Para së gjithash, të gjitha kreditë shkojnë te @YukiteruAmano, sepse ky postim është i bazuar në punë praktike keni postuar në forum. Dallimi është se unë do të përqendrohem në Hark, megjithëse ndoshta do të funksionojë për distro të tjera bazuar në systemd.
Çfarë është Firehol?
zjarrit, është një aplikacion i vogël që na ndihmon të menaxhojmë firewall-in e integruar në kernel dhe mjetin e tij iptables. Firehol-it, i mungon një ndërfaqe grafike, i gjithë konfigurimi duhet të bëhet përmes skedarëve me tekst, por përkundër kësaj, konfigurimi është akoma i thjeshtë për përdoruesit fillestarë, ose i fuqishëm për ata që kërkojnë mundësi të përparuara. E gjithë ajo që bën Firehol është të thjeshtojë krijimin e rregullave të iptables sa më shumë që të jetë e mundur dhe të mundësojë një firewall të mirë për sistemin tonë.
Instalimi dhe konfigurimi
Firehol nuk është në depot zyrtare të Arch, kështu që ne do t'i referohemi AUR.
yaourt -S firehol
Pastaj shkojmë në skedarin e konfigurimit.
sudo nano /etc/firehol/firehol.conf
Dhe ne shtojmë rregullat atje, ju mund t'i përdorni estas.
Vazhdoni të aktivizoni Firehol për secilën fillestar. Thjesht e thjeshtë me të sistemuar.
sudo systemctl enable firehol
Ne filluam Firehol.
sudo systemctl start firehol
Më në fund ne verifikojmë që rregullat e iptables janë krijuar dhe ngarkuar në mënyrë korrekte.
sudo iptables -L
Çaktivizo IPv6
Ndërsa firehol nuk merret tabela ip6 dhe pasi që shumica e lidhjeve tona nuk kanë mbështetje për IPv6, rekomandimi im është ta çaktivizoni atë.
En Hark shtojmë ipv6.disable = 1 në vijën e kernelit në skedarin / etc / default / grub
...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...
Tani ne rigjenerojmë grub.cfg:
sudo grub-mkconfig -o /boot/grub/grub.cfg
En Debian mjaft me:
sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf
Nuk kuptoj. A e ndiqni udhëzuesin dhe tashmë keni Firewall të ekzekutuar dhe keni bllokuar të gjitha lidhjet? Një tjetër gjë Një tutorial për Arch është kompleks, për shembull, unë kurrë nuk kam përdorur sudo ose yaourt Firewall. Sidoqoftë kuptohet. Apo ndoshta dikush i ri shkruan juourt dhe do të marrë një gabim. Për Manjaro është më e saktë.
Siç thoni @felipe, duke ndjekur tutorialin dhe duke vendosur në skedarin /etc/firehol/firehol.conf rregullat e dhëna nga @cookie në ngjitje, ju tashmë do të keni një firewall të thjeshtë për të mbrojtur sistemin në një nivel bazë. Ky konfigurim funksionon për çdo distro ku mund të vendosni Firehol, me veçorinë e secilës distro trajton shërbimet e tij në mënyra të ndryshme (Debian përmes sysvinit, Arch me systemd) dhe sa i përket instalimit, të gjithë e dinë se çfarë kanë, në Arch ju duhet përdorni repot AUR dhe yaourt, në Debian ato zyrtare janë të mjaftueshme, dhe kështu në shumë të tjerë, thjesht duhet të kërkoni pak në depot dhe të përshtatni komandën e instalimit.
Unë mendoj se Yukiteru tashmë ka sqaruar dyshimet tuaja.
Tani, në lidhje me sudo dhe yaourt, nga ana ime unë nuk e konsideroj sudo një problem, thjesht shiko që ajo vjen si parazgjedhje kur instalon sistemin bazë të Arch; dhe yaourt është opsional, ju mund ta shkarkoni tarballin, ta zbërtheni dhe ta instaloni me makepkg -si.
faleminderit, mbaj shënim.
Diçka që kam harruar ta shtoj në postim, por nuk mund ta modifikoj.
https://www.grc.com/x/ne.dll?bh0bkyd2
Në atë faqe mund të provoni firewall-in tuaj thanks (faleminderit përsëri Yukiteru).
I zhvillova ato teste në Xubuntu tim dhe gjithçka doli perfekte! Çfarë kënaqësie për të përdorur Linux !!! 😀
E gjithë kjo është shumë e mirë ... por gjëja më e rëndësishme mungon; Ju duhet të shpjegoni se si krijohen rregullat !!, çfarë nënkuptojnë ato, si të krijoni të reja ... Nëse kjo nuk shpjegohet, ajo që vendosni është e dobishme: - /
Krijimi i rregullave të reja është i thjeshtë, dokumentacioni i firehol-it është i qartë dhe shumë i saktë në drejtim të krijimit të rregullave të personalizuara, kështu që leximi pak do ta bëjë më të lehtë për ju ta personalizoni atë dhe ta përshtatni me nevojat tuaja.
Unë mendoj se arsyeja fillestare për postimin @cookie si imi në forum, ishte për t'u dhënë përdoruesve dhe lexuesve një mjet që i lejon ata t'u japin kompjuterëve të tyre pak më shumë siguri, të gjitha në një nivel bazë. Pjesa tjetër është lënë e qetë që ju të përshtateni me nevojat tuaja.
Nëse lexoni lidhjen për tutorialin e Yukiteru do të kuptoni se qëllimi është që të publikohet aplikacioni dhe konfigurimi i një firewall-i bazë. Unë sqarova se postimi im ishte vetëm një kopje e përqendruar në Arch.
Dhe kjo është 'për njerëzit'? o_O
Provoni Gufw në Arch: https://aur.archlinux.org/packages/gufw/ >> Klikoni mbi Statusin. Ose ufw nëse preferoni terminalin: aktivizoni sudo ufw
Ju tashmë jeni të mbrojtur nëse jeni një përdorues normal. Kjo është 'për njerëzit'
Firehol është me të vërtetë një Front-End për Tabelat IPT dhe nëse e krahasojmë me këtë të fundit, është mjaft njerëzore
Unë e konsideroj ufw (Gufw është vetëm një ndërfaqe e tij) si një opsion i keq për sa i përket sigurisë. Arsyeja: për më shumë rregulla sigurie që kam shkruar në ufw, nuk mund ta parandaloj që në testet e murit tim të zjarrit si përmes Web-it dhe atyre që kam kryer duke përdorur nmap, shërbime të tilla si avahi-daemon dhe exim4 do të dukeshin të hapura, dhe vetëm një sulm "stealth" ishte i mjaftueshëm të njoh karakteristikat më të vogla të sistemit tim, kernelit dhe shërbimeve që ka ekzekutuar, diçka që nuk më ka ndodhur duke përdorur firehol ose firewall të arno.
Epo, nuk di për ty, por siç kam shkruar më lart, unë përdor Xubuntu dhe muri i zjarrit shkon me GUFW dhe i kalova T ALL GJITHA testet e lidhjes që autori vendosi pa probleme. Gjithë vjedhurazi. Asgjë e hapur. Pra, në përvojën time ufw (dhe për këtë arsye gufw) ato janë të shkëlqyera për mua. Unë nuk jam kritik për përdorimin e mënyrave të tjera të kontrollit të firewall, por gufw punon pa gabime dhe jep rezultate të mëdha sigurie.
Nëse keni disa teste që mendoni se mund të sjellin dobësi në sistemin tim, më tregoni cilat janë ato dhe unë me kënaqësi do t'i ekzekutoj këtu dhe t'ju njoftoj rezultatet.
Më poshtë unë komentoj diçka mbi temën e ufw, ku them se gabimi që pashë në 2008, duke përdorur Ubuntu 8.04 Hardy Heron. Çfarë kanë korrigjuar tashmë? Gjëja më e mundshme është se është kështu, kështu që nuk ka asnjë arsye për t'u shqetësuar, por edhe kështu, kjo nuk do të thotë që defekti ishte atje dhe unë mund ta provoja atë, edhe pse nuk ishte një gjë e keqe të vdisja, unë vetëm ndalova demonët avahi-daemon dhe exim4, dhe tashmë problemi është zgjidhur. Gjëja më e çuditshme nga të gjitha është se vetëm ato dy procese kishin problemin.
E përmenda faktin si një anekdotë personale dhe mendova në të njëjtën mënyrë kur thashë: «E konsideroj ...»
Pershendetje
+1
@Yukiteru: E provove nga kompjuteri yt? Nëse jeni duke kërkuar nga PC-ja juaj, është normale që të mund të përdorni portin e shërbimit X, pasi trafiku që është i bllokuar është ai i rrjetit, jo localhost:
http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
https://answers.launchpad.net/gui-ufw/+question/194272
Nëse jo, ju lutemi raportoni një defekt
Pershendetje
Nga një kompjuter tjetër duke përdorur një rrjet Lan në rastin e nmap, dhe përmes Web-it duke përdorur këtë faqe https://www.grc.com/x/ne.dll?bh0bkyd2Duke përdorur opsionin porte të personalizuara, të dy ranë dakord që avahi dhe exim4 po dëgjonin nga rrjeti edhe pse ufw kishte konfiguruar bllokimin e tyre.
Unë zgjidha atë detaj të vogël të avahi-daemon dhe exim4 thjesht duke çaktivizuar shërbimet dhe kaq ... Nuk raportova një defekt në atë kohë, dhe nuk mendoj se ka kuptim ta bëj tani, sepse ajo ishte përsëri në 2008, duke përdorur Hardy.
2008 ishte 5 vjet më parë; nga Hardy Heron në Ringtail Raring ka 10 * buntus. I njëjti test në Xubuntu tim, i bërë dje dhe i përsëritur sot (gusht 2013) jep përsosmëri në gjithçka. Dhe unë përdor vetëm UFW.
E përsëris: A keni ndonjë test shtesë për të kryer? Me kënaqësi e bëj dhe raportoj atë që del nga kjo anë.
Bëni një skanim SYN dhe IDLE të PC tuaj duke përdorur nmap, që do t'ju japë një ide se sa i sigurt është sistemi juaj.
Njeriu nmap ka më shumë se 3000 rreshta. Nëse më jepni komandat për t’i ekzekutuar me kënaqësi, unë do ta bëj dhe do të raportoj rezultatin.
Hmm Unë nuk dija për 3000 faqet e burrave për nmap. por zenmap është një ndihmë për të bërë atë që po ju them, është një front-fund grafik për nmap, por gjithsesi opsioni për skanimin SYN me nmap është -sS, ndërsa opsioni për skanimin boshe është -sI, por komanda e saktë Unë do të jem
Bëni skanimin nga një makinë tjetër që tregon ip-in e makinës tuaj me ubuntu, mos e bëni nga kompjuteri juaj, sepse nuk funksionon kështu.
LOL !! Gabimi im rreth 3000 faqe, kur ato ishin rreshta
Nuk e di por mendoj se një GUI për atë në GNU / Linux për të menaxhuar firewall do të ishte disi i matur dhe të mos linte gjithçka të zbuluar si në ubuntu ose gjithçka të mbuluar si në fedora, duhet të jesh i mirë xD, ose diçka për të konfiguruar alternativat e vrasësit të dreqit xD hjahjahjaja Ka pak që unë luftoj me ta dhe jdk-në e hapur, por në fund të fundit duhet të mbash edhe parimin e puthjes
Falë të gjitha pengesave që kanë ndodhur në të kaluarën me iptables, sot unë mund ta kuptoj nivell raw, domethënë, flas drejtpërdrejt me të pasi vjen nga fabrika.
Dhe nuk është diçka aq e komplikuar, është shumë e lehtë për tu mësuar.
Nëse autori i postimit më lejon, unë do të postoj një fragment të skenarit të murit mbrojtës që përdor aktualisht.
## Pastrimi i rregullave
iptabilet -F
iptabilet -X
iptabilet -Z
iptables -t nat -F
## Vendos politikën e paracaktuar: B DR
iptables -P HIKJA E HYRJES
iptabelët -P RRJETI I DALJES
iptables -P P FORRPARA PRORPARA
# Veproni në localhost pa kufizime
iptables -A INPUT -i lo -j PRANIMI
iptables -A OUTPUT -o lo -j PRANIMI
# Lejoni që makineria të shkojë në internet
iptables -A INPUT -p tcp -m tcp –sport 80 -m conntrack –ctstate LIDHUR, I THEMELUAR -j PRANIMI
iptables -A OUTPUT -p tcp -m tcp –dport 80 -j PRANOJN
# Tashmë edhe për të siguruar webs
iptables -A INPUT -p tcp -m tcp –sport 443 -m conntrack –ctstate LIDHUR, I THEMELUAR -j PRANIMI
iptables -A OUTPUT -p tcp -m tcp –dport 443 -j PRANOJN
# Lejo ping nga brenda dhe jashtë
iptables -A OUTPUT -p icmp-e-kërkesë e tipit ipmp -j PRANOJ
iptables -A INPUT -p icmp-përgjigje e tipit ipmp-përgjigje -j PRANOJ
# Mbrojtja për SSH
#iptables -I INPUT -p tcp –dport 22 -m konntrack –ctstate NEW -m limit –limit 30 / minute –limit-burst 5 -m comment –comment "SSH-kick" -j PRANON
#iptables -A INPUT -p tcp -m tcp –dport 22 -j LOG –log-prefiks "SSH ACESESS ATTEMPT:" –log-niveli 4
#tabelat -A HYRJE -p tcp -m tcp –dport 22 -j DROP
# Rregullat për amule për të lejuar lidhjet dalëse dhe hyrëse në port
iptables -A INPUT -p tcp -m tcp –dport 16420 -m conntrack –ctstate NEW -m comment –coment "aMule" -j PRANON
iptables -A OUTPUT -p tcp -m tcp –sport 16420 -m conntrack –ctstate LIDHUR, I THEMELUAR -m koment –koment "aMule" -j PRANON
iptables -A INPUT -p udp –dport 9995 -m koment – koment "aMule" -j PRANOJN
iptables -A OUTPUT -p udp –sport 9995 -j PRANIMI
iptables -A INPUT -p udp –dport 16423 -j PRANIMI
iptables -A OUTPUT -p udp –sport 16423 -j PRANIMI
Tani një shpjegim i vogël. Siç mund ta shihni, ekzistojnë rregulla me politikën DROP si parazgjedhje, asgjë nuk largohet dhe hyn në ekip pa ua thënë atyre.
Pastaj, bazat kalohen, localhost dhe navigimi në rrjetin e rrjeteve.
Ju mund të shihni se ka edhe rregulla për ssh dhe amule. Nëse ata duken mirë se si bëhen, ata mund të bëjnë rregullat e tjera që ata dëshirojnë.
Qëllimi është që të shohim strukturën e rregullave dhe të zbatojmë për një lloj specifik të portit ose protokollit, qoftë ai udp apo tcp.
Shpresoj ta kuptoni këtë që sapo postova këtu.
Ju duhet të bëni një postim duke e shpjeguar atë ... do të ishte mirë.
Kam një pyetje. Në rast se doni të refuzoni lidhjet http dhe https që unë vendos:
serveri "http https" bie?
Dhe kështu me radhë me ndonjë shërbim?
Falënderim