conf`
Enkrat in tam lahko nadaljujemo s postavitvijo naslednje vsebine:
# $ Id: client-all.conf, v 1.2 2002/12/31 15:44:34 ktsaou Exp $ # # Ta konfiguracijska datoteka bo omogočila pošiljanje vseh zahtev, ki izvirajo iz # lokalnega računalnika, prek vseh omrežnih vmesnikov. # # Nobena zahteva ne sme priti iz omrežja. Gostitelj bo # popolnoma ukraden! Ne bo se odzval na nič in # ne bo pingbilen, čeprav bo lahko vzel karkoli # (celo pinga drugim gostiteljem). # različica 5 # Sprejema ves dohodni promet iz vmesniškega vmesnika na katerem koli svetu # Politika dostopa, DROP, to je zavrnitev padca pravilnika o vseh dohodnih paketih # Vse aktivne politike zaščite pomagajo preprečiti napade, kot so SYN Flood, Arp Poison, med drugim vse # Politike strežnikov, Storitve, ki bodo delovale (splet, pošta, MSN, Irc, Jabber, P2P) # Samo za strežnike, če želite spremeniti ali ustvariti nove storitve, s tem povezana vrata in protokole # preberite priročnik za firehol. #server "http https" accept #server "imap imaps" accept #server "pop3 pop3s" accept #server "smtp smtps" accept #server irc accept #server jabber accept #server msn accept #server p2p accept # Odjemalske politike, vse odhodne promet je sprejet stranka vse sprejme
Ta preprosta koda je več kot dovolj za osnovno zaščito naših računalnikov, zato jo shranimo in zapremo urejevalnik besedil.
Zdaj moramo omogočiti, da se firehol samodejno zažene pri vsakem zagonu in za to gremo v datoteko * / etc / default / firehol *, kjer bomo spremenili vrstico z naslednjo kodo:
`START_FIREHOL = da`
Spremembe shranimo v datoteko in zdaj izvedemo:
"sudo / sbin / firehol start"
Pripravljen !!! S tem je firehol že zagnal in ustvaril potrebna pravila požarnega zidu, in če želite videti, da je takšen, samo zaženite:
`sudo iptables -L`
Za paranoične lahko greste na stran ShieldUP! in preizkusite svoj novi požarni zid, bodo test zagotovo uspešno prestali.
Upam, da pomaga.
Odlična vadnica, preprosto in učinkovito, eno vprašanje, kje lahko vidim, kdo je poskušal dostopati do mojega računalnika ali vložiti zahtevo, nameščen firehol
https://blog.desdelinux.net/firehol-iptables-for-human-beings-arch/
Za Arch 🙂
Oprostite, ampak to je huje kot urejanje iptables.
Razumem dober namen, ampak to je smeti.
Lep pozdrav od paranoikov.
Poleg tega, da ste razvijalec iptables, bi bil zelo hvaležen. Majhno grafično okolje ne bi bilo slabo. Čeprav je neumno kot pri pythonu.
Hvala, oprosti in lep pozdrav.
V TEM BLOGU NE ŽELIMO IZOLITEV, NEŽELE ALI LOŠEGA MLEKA !!!!
NIČ VEČ!!!
Ali niso filtrirali komentarjev?
@sinnerman mirno, načeloma me komentar @ zetaka01 ni užalil in mislim, da ne žali niti prvotnega avtorja prispevka. Imate pravico izraziti svoje mnenje, tudi če ga ne delite. Če to na kakršen koli način resnično žali, bo vaš komentar preusmerjen na / dev / null. 😉
Ne najdem komentarja slabo mleko. V RedHatu sem videl, da ti vmesniki obstajajo. Ni se tako težko naučiti iptables, če boste malo prebrali ta blog, boste našli skripte.
Slabše od urejanja iptables? No, če tako mislite, spoštujem. Ampak mislim, da je nedvomno bolje napisati:
strežnik "http https" sprejme
če imate odprti vrati 80 in 443, da lahko uporabljate apache ali kateri koli drug spletni strežnik, morate napisati:
iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NOVO, VZPOSTAVLJENO -j SPREJEM
iptables -A INPUT -i eth0 -p tcp –dport 443 -m state –state NOVO, VZPOSTAVLJENO -j SPREJEM
In tudi če so vrata spremenjena, je prav tako enostavno narediti konfiguracijo v Fireholu, da te spremembe izvedete.
Ah, a z iptables imate veliko večjo prilagodljivost. Če je za stranko tisto, kar želite, lahko uporabite nekaj takega, kot je firestarter.
@Hugo s fireholom ne izgubite nobene možnosti iptables, saj trenutno ponuja popolno podporo za vse možnosti iptables, vključno z IPv6.
Kar zadeva prilagodljivost, je Firehol na tem področju zelo popoln, kar omogoča NAT, DNAT, opredelitev eksplicitnih pravil za vsak vmesnik v sistemu, specifično filtriranje vrat po naslovih IP in MAC, omogoča QOS, vzpostavljanje DMZ, pregleden predpomnilnik, brisanje klasifikacijo prometa in celo manipulirate s celotnim prometom različnih povezav, ki jih imate.
Na kratko; Firehol je zmogljiv in zagotovo nima vmesnika, vendar je večinoma namenjen strežniškemu sektorju, kjer X-ji niso potrebni, ali naprednim uporabnikom, ki ne želijo imeti grafičnega požarnega zidu.
Za tiste, ki uporabljajo Debian Jessie, ljubljeni / osovraženi systemd prevzame s pravilnim zagonom skripte firehol (včasih traja neverjetnih 30 sekund, ko zaženete požarni zid), zato priporočam, da onemogočite demon s sistemom onemogočite firehol in namestite iptables -persistent paket in s to metodo shranite konfiguracijo požarnega zidu.
Odlična objava ... Elav, priročnik velja za izpeljanke Ubuntuja? Objava FIREWALL (PF) za sistem FreeBSD, ki je tudi besedilna, bi bila dobra.
Firehol odlično deluje na Debianu in njegovih izpeljankah.