Файрвол в убунту.

palych · 25 Ноября 2009, 20:02

Для облегчения подключения модема многие в настройках pppoe соединения выставили firewall-none (опция 0 при настройке файрвола в pppoe-setup. Работа с отключенным файрволом значительно понижает безопасность нашего компьютера. Но в Убунту 9.10 файрвол iptables уже установлен по умолчанию. Единственное что нам остается, если вы хотите обезопасить себя от внешних проникновений, всего лишь его отконфигурировать.
Чтобы настроить межсетевой экран можно воспользоваться простой в использовании конфигурационной утилитой ufw, (если пакет не установлен, поставьте его с помощью команды sudo apt-get install ufw) или из синаптика.

Программа очень проста в использовании, для включения межсетевого экрана достаточно отдать команду:
sudo ufw enable

Для его отключения:
sudo ufw disable

Также ufw позволяет разрешить/запретить входящие соединения при помощи команд:
sudo ufw default allow или sudo ufw default deny

Обратите внимание, что речь здесь идёт именно о соединениях, а не о входящих пакетах вообще -- после команды sudo ufw default deny инициировать входящее соединение с вашей машиной станет невозможно, при этом входящие пакеты для соединений, инициированных вами, приниматься будут. Например, будет работать "аська" или торрент-клиент, но на машину нельзя будет "зайти" по telnet или http. Кроме того, ufw позволяет добавлять собственные правила фильтрации трафика, например команда:

sudo ufw allow from 192.168.0.0/24

открывает полный доступ к вашей машине из сети 192.168.0.0/24 (обычно подобные адреса используются для организации домашней сети, хотя у вас они могут быть другими). Запретить доступ, скажем, к 80-му tcp-порту (его слушает веб-сервер) можно следующим образом:

sudo ufw deny 80/tcp

Можно разрешать или запрещать доступ к портам для конкретного диапазона ip-адресов, работать с группой портов, удалять созданные правила и так далее. Притом все изменения применяются немедленно и сохраняются после перезагрузки компьютера. Для получения подробной информации по синтаксису ufw наберите команду:

man ufw

Так же, для тех кто не любит работать с терминалом есть gufw - графический редактор настроек ufw.

Более подробно http://www.computerra.ru/reviews/398228/

metis · 26 Ноября 2009, 13:40

Это конечно все просто красочна и возможно даже эффективно (признаюсь сам не тестил, нет надобности) но если вам нужна простота и тещи типа далее->далее->готово тады почему бы не пользоваться дальше маздаем. Лично мое мнение есть очень сильная штука iptables в которой ты прописываешь правила (настраиваешь фаервол)и ты знаешь что куда и как идет так как прописал это все своими собственными руками. Но это только мое мнение!!!

Vicpo · 26 Ноября 2009, 13:57

Цитата: metis от 26 Ноября 2009, 13:40Это конечно все просто красочна и возможно даже эффективно (признаюсь сам не тестил, нет надобности) но если вам нужна простота и тещи типа далее->далее->готово тады почему бы не пользоваться дальше маздаем. Лично мое мнение есть очень сильная штука iptables в которой ты прописываешь правила (настраиваешь фаервол)и ты знаешь что куда и как идет так как прописал это все своими собственными руками. Но это только мое мнение!!!

Для iptables есть довольно грамотно реализованная GUI программа[size="1"] [size="2"]Firewall Builder[/size][/size]

palych · 26 Ноября 2009, 20:37

Цитата: metis от 26 Ноября 2009, 13:40Это конечно все просто красочна и возможно даже эффективно (признаюсь сам не тестил, нет надобности) но если вам нужна простота и тещи типа далее->далее->готово тады почему бы не пользоваться дальше маздаем. Лично мое мнение есть очень сильная штука iptables в которой ты прописываешь правила (настраиваешь фаервол)и ты знаешь что куда и как идет так как прописал это все своими собственными руками. Но это только мое мнение!!!

Ну так ufw и gufw всего лишь одна из конфигурационных утилит именно для настройки iptables.

http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/rolleyes.gif\' class=\'bbc_emoticon\' alt=\':rolleyes:\' />
как и Firewall Builder и netfilter.
Просто ufw (gufw) очень проста в обращении и понятна даже новичку.

arsen · 27 Ноября 2009, 15:19

Цитата: metis от 26 Ноября 2009, 13:40Это конечно все просто красочна и возможно даже эффективно (признаюсь сам не тестил, нет надобности) но если вам нужна простота и тещи типа далее->далее->готово тады почему бы не пользоваться дальше маздаем. Лично мое мнение есть очень сильная штука iptables в которой ты прописываешь правила (настраиваешь фаервол)и ты знаешь что куда и как идет так как прописал это все своими собственными руками. Но это только мое мнение!!!

Вполне согласен. В наше время даже можно вместо iptables использовать ipchains!

treo56 · 01 Декабря 2009, 19:01

Доброго времени суток !

http://linuxforum.kz/public/style_emoticons/<#EMO_DIR#>/smile.gif\' class=\'bbc_emoticon\' alt=\':)\' />

Цитироватьroot@aday-desktop:~# sudo ufw enable
Межсетевой экран активен и будет запущен при запуске системы
root@aday-desktop:~# sudo ufw default deny
Default incoming policy changed to 'deny'
(не забудьте соответствующим образом обновить ваши правила)
root@aday-desktop:~#

После установки и минимальной настройки. Появилась вот такая запись: не забудьте соответствующим образом обновить ваши правила. А каким образом это можно сделать ? Я так понял это iptables касается.

wizel · 02 Декабря 2009, 00:48

treo56 по умолчанию все порты закрыты,обновить правили,т.е,имеется в виду открыть порты которые тебе нужны,например для torrenta.Как открыть/закрыть порты описано в первом посте.
разрешить - #ufw allow порт/протокол
запретить - #ufw deny порт/протокол

treo56 · 02 Декабря 2009, 12:47

Цитата: wizel от 02 Декабря 2009, 00:48treo56 по умолчанию все порты закрыты,обновить правили,т.е,имеется в виду открыть порты которые тебе нужны,например для torrenta.Как открыть/закрыть порты описано в первом посте.
разрешить - #ufw allow порт/протокол
запретить - #ufw deny порт/протокол

Понятно, спасибо за ответ т.е. для минимальной настройки достаточно этих двух команд.

palych · 03 Декабря 2009, 23:02

Цитата: treo56 от 02 Декабря 2009, 12:47Понятно, спасибо за ответ т.е. для минимальной настройки достаточно этих двух команд.

Для минимальной настройки и этих команд не нужно.
для включения межсетевого экрана достаточно отдать команду:
sudo ufw enable
а команда sudo ufw default deny запретит входящие сетевые соединения.
Для большинства пользователей настройку на этом и заканчиваем.
Правила нужно обновлять, если вам необходимо ДОПОЛНИТЕЛЬНО отстроить разрешения для входящих/исходящих соединений.
Тогда используем команды
разрешить - sudo ufw allow порт/протокол
запретить - sudo ufw deny порт/протокол

Файрвол в убунту.

palych

25 Ноября 2009, 20:02 Последнее редактирование: 26 Ноября 2009, 00:21 от palych

metis

26 Ноября 2009, 13:40 #1

Vicpo

26 Ноября 2009, 13:57 #2

palych

26 Ноября 2009, 20:37 #3 Последнее редактирование: 26 Ноября 2009, 20:39 от palych

arsen

27 Ноября 2009, 15:19 #4

treo56

01 Декабря 2009, 19:01 #5 Последнее редактирование: 02 Декабря 2009, 14:48 от treo56

wizel

02 Декабря 2009, 00:48 #6

treo56

02 Декабря 2009, 12:47 #7

palych

03 Декабря 2009, 23:02 #8