Firehol: iptables për qeniet njerëzore (Arch)

Para së gjithash, të gjitha kreditë shkojnë te @YukiteruAmano, sepse ky postim është i bazuar në punë praktike keni postuar në forum. Dallimi është se unë do të përqendrohem në Hark, megjithëse ndoshta do të funksionojë për distro të tjera bazuar në systemd.

Çfarë është Firehol?

zjarrit, është një aplikacion i vogël që na ndihmon të menaxhojmë firewall-in e integruar në kernel dhe mjetin e tij iptables. Firehol-it, i mungon një ndërfaqe grafike, i gjithë konfigurimi duhet të bëhet përmes skedarëve me tekst, por përkundër kësaj, konfigurimi është akoma i thjeshtë për përdoruesit fillestarë, ose i fuqishëm për ata që kërkojnë mundësi të përparuara. E gjithë ajo që bën Firehol është të thjeshtojë krijimin e rregullave të iptables sa më shumë që të jetë e mundur dhe të mundësojë një firewall të mirë për sistemin tonë.

Instalimi dhe konfigurimi

Firehol nuk është në depot zyrtare të Arch, kështu që ne do t'i referohemi AUR.

yaourt -S firehol
Pastaj shkojmë në skedarin e konfigurimit.

sudo nano /etc/firehol/firehol.conf

Dhe ne shtojmë rregullat atje, ju mund t'i përdorni estas.

Vazhdoni të aktivizoni Firehol për secilën fillestar. Thjesht e thjeshtë me të sistemuar.

sudo systemctl enable firehol

Ne filluam Firehol.

sudo systemctl start firehol

Më në fund ne verifikojmë që rregullat e iptables janë krijuar dhe ngarkuar në mënyrë korrekte.

sudo iptables -L

Çaktivizo IPv6

Ndërsa firehol nuk merret tabela ip6 dhe pasi që shumica e lidhjeve tona nuk kanë mbështetje për IPv6, rekomandimi im është ta çaktivizoni atë.

En Hark shtojmë ipv6.disable = 1 në vijën e kernelit në skedarin / etc / default / grub


...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...

Tani ne rigjenerojmë grub.cfg:

sudo grub-mkconfig -o /boot/grub/grub.cfg

En Debian mjaft me:

sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf


26 komente, lini tuajën

Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: Miguel Ángel Gatón
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.

  1.   Felipe dijo

    Nuk kuptoj. A e ndiqni udhëzuesin dhe tashmë keni Firewall të ekzekutuar dhe keni bllokuar të gjitha lidhjet? Një tjetër gjë Një tutorial për Arch është kompleks, për shembull, unë kurrë nuk kam përdorur sudo ose yaourt Firewall. Sidoqoftë kuptohet. Apo ndoshta dikush i ri shkruan juourt dhe do të marrë një gabim. Për Manjaro është më e saktë.

    1.    Jukiteru dijo

      Siç thoni @felipe, duke ndjekur tutorialin dhe duke vendosur në skedarin /etc/firehol/firehol.conf rregullat e dhëna nga @cookie në ngjitje, ju tashmë do të keni një firewall të thjeshtë për të mbrojtur sistemin në një nivel bazë. Ky konfigurim funksionon për çdo distro ku mund të vendosni Firehol, me veçorinë e secilës distro trajton shërbimet e tij në mënyra të ndryshme (Debian përmes sysvinit, Arch me systemd) dhe sa i përket instalimit, të gjithë e dinë se çfarë kanë, në Arch ju duhet përdorni repot AUR dhe yaourt, në Debian ato zyrtare janë të mjaftueshme, dhe kështu në shumë të tjerë, thjesht duhet të kërkoni pak në depot dhe të përshtatni komandën e instalimit.

  2.   ci dijo

    faleminderit, mbaj shënim.

  3.   config dijo

    E gjithë kjo është shumë e mirë ... por gjëja më e rëndësishme mungon; Ju duhet të shpjegoni se si krijohen rregullat !!, çfarë nënkuptojnë ato, si të krijoni të reja ... Nëse kjo nuk shpjegohet, ajo që vendosni është e dobishme: - /

    1.    Jukiteru dijo

      Krijimi i rregullave të reja është i thjeshtë, dokumentacioni i firehol-it është i qartë dhe shumë i saktë në drejtim të krijimit të rregullave të personalizuara, kështu që leximi pak do ta bëjë më të lehtë për ju ta personalizoni atë dhe ta përshtatni me nevojat tuaja.

      Unë mendoj se arsyeja fillestare për postimin @cookie si imi në forum, ishte për t'u dhënë përdoruesve dhe lexuesve një mjet që i lejon ata t'u japin kompjuterëve të tyre pak më shumë siguri, të gjitha në një nivel bazë. Pjesa tjetër është lënë e qetë që ju të përshtateni me nevojat tuaja.

    2.    biskotë dijo

      Nëse lexoni lidhjen për tutorialin e Yukiteru do të kuptoni se qëllimi është që të publikohet aplikacioni dhe konfigurimi i një firewall-i bazë. Unë sqarova se postimi im ishte vetëm një kopje e përqendruar në Arch.

  4.   Maakub dijo

    Dhe kjo është 'për njerëzit'? o_O
    Provoni Gufw në Arch: https://aur.archlinux.org/packages/gufw/ >> Klikoni mbi Statusin. Ose ufw nëse preferoni terminalin: aktivizoni sudo ufw

    Ju tashmë jeni të mbrojtur nëse jeni një përdorues normal. Kjo është 'për njerëzit'

    1.    i gjallë dijo

      Firehol është me të vërtetë një Front-End për Tabelat IPT dhe nëse e krahasojmë me këtë të fundit, është mjaft njerëzore

    2.    Jukiteru dijo

      Unë e konsideroj ufw (Gufw është vetëm një ndërfaqe e tij) si një opsion i keq për sa i përket sigurisë. Arsyeja: për më shumë rregulla sigurie që kam shkruar në ufw, nuk mund ta parandaloj që në testet e murit tim të zjarrit si përmes Web-it dhe atyre që kam kryer duke përdorur nmap, shërbime të tilla si avahi-daemon dhe exim4 do të dukeshin të hapura, dhe vetëm një sulm "stealth" ishte i mjaftueshëm të njoh karakteristikat më të vogla të sistemit tim, kernelit dhe shërbimeve që ka ekzekutuar, diçka që nuk më ka ndodhur duke përdorur firehol ose firewall të arno.

      1.    giskard dijo

        Epo, nuk di për ty, por siç kam shkruar më lart, unë përdor Xubuntu dhe muri i zjarrit shkon me GUFW dhe i kalova T ALL GJITHA testet e lidhjes që autori vendosi pa probleme. Gjithë vjedhurazi. Asgjë e hapur. Pra, në përvojën time ufw (dhe për këtë arsye gufw) ato janë të shkëlqyera për mua. Unë nuk jam kritik për përdorimin e mënyrave të tjera të kontrollit të firewall, por gufw punon pa gabime dhe jep rezultate të mëdha sigurie.

        Nëse keni disa teste që mendoni se mund të sjellin dobësi në sistemin tim, më tregoni cilat janë ato dhe unë me kënaqësi do t'i ekzekutoj këtu dhe t'ju njoftoj rezultatet.

        1.    Jukiteru dijo

          Më poshtë unë komentoj diçka mbi temën e ufw, ku them se gabimi që pashë në 2008, duke përdorur Ubuntu 8.04 Hardy Heron. Çfarë kanë korrigjuar tashmë? Gjëja më e mundshme është se është kështu, kështu që nuk ka asnjë arsye për t'u shqetësuar, por edhe kështu, kjo nuk do të thotë që defekti ishte atje dhe unë mund ta provoja atë, edhe pse nuk ishte një gjë e keqe të vdisja, unë vetëm ndalova demonët avahi-daemon dhe exim4, dhe tashmë problemi është zgjidhur. Gjëja më e çuditshme nga të gjitha është se vetëm ato dy procese kishin problemin.

          E përmenda faktin si një anekdotë personale dhe mendova në të njëjtën mënyrë kur thashë: «E konsideroj ...»

          Pershendetje

    3.    giskard dijo

      +1

  5.   thasë dijo

    @Yukiteru: E provove nga kompjuteri yt? Nëse jeni duke kërkuar nga PC-ja juaj, është normale që të mund të përdorni portin e shërbimit X, pasi trafiku që është i bllokuar është ai i rrjetit, jo localhost:
    http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
    https://answers.launchpad.net/gui-ufw/+question/194272

    Nëse jo, ju lutemi raportoni një defekt
    Pershendetje

    1.    Jukiteru dijo

      Nga një kompjuter tjetër duke përdorur një rrjet Lan në rastin e nmap, dhe përmes Web-it duke përdorur këtë faqe https://www.grc.com/x/ne.dll?bh0bkyd2Duke përdorur opsionin porte të personalizuara, të dy ranë dakord që avahi dhe exim4 po dëgjonin nga rrjeti edhe pse ufw kishte konfiguruar bllokimin e tyre.

      Unë zgjidha atë detaj të vogël të avahi-daemon dhe exim4 thjesht duke çaktivizuar shërbimet dhe kaq ... Nuk raportova një defekt në atë kohë, dhe nuk mendoj se ka kuptim ta bëj tani, sepse ajo ishte përsëri në 2008, duke përdorur Hardy.

      1.    giskard dijo

        2008 ishte 5 vjet më parë; nga Hardy Heron në Ringtail Raring ka 10 * buntus. I njëjti test në Xubuntu tim, i bërë dje dhe i përsëritur sot (gusht 2013) jep përsosmëri në gjithçka. Dhe unë përdor vetëm UFW.

        E përsëris: A keni ndonjë test shtesë për të kryer? Me kënaqësi e bëj dhe raportoj atë që del nga kjo anë.

        1.    Jukiteru dijo

          Bëni një skanim SYN dhe IDLE të PC tuaj duke përdorur nmap, që do t'ju japë një ide se sa i sigurt është sistemi juaj.

          1.    giskard dijo

            Njeriu nmap ka më shumë se 3000 rreshta. Nëse më jepni komandat për t’i ekzekutuar me kënaqësi, unë do ta bëj dhe do të raportoj rezultatin.

          2.    Jukiteru dijo

            Hmm Unë nuk dija për 3000 faqet e burrave për nmap. por zenmap është një ndihmë për të bërë atë që po ju them, është një front-fund grafik për nmap, por gjithsesi opsioni për skanimin SYN me nmap është -sS, ndërsa opsioni për skanimin boshe është -sI, por komanda e saktë Unë do të jem

            Bëni skanimin nga një makinë tjetër që tregon ip-in e makinës tuaj me ubuntu, mos e bëni nga kompjuteri juaj, sepse nuk funksionon kështu.

          3.    Jukiteru dijo

            LOL !! Gabimi im rreth 3000 faqe, kur ato ishin rreshta

  6.   Jeus Israel Perales Martinez dijo

    Nuk e di por mendoj se një GUI për atë në GNU / Linux për të menaxhuar firewall do të ishte disi i matur dhe të mos linte gjithçka të zbuluar si në ubuntu ose gjithçka të mbuluar si në fedora, duhet të jesh i mirë xD, ose diçka për të konfiguruar alternativat e vrasësit të dreqit xD hjahjahjaja Ka pak që unë luftoj me ta dhe jdk-në e hapur, por në fund të fundit duhet të mbash edhe parimin e puthjes

  7.   Lojra dijo

    Falë të gjitha pengesave që kanë ndodhur në të kaluarën me iptables, sot unë mund ta kuptoj nivell raw, domethënë, flas drejtpërdrejt me të pasi vjen nga fabrika.

    Dhe nuk është diçka aq e komplikuar, është shumë e lehtë për tu mësuar.

    Nëse autori i postimit më lejon, unë do të postoj një fragment të skenarit të murit mbrojtës që përdor aktualisht.

    ## Pastrimi i rregullave
    iptabilet -F
    iptabilet -X
    iptabilet -Z
    iptables -t nat -F

    ## Vendos politikën e paracaktuar: B DR
    iptables -P HIKJA E HYRJES
    iptabelët -P RRJETI I DALJES
    iptables -P P FORRPARA PRORPARA

    # Veproni në localhost pa kufizime
    iptables -A INPUT -i lo -j PRANIMI
    iptables -A OUTPUT -o lo -j PRANIMI

    # Lejoni që makineria të shkojë në internet
    iptables -A INPUT -p tcp -m tcp –sport 80 -m conntrack –ctstate LIDHUR, I THEMELUAR -j PRANIMI
    iptables -A OUTPUT -p tcp -m tcp –dport 80 -j PRANOJN

    # Tashmë edhe për të siguruar webs
    iptables -A INPUT -p tcp -m tcp –sport 443 -m conntrack –ctstate LIDHUR, I THEMELUAR -j PRANIMI
    iptables -A OUTPUT -p tcp -m tcp –dport 443 -j PRANOJN

    # Lejo ping nga brenda dhe jashtë
    iptables -A OUTPUT -p icmp-e-kërkesë e tipit ipmp -j PRANOJ
    iptables -A INPUT -p icmp-përgjigje e tipit ipmp-përgjigje -j PRANOJ

    # Mbrojtja për SSH

    #iptables -I INPUT -p tcp –dport 22 -m konntrack –ctstate NEW -m limit –limit 30 / minute –limit-burst 5 -m comment –comment "SSH-kick" -j PRANON
    #iptables -A INPUT -p tcp -m tcp –dport 22 -j LOG –log-prefiks "SSH ACESESS ATTEMPT:" –log-niveli 4
    #tabelat -A HYRJE -p tcp -m tcp –dport 22 -j DROP

    # Rregullat për amule për të lejuar lidhjet dalëse dhe hyrëse në port
    iptables -A INPUT -p tcp -m tcp –dport 16420 -m conntrack –ctstate NEW -m comment –coment "aMule" -j PRANON
    iptables -A OUTPUT -p tcp -m tcp –sport 16420 -m conntrack –ctstate LIDHUR, I THEMELUAR -m koment –koment "aMule" -j PRANON
    iptables -A INPUT -p udp –dport 9995 -m koment – ​​koment "aMule" -j PRANOJN
    iptables -A OUTPUT -p udp –sport 9995 -j PRANIMI
    iptables -A INPUT -p udp –dport 16423 -j PRANIMI
    iptables -A OUTPUT -p udp –sport 16423 -j PRANIMI

    Tani një shpjegim i vogël. Siç mund ta shihni, ekzistojnë rregulla me politikën DROP si parazgjedhje, asgjë nuk largohet dhe hyn në ekip pa ua thënë atyre.

    Pastaj, bazat kalohen, localhost dhe navigimi në rrjetin e rrjeteve.

    Ju mund të shihni se ka edhe rregulla për ssh dhe amule. Nëse ata duken mirë se si bëhen, ata mund të bëjnë rregullat e tjera që ata dëshirojnë.

    Qëllimi është që të shohim strukturën e rregullave dhe të zbatojmë për një lloj specifik të portit ose protokollit, qoftë ai udp apo tcp.

    Shpresoj ta kuptoni këtë që sapo postova këtu.

    1.    biskotë dijo

      Ju duhet të bëni një postim duke e shpjeguar atë ... do të ishte mirë.

  8.   @Jlcmux dijo

    Kam një pyetje. Në rast se doni të refuzoni lidhjet http dhe https që unë vendos:

    serveri "http https" bie?

    Dhe kështu me radhë me ndonjë shërbim?

    Falënderim