Фаєрхол: придатні для людини (Арка)

Перш за все, всі кредити дістаються @ЮкітеруАмано, оскільки ця публікація базується на підручник ви розмістили на форумі. Різниця в тому, що я збираюся зосередитись на цьому арка, хоча, ймовірно, це буде працювати для інших дистрибутивів на основі systemd.

Що таке Firehol?

Фаєрхол, - це невелика програма, яка допомагає нам керувати брандмауером, інтегрованим в ядро ​​та його інструмент Iptables. Firehol, не має графічного інтерфейсу, вся конфігурація повинна виконуватися за допомогою текстових файлів, але, незважаючи на це, конфігурація все ще проста для початківців користувачів або потужна для тих, хто шукає розширені опції. Все, що робить Firehol, це максимально спростити створення правил iptables і забезпечити хороший брандмауер для нашої системи.

Встановлення та конфігурація

Firehol відсутній в офіційних сховищах Arch, тому ми на це посилаємось AUR.

yaourt -S firehol
Потім переходимо до файлу конфігурації.

sudo nano /etc/firehol/firehol.conf

І ми додаємо туди правила, ви можете використовувати Estas.

Продовжуйте активувати Firehol для кожного запуску. Досить просто з systemd.

sudo systemctl enable firehol

Ми розпочали Firehol.

sudo systemctl start firehol

Нарешті ми перевіряємо, що правила iptables були створені та завантажені правильно.

sudo iptables -L

Вимкніть IPv6

Так як вогневий спирт не справляється ip6tables і оскільки більшість наших зв’язків не мають підтримки IPv6, моя рекомендація - відключити його.

En арка додаємо ipv6.disable = 1 до рядка ядра у файлі / etc / default / grub


...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...

Тепер ми відновлюємо grub.cfg:

sudo grub-mkconfig -o /boot/grub/grub.cfg

En Debian досить із:

sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf


26 коментарі, залиште свій

Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: Мігель Анхель Гатон
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.

  1.   Феліпе - сказав він

    Я не розумію. Чи дотримуєтесь ви посібника, і у вас вже працює брандмауер і заблокували всі з’єднання? Інша справа, що підручник для Arch складний, наприклад, я ніколи не використовував sudo або yaourt Firewall. Однак це Зрозуміло. Або, можливо, хтось новий пише yaourt і отримає повідомлення про помилку. Для Манджаро це правильніше.

    1.    Юкітеру - сказав він

      Коли ви говорите @felipe, слідуючи навчальному посібнику та вставляючи у файл /etc/firehol/firehol.conf правила, вказані @cookie у пасті, ви вже матимете простий брандмауер для захисту системи на базовому рівні. Ця конфігурація працює для будь-якого дистрибутива, куди ви можете поставити Firehol, з особливістю кожного дистрибутива, який обробляє свої послуги по-різному (Debian через sysvinit, Arch з systemd), а що стосується інсталяції, всі знають, що у них є, в Arch ви повинні використовуйте репозиторії AUR та yaourt, у Debian вам достатньо офіційних, і тому в багатьох інших вам просто потрібно трохи пошукати у сховищах та адаптувати команду встановлення.

  2.   ci - сказав він

    дякую, беру до уваги.

  3.   конфиг - сказав він

    Все, що дуже добре ... але найголовніше відсутнє; Ви повинні пояснити, як створюються правила !!, що вони означають, як створювати нові ... Якщо це не пояснюється, те, що ви ставите, мало корисно: - /

    1.    Юкітеру - сказав він

      Створення нових правил є простим, документація до firehol чітка та дуже точна з точки зору створення власних правил, тому, прочитавши трохи, ви зможете легко її налаштувати та адаптувати до своїх потреб.

      Я думаю, що першопричиною такого повідомлення @cookie, як у мене на форумі, було надання користувачам та читачам інструменту, який дозволяє їм надати своїм комп’ютерам трохи більше захисту, і все це на базовому рівні. Решта залишається на привабливості, щоб ви могли пристосуватись до своїх потреб.

    2.    cookie - сказав він

      Якщо ви прочитаєте посилання на підручник Юкітеру, ви зрозумієте, що намір полягає в тому, щоб оприлюднити програму та конфігурацію базового брандмауера. Я пояснив, що мій пост був лише копією, зосередженою на Arch.

  4.   Маакуб - сказав він

    І це "для людей"? o_O
    Спробуйте Gufw на Arch: https://aur.archlinux.org/packages/gufw/ >> Клацніть на Статус. Або ufw, якщо ви віддаєте перевагу терміналу: sudo ufw enable

    Ви вже захищені, якщо ви звичайний користувач. Це «для людей» 🙂

    1.    елав - сказав він

      Firehol насправді є інтерфейсом для IPTables, і якщо порівнювати його з останніми, це цілком по-людськи 😀

    2.    Юкітеру - сказав він

      Я вважаю ufw (Gufw просто його інтерфейс) поганим варіантом з точки зору безпеки. Причина: для отримання більшої кількості правил безпеки, які я написав в ufw, я не міг запобігти тому, що під час тестів мого брандмауера як через Інтернет, так і тих, які я виконував за допомогою nmap, такі послуги, як avahi-daemon та exim4, будуть відкритимися, і лише "стелс" атаки було достатньо, щоб знати найменші характеристики моєї системи, ядра та служб, які вона запускала, чогось, що зі мною не траплялося за допомогою firehol або брандмауера Arno.

      1.    Гіскард - сказав він

        Ну, я не знаю про вас, але, як я писав вище, я використовую Xubuntu, і мій брандмауер поєднується з GUFW, і я пройшов ВСІ тести посилання, які автор поставив без проблем. Весь стелс. Нічого відкритого. Отже, з мого досвіду ufw (а отже, і gufw) вони для мене чудові. Я не критикую використання інших режимів управління брандмауером, але gufw працює бездоганно і дає чудові результати безпеки.

        Якщо у вас є якісь тести, які, на вашу думку, можуть викликати вразливості в моїй системі, скажіть мені, що це таке, і я із задоволенням проведу їх тут і повідомлю вам результати.

        1.    Юкітеру - сказав він

          Нижче коментуйте щось на тему ufw, де я кажу, що помилку я бачив у 2008 році, використовуючи Ubuntu 8.04 Hardy Heron. Що вони вже виправили? Найімовірніше, що це так, тому немає причин хвилюватися, але навіть це не означає, що помилка була там, і я міг це засвідчити, хоча вмерти було не погано, я лише зупинився демони avahi-daemon та exim4, і проблема вже вирішена. Найдивніше з усіх полягає в тому, що проблему мали лише ці два процеси.

          Я згадав цей факт як особистий анекдот, і я подумав так само, коли сказав: «Я вважаю ...»

          Вітаю 🙂

    3.    Гіскард - сказав він

      +1

  5.   мішки - сказав він

    @Yukiteru: Ви пробували це зі свого комп’ютера? Якщо ви шукаєте з ПК, це нормально, що ви можете отримати доступ до сервісного порту X, оскільки трафік, який заблоковано, - це мережевий, а не localhost:
    http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
    https://answers.launchpad.net/gui-ufw/+question/194272

    Якщо ні, повідомте про помилку 🙂
    Вітаю 🙂

    1.    Юкітеру - сказав він

      З іншого комп’ютера, що використовує мережу Lan у випадку nmap, та через Інтернет, використовуючи цю сторінку https://www.grc.com/x/ne.dll?bh0bkyd2Використовуючи опцію користувацьких портів, вони обоє погодились, що avahi та exim4 слухають з мережі, хоча ufw налаштував їх блокування.

      Цю маленьку деталь avahi-daemon та exim4 я вирішив, просто вимкнувши служби, і все ... Я тоді не повідомляв про помилку, і думаю, немає сенсу це робити зараз, тому що це був ще в 2008 році, використовуючи Харді.

      1.    Гіскард - сказав він

        2008 рік був 5 років тому; від Харді Чаплі до Рідкого рингтейла бунт 10 *. Той самий тест на моєму Xubuntu, зроблений учора і повторений сьогодні (серпень 2013 р.), Дає ідеальне у всьому. І я використовую лише UFW.

        Повторюю: у вас є якісь додаткові тести для проведення? Я із задоволенням роблю це і повідомляю, що виходить з цього боку.

        1.    Юкітеру - сказав він

          Проведіть сканування SYN та IDLE на вашому ПК за допомогою nmap, що дасть вам уявлення про те, наскільки безпечна ваша система.

          1.    Гіскард - сказав він

            Nmap man має понад 3000 рядків. Якщо ви дасте мені команди для виконання із задоволенням, я зроблю це і повідомлю результат.

          2.    Юкітеру - сказав він

            Хм, я не знав про 3000 сторінок для nmap. але zenmap - це допомога у виконанні того, що я вам кажу, це графічний інтерфейс для nmap, але все-таки опція для сканування SYN за допомогою nmap - -sS, тоді як опція для простою - -sI, але точна команда I буде.

            Виконуйте сканування з іншої машини, вказуючи на ip вашої машини за допомогою ubuntu, не робіть це з власного ПК, оскільки це не так, як це працює.

          3.    Юкітеру - сказав він

            ЛОЛ!! Моя помилка про 3000 сторінок, коли це були рядки 😛

  6.   Ісус Ізраїль Пералес Мартінес - сказав він

    Я не знаю, але я думаю, що графічний інтерфейс для цього в GNU / Linux для управління брандмауером був би дещо розсудливим і не залишав би все відкритим, як в ubuntu або все, що покрито як у Fedora, ви повинні бути хорошим xD або щось для налаштування прокляті альтернативи вбивці xD hjahjahjaja Мало що я борюся з ними та відкритим jdk, але врешті-решт ти також повинен дотримуватись принципу поцілунку

  7.   Маврикій - сказав він

    Завдяки всім спотиканням, які траплялися в минулому з iptables, сьогодні я можу зрозуміти niverl raw, тобто говорити безпосередньо з ним, як це відбувається з заводу.

    І це не щось таке складне, це дуже легко навчитися.

    Якщо автор публікації дозволить, я опублікую уривок сценарію брандмауера, яким я зараз користуюся.

    ## Правила очищення
    Iptables-F
    Iptables-X
    iptables -Z
    iptables -t nat -F

    ## Встановити політику за замовчуванням: DROP
    iptables -P INPUT DROP
    iptables -P ВИХІДНИЙ КРАП
    iptables -P ВПЕРЕД ВПАДАННЯ

    # Працюйте на localhost без обмежень
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A ВИХІД -o lo -j ПРИЙМІТЬ

    # Дозвольте машині переходити в Інтернет
    iptables -A INPUT -p tcp -m tcp –sport 80 -m conntrack –ctstate ПОВ'ЯЗАНІ, ВСТАНОВЛЕНІ -j ПРИЙНЯТИ
    iptables -A ВИХІД -p tcp -m tcp –dport 80 -j ACCEPT

    # Вже також для захисту веб-сайтів
    iptables -A INPUT -p tcp -m tcp –sport 443 -m conntrack –ctstate ПОВ'ЯЗАНІ, ВСТАНОВЛЕНІ -j ПРИЙНЯТИ
    iptables -A ВИХІД -p tcp -m tcp –dport 443 -j ACCEPT

    # Дозвольте пінгувати зсередини
    iptables -A ВИХІД -p icmp-ехо-запит типу -mpmp -j ACCEPT
    iptables -A INPUT -p icmp – echo-reply -icmp-type ACCEPT

    # Захист для SSH

    #iptables -I INPUT -p tcp –dport 22 -m conntrack –ctstate NEW -m limit –imit 30 / minute –limit-burst 5 -m comment –comment "SSH-kick" -j ACCEPT
    #iptables -A INPUT -p tcp -m tcp –dport 22 -j LOG –log-префікс "SSH ACTESS ATTEMPT:" –log-level 4
    #iptables -A INPUT -p tcp -m tcp –dport 22 -j DROP

    # Правила для amule, що дозволяють вихідні та вхідні з'єднання на порту
    iptables -A INPUT -p tcp -m tcp –dport 16420 -m conntrack –ctstate NEW -m comment –comment "aMule" -j ACCEPT
    iptables -A ВИХІД -p tcp -m tcp –спорт 16420 -m conntrack –ctstate ПОВ'ЯЗАНІ, ВСТАНОВЛЕНІ -m коментар –коментар "aMule" -j ПРИЙМІТ
    iptables -A INPUT -p udp –dport 9995 -m comment –comment "aMule" -j ACCEPT
    iptables -А ВИХІД -p udp –спорт 9995 -j ПРИЙМ
    iptables -A INPUT -p udp –dport 16423 -j ПРИЙНЯТИ
    iptables -А ВИХІД -p udp –спорт 16423 -j ПРИЙМ

    Тепер невелике пояснення. Як бачите, за замовчуванням існують правила політики DROP, ніщо не виходить і не потрапляє в команду, не повідомивши їх про це.

    Потім передаються основи, localhost і навігація до мережі мереж.

    Ви бачите, що існують також правила для ssh та amule. Якщо вони добре виглядають, як у них це виходить, вони можуть скласти інші правила, які хочуть.

    Фокус полягає в тому, щоб побачити структуру правил і застосувати до певного типу порту чи протоколу, будь то udp або tcp.

    Сподіваюсь, ви можете зрозуміти це, що я щойно розмістив тут.

    1.    cookie - сказав він

      Ви повинні зробити допис, пояснюючи це 😉 було б чудово.

  8.   @Jlcmux - сказав він

    Я маю питання. Якщо ви хочете відхилити з'єднання http і https, я ставлю:

    падіння сервера "http https"?

    І так далі з будь-якою послугою?

    Грекіас