Перш за все, всі кредити дістаються @ЮкітеруАмано, оскільки ця публікація базується на підручник ви розмістили на форумі. Різниця в тому, що я збираюся зосередитись на цьому арка, хоча, ймовірно, це буде працювати для інших дистрибутивів на основі systemd.
Що таке Firehol?
Фаєрхол, - це невелика програма, яка допомагає нам керувати брандмауером, інтегрованим в ядро та його інструмент Iptables. Firehol, не має графічного інтерфейсу, вся конфігурація повинна виконуватися за допомогою текстових файлів, але, незважаючи на це, конфігурація все ще проста для початківців користувачів або потужна для тих, хто шукає розширені опції. Все, що робить Firehol, це максимально спростити створення правил iptables і забезпечити хороший брандмауер для нашої системи.
Встановлення та конфігурація
Firehol відсутній в офіційних сховищах Arch, тому ми на це посилаємось AUR.
yaourt -S firehol
Потім переходимо до файлу конфігурації.
sudo nano /etc/firehol/firehol.conf
І ми додаємо туди правила, ви можете використовувати Estas.
Продовжуйте активувати Firehol для кожного запуску. Досить просто з systemd.
sudo systemctl enable firehol
Ми розпочали Firehol.
sudo systemctl start firehol
Нарешті ми перевіряємо, що правила iptables були створені та завантажені правильно.
sudo iptables -L
Вимкніть IPv6
Так як вогневий спирт не справляється ip6tables і оскільки більшість наших зв’язків не мають підтримки IPv6, моя рекомендація - відключити його.
En арка додаємо ipv6.disable = 1 до рядка ядра у файлі / etc / default / grub
...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...
Тепер ми відновлюємо grub.cfg:
sudo grub-mkconfig -o /boot/grub/grub.cfg
En Debian досить із:
sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf
Я не розумію. Чи дотримуєтесь ви посібника, і у вас вже працює брандмауер і заблокували всі з’єднання? Інша справа, що підручник для Arch складний, наприклад, я ніколи не використовував sudo або yaourt Firewall. Однак це Зрозуміло. Або, можливо, хтось новий пише yaourt і отримає повідомлення про помилку. Для Манджаро це правильніше.
Коли ви говорите @felipe, слідуючи навчальному посібнику та вставляючи у файл /etc/firehol/firehol.conf правила, вказані @cookie у пасті, ви вже матимете простий брандмауер для захисту системи на базовому рівні. Ця конфігурація працює для будь-якого дистрибутива, куди ви можете поставити Firehol, з особливістю кожного дистрибутива, який обробляє свої послуги по-різному (Debian через sysvinit, Arch з systemd), а що стосується інсталяції, всі знають, що у них є, в Arch ви повинні використовуйте репозиторії AUR та yaourt, у Debian вам достатньо офіційних, і тому в багатьох інших вам просто потрібно трохи пошукати у сховищах та адаптувати команду встановлення.
Думаю, Юкітеру вже прояснив ваші сумніви.
Тепер, щодо sudo та yaourt, зі свого боку, я не вважаю sudo проблемою, просто переконайтеся, що він поставляється за замовчуванням, коли ви встановлюєте базову систему Arch; а yaourt необов’язковий, ви можете завантажити tarball, розпакувати його та встановити за допомогою makepkg -si.
дякую, беру до уваги.
Щось, що я забув додати до публікації, але не можу редагувати.
https://www.grc.com/x/ne.dll?bh0bkyd2
На цьому сайті ви можете протестувати свій брандмауер 😉 (ще раз спасибі Yukiteru).
Я провів ці тести на своєму Xubuntu, і все вийшло ідеально! Яка насолода використовувати Linux !!! 😀
Все, що дуже добре ... але найголовніше відсутнє; Ви повинні пояснити, як створюються правила !!, що вони означають, як створювати нові ... Якщо це не пояснюється, те, що ви ставите, мало корисно: - /
Створення нових правил є простим, документація до firehol чітка та дуже точна з точки зору створення власних правил, тому, прочитавши трохи, ви зможете легко її налаштувати та адаптувати до своїх потреб.
Я думаю, що першопричиною такого повідомлення @cookie, як у мене на форумі, було надання користувачам та читачам інструменту, який дозволяє їм надати своїм комп’ютерам трохи більше захисту, і все це на базовому рівні. Решта залишається на привабливості, щоб ви могли пристосуватись до своїх потреб.
Якщо ви прочитаєте посилання на підручник Юкітеру, ви зрозумієте, що намір полягає в тому, щоб оприлюднити програму та конфігурацію базового брандмауера. Я пояснив, що мій пост був лише копією, зосередженою на Arch.
І це "для людей"? o_O
Спробуйте Gufw на Arch: https://aur.archlinux.org/packages/gufw/ >> Клацніть на Статус. Або ufw, якщо ви віддаєте перевагу терміналу: sudo ufw enable
Ви вже захищені, якщо ви звичайний користувач. Це «для людей» 🙂
Firehol насправді є інтерфейсом для IPTables, і якщо порівнювати його з останніми, це цілком по-людськи 😀
Я вважаю ufw (Gufw просто його інтерфейс) поганим варіантом з точки зору безпеки. Причина: для отримання більшої кількості правил безпеки, які я написав в ufw, я не міг запобігти тому, що під час тестів мого брандмауера як через Інтернет, так і тих, які я виконував за допомогою nmap, такі послуги, як avahi-daemon та exim4, будуть відкритимися, і лише "стелс" атаки було достатньо, щоб знати найменші характеристики моєї системи, ядра та служб, які вона запускала, чогось, що зі мною не траплялося за допомогою firehol або брандмауера Arno.
Ну, я не знаю про вас, але, як я писав вище, я використовую Xubuntu, і мій брандмауер поєднується з GUFW, і я пройшов ВСІ тести посилання, які автор поставив без проблем. Весь стелс. Нічого відкритого. Отже, з мого досвіду ufw (а отже, і gufw) вони для мене чудові. Я не критикую використання інших режимів управління брандмауером, але gufw працює бездоганно і дає чудові результати безпеки.
Якщо у вас є якісь тести, які, на вашу думку, можуть викликати вразливості в моїй системі, скажіть мені, що це таке, і я із задоволенням проведу їх тут і повідомлю вам результати.
Нижче коментуйте щось на тему ufw, де я кажу, що помилку я бачив у 2008 році, використовуючи Ubuntu 8.04 Hardy Heron. Що вони вже виправили? Найімовірніше, що це так, тому немає причин хвилюватися, але навіть це не означає, що помилка була там, і я міг це засвідчити, хоча вмерти було не погано, я лише зупинився демони avahi-daemon та exim4, і проблема вже вирішена. Найдивніше з усіх полягає в тому, що проблему мали лише ці два процеси.
Я згадав цей факт як особистий анекдот, і я подумав так само, коли сказав: «Я вважаю ...»
Вітаю 🙂
+1
@Yukiteru: Ви пробували це зі свого комп’ютера? Якщо ви шукаєте з ПК, це нормально, що ви можете отримати доступ до сервісного порту X, оскільки трафік, який заблоковано, - це мережевий, а не localhost:
http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
https://answers.launchpad.net/gui-ufw/+question/194272
Якщо ні, повідомте про помилку 🙂
Вітаю 🙂
З іншого комп’ютера, що використовує мережу Lan у випадку nmap, та через Інтернет, використовуючи цю сторінку https://www.grc.com/x/ne.dll?bh0bkyd2Використовуючи опцію користувацьких портів, вони обоє погодились, що avahi та exim4 слухають з мережі, хоча ufw налаштував їх блокування.
Цю маленьку деталь avahi-daemon та exim4 я вирішив, просто вимкнувши служби, і все ... Я тоді не повідомляв про помилку, і думаю, немає сенсу це робити зараз, тому що це був ще в 2008 році, використовуючи Харді.
2008 рік був 5 років тому; від Харді Чаплі до Рідкого рингтейла бунт 10 *. Той самий тест на моєму Xubuntu, зроблений учора і повторений сьогодні (серпень 2013 р.), Дає ідеальне у всьому. І я використовую лише UFW.
Повторюю: у вас є якісь додаткові тести для проведення? Я із задоволенням роблю це і повідомляю, що виходить з цього боку.
Проведіть сканування SYN та IDLE на вашому ПК за допомогою nmap, що дасть вам уявлення про те, наскільки безпечна ваша система.
Nmap man має понад 3000 рядків. Якщо ви дасте мені команди для виконання із задоволенням, я зроблю це і повідомлю результат.
Хм, я не знав про 3000 сторінок для nmap. але zenmap - це допомога у виконанні того, що я вам кажу, це графічний інтерфейс для nmap, але все-таки опція для сканування SYN за допомогою nmap - -sS, тоді як опція для простою - -sI, але точна команда I буде.
Виконуйте сканування з іншої машини, вказуючи на ip вашої машини за допомогою ubuntu, не робіть це з власного ПК, оскільки це не так, як це працює.
ЛОЛ!! Моя помилка про 3000 сторінок, коли це були рядки 😛
Я не знаю, але я думаю, що графічний інтерфейс для цього в GNU / Linux для управління брандмауером був би дещо розсудливим і не залишав би все відкритим, як в ubuntu або все, що покрито як у Fedora, ви повинні бути хорошим xD або щось для налаштування прокляті альтернативи вбивці xD hjahjahjaja Мало що я борюся з ними та відкритим jdk, але врешті-решт ти також повинен дотримуватись принципу поцілунку
Завдяки всім спотиканням, які траплялися в минулому з iptables, сьогодні я можу зрозуміти niverl raw, тобто говорити безпосередньо з ним, як це відбувається з заводу.
І це не щось таке складне, це дуже легко навчитися.
Якщо автор публікації дозволить, я опублікую уривок сценарію брандмауера, яким я зараз користуюся.
## Правила очищення
Iptables-F
Iptables-X
iptables -Z
iptables -t nat -F
## Встановити політику за замовчуванням: DROP
iptables -P INPUT DROP
iptables -P ВИХІДНИЙ КРАП
iptables -P ВПЕРЕД ВПАДАННЯ
# Працюйте на localhost без обмежень
iptables -A INPUT -i lo -j ACCEPT
iptables -A ВИХІД -o lo -j ПРИЙМІТЬ
# Дозвольте машині переходити в Інтернет
iptables -A INPUT -p tcp -m tcp –sport 80 -m conntrack –ctstate ПОВ'ЯЗАНІ, ВСТАНОВЛЕНІ -j ПРИЙНЯТИ
iptables -A ВИХІД -p tcp -m tcp –dport 80 -j ACCEPT
# Вже також для захисту веб-сайтів
iptables -A INPUT -p tcp -m tcp –sport 443 -m conntrack –ctstate ПОВ'ЯЗАНІ, ВСТАНОВЛЕНІ -j ПРИЙНЯТИ
iptables -A ВИХІД -p tcp -m tcp –dport 443 -j ACCEPT
# Дозвольте пінгувати зсередини
iptables -A ВИХІД -p icmp-ехо-запит типу -mpmp -j ACCEPT
iptables -A INPUT -p icmp – echo-reply -icmp-type ACCEPT
# Захист для SSH
#iptables -I INPUT -p tcp –dport 22 -m conntrack –ctstate NEW -m limit –imit 30 / minute –limit-burst 5 -m comment –comment "SSH-kick" -j ACCEPT
#iptables -A INPUT -p tcp -m tcp –dport 22 -j LOG –log-префікс "SSH ACTESS ATTEMPT:" –log-level 4
#iptables -A INPUT -p tcp -m tcp –dport 22 -j DROP
# Правила для amule, що дозволяють вихідні та вхідні з'єднання на порту
iptables -A INPUT -p tcp -m tcp –dport 16420 -m conntrack –ctstate NEW -m comment –comment "aMule" -j ACCEPT
iptables -A ВИХІД -p tcp -m tcp –спорт 16420 -m conntrack –ctstate ПОВ'ЯЗАНІ, ВСТАНОВЛЕНІ -m коментар –коментар "aMule" -j ПРИЙМІТ
iptables -A INPUT -p udp –dport 9995 -m comment –comment "aMule" -j ACCEPT
iptables -А ВИХІД -p udp –спорт 9995 -j ПРИЙМ
iptables -A INPUT -p udp –dport 16423 -j ПРИЙНЯТИ
iptables -А ВИХІД -p udp –спорт 16423 -j ПРИЙМ
Тепер невелике пояснення. Як бачите, за замовчуванням існують правила політики DROP, ніщо не виходить і не потрапляє в команду, не повідомивши їх про це.
Потім передаються основи, localhost і навігація до мережі мереж.
Ви бачите, що існують також правила для ssh та amule. Якщо вони добре виглядають, як у них це виходить, вони можуть скласти інші правила, які хочуть.
Фокус полягає в тому, щоб побачити структуру правил і застосувати до певного типу порту чи протоколу, будь то udp або tcp.
Сподіваюсь, ви можете зрозуміти це, що я щойно розмістив тут.
Ви повинні зробити допис, пояснюючи це 😉 було б чудово.
Я маю питання. Якщо ви хочете відхилити з'єднання http і https, я ставлю:
падіння сервера "http https"?
І так далі з будь-якою послугою?
Грекіас