Firehol: iptables fun eniyan (Arch)

Akọkọ ti gbogbo, gbogbo awọn kirediti lọ si @YukiteruAmano, nitori pe ifiweranṣẹ yii da lori awọn tutorial o firanṣẹ lori apejọ naa. Iyato ni pe Emi yoo fojusi to dara, biotilejepe o ṣee ṣe yoo ṣiṣẹ fun awọn distros miiran ti o da lori eto eto.

Kini Firehol?

Firehol, jẹ ohun elo kekere ti o ṣe iranlọwọ fun wa lati ṣakoso ogiriina ti a ṣepọ sinu ekuro ati ohun elo rẹ iptables. Firehol ko ni wiwo ayaworan kan, gbogbo iṣeto ni o gbọdọ ṣe nipasẹ awọn faili ọrọ, ṣugbọn pẹlu eyi, iṣeto naa tun rọrun fun awọn olumulo alakọbẹrẹ, tabi agbara fun awọn ti n wa awọn aṣayan ilọsiwaju. Gbogbo ohun ti Firehol ṣe ni ṣe irọrun ẹda ti awọn ofin iptables bi o ti ṣee ṣe ki o mu ogiri ogiri ti o dara fun eto wa ṣiṣẹ.

Fifi sori ẹrọ ati iṣeto ni

Firehol ko si ni awọn ibi ipamọ Arch osise, nitorinaa a yoo tọka si AUR.

yaourt -S firehol
Lẹhinna a lọ si faili iṣeto ni.

sudo nano /etc/firehol/firehol.conf

Ati pe a ṣafikun awọn ofin sibẹ, o le lo o wa.

Jeki ṣiṣẹ Firehol fun ibẹrẹ kọọkan. Lẹwa ti o rọrun pẹlu eto.

sudo systemctl enable firehol

A bẹrẹ Firehol.

sudo systemctl start firehol

Lakotan a jẹrisi pe awọn ofin iptables ti ṣẹda ati ti kojọpọ ni deede.

sudo iptables -L

Mu IPv6 ṣiṣẹ

Bi firehol ko ṣe mu awọn tabili ip6 ati pe nitori ọpọlọpọ awọn isopọ wa ko ni atilẹyin fun IPv6, iṣeduro mi ni lati mu o.

En to dara a fikun ipv6.disable = 1 si laini ekuro ni faili / ati be be lo / aiyipada / faili grub


...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...

Bayi a regenerate awọn grub.cfg:

sudo grub-mkconfig -o /boot/grub/grub.cfg

En Debian to pẹlu:

sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf


Awọn akoonu ti nkan naa faramọ awọn ilana wa ti awọn ilana olootu. Lati jabo aṣiṣe kan tẹ nibi.

Awọn asọye 26, fi tirẹ silẹ

Fi ọrọ rẹ silẹ

Adirẹsi imeeli rẹ yoo ko le ṣe atejade. O beere aaye ti wa ni samisi pẹlu *

*

*

  1. Lodidi fun data naa: Miguel Ángel Gatón
  2. Idi ti data naa: SPAM Iṣakoso, iṣakoso ọrọ asọye.
  3. Ofin: Iyọọda rẹ
  4. Ibaraẹnisọrọ data: Awọn data kii yoo ni ifọrọhan si awọn ẹgbẹ kẹta ayafi nipasẹ ọranyan ofin.
  5. Ibi ipamọ data: Alaye data ti o gbalejo nipasẹ Awọn nẹtiwọọki Occentus (EU)
  6. Awọn ẹtọ: Ni eyikeyi akoko o le ni opin, gba pada ki o paarẹ alaye rẹ.

  1.   Felipe wi

    Ko ye mi. Ṣe o tẹle itọnisọna naa ati pe o ti ni ogiriina ti n ṣiṣẹ ati dina gbogbo awọn isopọ naa? Ohun miiran Atilẹkọ fun Arch jẹ eka fun apẹẹrẹ Emi ko lo sudo tabi yawurt Firewall. Sibẹsibẹ o jẹ Oye. Tabi boya ẹnikan titun kọ yaourt ati pe yoo ni aṣiṣe kan. Fun Manjaro o tọ diẹ sii.

    1.    Yukiteru wi

      Bi o ṣe sọ @felipe, tẹle itọnisọna ati fifi sinu faili /etc/firehol/firehol.conf awọn ofin ti a fun nipasẹ @cookie ninu lẹẹ, iwọ yoo ti ni ogiri ogiri ti o rọrun lati daabobo eto ni ipele ipilẹ. Iṣeto yii n ṣiṣẹ fun eyikeyi distro nibi ti o ti le fi Firehol sii, pẹlu iyasọtọ ti distro kọọkan o mu awọn iṣẹ rẹ ni awọn ọna oriṣiriṣi (Debian nipasẹ sysvinit, Arch pẹlu systemd) ati fun fifi sori ẹrọ, gbogbo eniyan mọ ohun ti wọn ni, ni Arch o gbọdọ lo AUR ati ibi-itọju yaourt, ni Debian awọn ti oṣiṣẹ jẹ to, ati nitorinaa ni ọpọlọpọ awọn miiran, o kan ni lati wa kekere kan ni awọn ibi ipamọ ati ṣatunṣe aṣẹ fifi sori ẹrọ.

  2.   ci wi

    o ṣeun, Mo gba akọsilẹ.

  3.   Tunto wi

    Gbogbo eyiti o dara pupọ ... ṣugbọn nkan pataki julọ ti nsọnu; o ni lati ṣalaye bawo ni a ṣe ṣẹda awọn ofin !!, kini wọn tumọ si, bii o ṣe le ṣẹda awọn tuntun ... Ti a ko ba ṣalaye iyẹn, ohun ti o fi sii ko ni lilo diẹ: - /

    1.    Yukiteru wi

      Ṣiṣẹda awọn ofin titun jẹ rọrun, iwe-ina ohun ina jẹ kedere ati pe o ṣe deede ni awọn ofin ti ṣiṣẹda awọn ofin aṣa, nitorinaa kika diẹ yoo jẹ ki o rọrun fun ọ lati ṣe akanṣe rẹ ki o ṣe deede si awọn aini rẹ.

      Mo ro pe idi akọkọ fun ifiweranṣẹ @cookie bi temi ni apejọ, ni lati fun awọn olumulo ati awọn oluka irinṣẹ ti o fun wọn laaye lati fun awọn kọmputa wọn ni aabo diẹ diẹ sii, gbogbo wọn ni ipele ipilẹ. Iyoku ti wa ni osi adrift fun ọ lati ṣe deede si awọn aini rẹ.

    2.    cookies wi

      Ti o ba ka ọna asopọ si ẹkọ Yukiteru, iwọ yoo mọ pe ero naa ni lati ṣe ikede ohun elo ati iṣeto ti ogiriina ipilẹ. Mo ṣalaye pe ifiweranṣẹ mi jẹ ẹda ti o dojukọ Arch nikan.

  4.   Maakubu wi

    Ati pe eyi jẹ 'fun eniyan'? o_O
    Gbiyanju Gufw lori Arch: https://aur.archlinux.org/packages/gufw/ >> Tẹ lori Ipo. Tabi ufw ti o ba fẹ ebute: sudo ufw jeki

    O ti ni aabo tẹlẹ ti o ba jẹ olumulo deede. Iyẹn ni 'fun eniyan' 🙂

    1.    elav wi

      Firehol gaan jẹ Iwaju-Ipari fun IPTables ati pe ti a ba ṣe afiwe rẹ si igbehin, o jẹ eniyan quite

    2.    Yukiteru wi

      Mo ṣe akiyesi ufw (Gufw jẹ wiwo ti o kan) bi aṣayan buburu ni awọn ofin aabo. Idi: fun awọn ofin aabo diẹ sii ti Mo kọ ni ufw, Emi ko le ṣe idiwọ iyẹn ninu awọn idanwo ti ogiriina mi mejeeji nipasẹ Wẹẹbu ati awọn ti Mo ṣe ni lilo nmap, awọn iṣẹ bii avahi-daemon ati exim4 yoo han gbangba, ati pe kolu “ifura” nikan ni o to lati mọ awọn abuda ti o kere julọ ti eto mi, ekuro ati awọn iṣẹ ti o ṣiṣẹ, ohunkan ti ko ṣẹlẹ si mi ni lilo ina-ina tabi ogiriina arno.

      1.    Giskard wi

        O dara, Emi ko mọ nipa rẹ, ṣugbọn bi Mo ti kọ loke, Mo lo Xubuntu ati ogiriina mi n lọ pẹlu GUFW ati pe MO kọja gbogbo awọn idanwo ti ọna asopọ ti onkọwe fi laisi awọn iṣoro. Gbogbo lilọ ni ifura. Ko si ohun ti ṣii. Nitorinaa, ninu iriri mi ufw (ati nitorinaa gufw) wọn jẹ nla fun mi. Emi kii ṣe lominu ni lilo awọn ipo iṣakoso ogiriina miiran, ṣugbọn gufw n ṣiṣẹ laiseniyan o fun awọn abajade aabo nla.

        Ti o ba ni awọn idanwo eyikeyi ti o ro pe o le sọ awọn ailagbara sinu eto mi, sọ fun mi ohun ti wọn jẹ ati pe emi yoo fi ayọ ṣiṣe wọn nibi ki o jẹ ki o mọ awọn abajade.

        1.    Yukiteru wi

          Ni isalẹ Mo sọ asọye nkan lori koko ufw, nibiti Mo sọ pe aṣiṣe ti Mo rii ni ọdun 2008, ni lilo Ubuntu 8.04 Hardy Heron. Kini wọn ti ṣe atunṣe tẹlẹ? Ohun ti o ṣeese julọ ni pe o jẹ bẹ, nitorinaa ko si idi lati ṣe aibalẹ, ṣugbọn paapaa bẹ, iyẹn ko tumọ si pe kokoro wa nibẹ ati pe MO le jẹri rẹ, botilẹjẹpe kii ṣe ohun buburu lati ku, Mo da awọn ẹmi eṣu duro nikan ni avahi-daemon ati exim4, ati ti yanju iṣoro tẹlẹ. Ohun isokuso ti gbogbo rẹ ni pe awọn ilana meji wọnyi nikan ni iṣoro naa.

          Mo mẹnuba otitọ naa gẹgẹbi itan-akọọlẹ ti ara ẹni, ati pe Mo ronu ni ọna kanna nigbati mo sọ pe: «Mo ṣe akiyesi ...»

          Ikini 🙂

    3.    Giskard wi

      +1

  5.   àpo wi

    @Yukiteru: Njẹ o ti gbiyanju lati kọmputa ti ara rẹ? Ti o ba n wa lati PC rẹ, o jẹ deede pe o le wọle si ibudo iṣẹ X, nitori ijabọ ti o ni idiwọ ni ti nẹtiwọọki, kii ṣe localhost:
    http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
    https://answers.launchpad.net/gui-ufw/+question/194272

    Bi kii ba ṣe bẹ, jọwọ ṣe ijabọ kokoro kan 🙂
    Ikini 🙂

    1.    Yukiteru wi

      Lati kọmputa miiran nipa lilo nẹtiwọọki Lan ninu ọran ti nmap, ati nipasẹ Wẹẹbu ni lilo oju-iwe yii https://www.grc.com/x/ne.dll?bh0bkyd2Lilo aṣayan awọn ibudo aṣa, awọn mejeeji gba pe avahi ati exim4 n tẹtisi lati apapọ bi o tilẹ jẹ pe ufw ti tunto idena wọn.

      Apejuwe kekere yẹn ti avahi-daemon ati exim4 Mo ti yanju rẹ nipa rirọrun awọn iṣẹ ati pe iyẹn ni ... Emi ko ṣe ijabọ kokoro kan ni akoko yẹn, ati pe Mo ro pe ko ni oye lati ṣe ni bayi, nitori iyẹn pada ni 2008, ni lilo Hardy.

      1.    Giskard wi

        2008 je 5 odun seyin; lati Hardy Heron si Raring Ringtail 10 * buntus wa. Idanwo kanna lori Xubuntu mi, ti o ṣe lana ti o tun ṣe loni (Oṣu Kẹjọ ọdun 2013) n fun ni pipe ninu ohun gbogbo. Ati pe MO lo UFW nikan.

        Mo tun sọ: Ṣe o ni awọn idanwo afikun lati ṣe? Pẹlu idunnu Mo ṣe e ati pe Mo ṣe ijabọ ohun ti o wa ni ẹgbẹ yii.

        1.    Yukiteru wi

          Ṣe ọlọjẹ SYN ati IDLE ti PC rẹ nipa lilo nmap, iyẹn yoo fun ọ ni imọran bi o ṣe ni aabo eto rẹ.

          1.    Giskard wi

            Eniyan nmap ni ju awọn ila 3000 lọ. Ti o ba fun mi ni awọn aṣẹ lati ṣiṣẹ pẹlu idunnu, Emi yoo ṣe ati pe Emi yoo sọ abajade naa.

          2.    Yukiteru wi

            Unnnn Emi ko mọ nipa awọn oju-iwe eniyan 3000 fun nmap. ṣugbọn zenmap jẹ iranlọwọ lati ṣe ohun ti Mo sọ fun ọ, o jẹ opin iwaju ayaworan fun nmap, ṣugbọn aṣayan tun fun ọlọjẹ SYN pẹlu nmap jẹ -sS, lakoko ti aṣayan fun ọlọjẹ alailowaya jẹ -sI, ṣugbọn aṣẹ gangan Emi yoo jẹ.

            Ṣe ọlọjẹ lati ẹrọ miiran ti o tọka si ip ti ẹrọ rẹ pẹlu ubuntu, maṣe ṣe lati pc tirẹ, nitori pe kii ṣe bii o ṣe n ṣiṣẹ.

          3.    Yukiteru wi

            LOL !! Aṣiṣe mi nipa awọn oju-iwe 3000, nigbati wọn jẹ awọn ila 😛

  6.   Jeus Israeli Perales Martinez wi

    Emi ko mọ ṣugbọn Mo ro pe GUI fun iyẹn ni GNU / Linux lati ṣakoso ogiriina yoo jẹ oye diẹ ati pe ko fi ohun gbogbo silẹ bi ni ubuntu tabi ohun gbogbo ti a bo bi ni fedora, o yẹ ki o dara xD, tabi nkankan lati tunto awọn omiiran apaniyan miiran xD hjahjahjaja O ni diẹ ti Mo ja pẹlu wọn ati ṣiṣi jdk ṣugbọn ni opin iwọ tun ni lati tọju opo ifẹnukonu

  7.   Mauricio wi

    Ṣeun si gbogbo awọn ikọsẹ ti o ṣẹlẹ ni igba atijọ pẹlu awọn iptables, loni Mo le loye niverl raw, iyẹn ni pe, ba a sọrọ taara si i bi o ti wa lati ile-iṣẹ.

    Ati pe kii ṣe nkan ti o jẹ idiju, o rọrun pupọ lati kọ ẹkọ.

    Ti onkọwe ifiweranṣẹ ba gba mi laaye, Emi yoo fi iyasọtọ ti akọọlẹ ogiriina ti Mo lo lọwọlọwọ.

    ## Awọn ofin sọ di mimọ
    awọn iptables -F
    awọn iptables -X
    awọn iptables -Z
    awọn iptables -t nat -F

    ## Ṣeto eto imulo aiyipada: DOP
    iptables -P DOP titẹ silẹ
    iptables -P OUTU IWỌ
    iptables -P DUKU JU

    # Ṣiṣẹ lori localhost laisi awọn idiwọn
    iptables -A INPUT -i wo -j Gba
    iptables -A OUTPUT -o wo -j Gba

    # Gba ẹrọ laaye lati lọ si oju opo wẹẹbu
    iptables -A INPUT -p tcp -m tcp –sport 80 -m conntrack –tstate RELATED, Ṣeto -j gba
    awọn iptables -A OUTPUT -p tcp -m tcp -dport 80 -j Gba

    # Tẹlẹ tun lati ni aabo awọn oju opo wẹẹbu
    iptables -A INPUT -p tcp -m tcp –sport 443 -m conntrack –tstate RELATED, Ṣeto -j gba
    awọn iptables -A OUTPUT -p tcp -m tcp -dport 443 -j Gba

    # Gba pingi laaye lati inu
    iptables -A OUTPUT -p icmp –icmp-type iwoyi-ibere -j GBA
    iptables -A INPUT -p icmp –icmp-type iwoyi-fesi -j Gba

    # Aabo fun SSH

    #iptables -I INPUT -p tcp –dport 22 -m conntrack –tstate TITUN TITUN -m aala –pinpin 30 / iseju -limit-nwaye 5 -m ọrọ-asọye "SSH-kick" -j ACCEPT
    #iptables -A INPUT -p tcp -m tcp –dport 22 -j LOG –log-prefix "SSH ACCESS ATTEMPT:" –log-level 4
    #iwọn agbara-INPUT -p tcp -m tcp –iwọle 22 -j FẸ

    # Awọn ofin fun amule lati gba laaye awọn asopọ ti njade ati ti nwọle lori ibudo naa
    iptables -A INPUT -p tcp -m tcp –dport 16420 -m conntrack –tateeti TITUN -m asọye-ọrọ “aMule” -j ACCEPT
    iptables -A OUTPUT -p tcp -m tcp –sport 16420 -m conntrack –tstate RELATED, ṢE ṢEYI - ọrọìwòye - amenti "aMule" -j Gba
    iptables -A INPUT -p udp –dport 9995 -m comment-comment “aMule” -j ACCEPT
    iptables -A OUTPUT -p udp –idaraya 9995 -j Gba
    iptables -A INPUT -p udp –dasile 16423 -j ACCEPT
    iptables -A OUTPUT -p udp –idaraya 16423 -j Gba

    Bayi alaye kekere kan. Bi o ti le rii, awọn ofin wa pẹlu ilana DOP nipa aiyipada, ko si ohunkan ti o lọ ki o wọ inu ẹgbẹ laisi sọ fun wọn.

    Lẹhinna, awọn ipilẹ ti kọja, localhost ati lilọ kiri si nẹtiwọọki ti awọn nẹtiwọọki.

    O le rii pe awọn ofin tun wa fun ssh ati amule. Ti wọn ba wo daradara bi wọn ti ṣe, wọn le ṣe awọn ofin miiran ti wọn fẹ.

    Ẹtan ni lati wo iṣeto ti awọn ofin ati lo si iru ibudo kan pato tabi ilana, boya o jẹ udp tabi tcp.

    Mo nireti pe o le loye eyi ti Mo kan fi sii ibi.

    1.    cookies wi

      O yẹ ki o ṣe ifiweranṣẹ ti n ṣalaye rẹ 😉 yoo jẹ nla.

  8.   @Jlcmux wi

    Mo ni ibere kan. Ni ọran ti o fẹ kọ http ati awọn isopọ https Mo fi:

    olupin "http https" silẹ?

    Ati bẹbẹ lọ pẹlu eyikeyi iṣẹ?

    Gracias