Лучше вот так:

После почти двух лет перерыва вышла новая версия KMyFirewall, графического фронтенда для настройки IPtables.

Программы чудес делать не умеют и вы всё же должны иметь представление о том, что ваш файрволл должен делать для того, чтобы создать набор правил; KMyFirewall просто старается помочь вам настолько, насколько это возможно, но вы должны понимать, что он делает.

Со времени последнего стабильного релиза пользовательский интерфейс был расширен, чтобы сделать настройку более гибкой, как для продвинутых пользователей, так и для новичков. Кроме того, добавлена поддержка настройки NAT.

И кому он нужен если не под 4-ку заточен?

а кому он вообще нужен, если всё равно надо понимать, что хочешь сделать? Если понимаешь, то без особых усилий осилишь man iptables...

Iptables очень лаконичен и прост.

зачем нужен фаервол? от фаербола ?

ОЛОЛООЛОЛОЛО ОТЖОГ, ЛЕЖИМ ВСЕМ ОФИСОМ РАБОТА ВСТАЛА )))))))))_

вот когда сделают "умный" фаервол - тогда и будем радоваться

Я признаю, что не осилил man iptables, и, честно говоря, осиливать мне лень, я не сервак админю, а десктопный комп с ssh-сервером, к которому надо подключаться извне. В Федоре (GNOME) давно есть подобная графическая програмка. Поклацал галочки, и все.

SuSEFirewall2 наше всио!! И модуль яста для его настройки.

>>ОЛОЛООЛОЛОЛО ОТЖОГ, ЛЕЖИМ ВСЕМ ОФИСОМ РАБОТА ВСТАЛА )))))))))_ >>anonymous (*) (25.01.2008 21:15:30)

конечно в 9 вечера сидеть на работе, у меня бы работа встала еще в 6

+1

Использую транслятор правил ferm. 
Те же яйца, что и iptables, но экономит буквы.

например, такую конструкцию:

chain (INPUT OUTPUT) {
  proto (udp tcp) ACCEPT;
}

Он разворачивает в:

iptables -A INPUT -p tcp -j ACCEPT
iptables -A OUTPUT -p tcp -j ACCEPT
iptables -A INPUT -p udp -j ACCEPT
iptables -A OUTPUT -p udp -j ACCEPT

имхо, так читать и писать удобнее.

дефолтный конфиг у него примерно такой (разрешены все исходящие,
loopback, icmp и ssh, остальное запрещено)

table filter {
    chain INPUT {
        policy DROP;

        # connection tracking
        mod state state INVALID DROP;
        mod state state (ESTABLISHED RELATED) ACCEPT;

        # allow local packages
        interface lo ACCEPT;

        # respond to ping
        proto icmp ACCEPT;

        # allow SSH connections
        proto tcp dport ssh ACCEPT;
    }
    chain OUTPUT {
        policy ACCEPT;
    }
    chain FORWARD {
        policy DROP;
    }
}

http://www.fwbuilder.org

http://www.fwbuilder.org

Прошу прощения за офтоп

Почему в винде в Outpost Firewall есть режим обучения а под линукс

ни где такого не видел.

> Использую транслятор правил ferm. 
> Те же яйца, что и iptables, но экономит буквы.

+1

Отличная штука, особенно когда правил есть дофига.

> Почему в винде в Outpost Firewall есть режим обучения а под линукс ни где такого не видел.

1. А кто кого там учит?

2. "Провайдеры обычно не успевают кликой мышкой на магистральном канале. :-)" (C) ovax

Ждем возрождения firestarter'a под Gnome.

Первым делом на десктопе после инсталляции отключаю всякие сетевые сервисы или перевожу их на 127.0.0.1 , а потом отключаю этот долбанный фаервол.

Виндоус вей - выставить голую попу в интернет, а потом закрыть ее фаерволом.

Подумав догадался , зачем так в Suse сделали:
юзеру удобнее, все сервисы включаются/выключаются в одной программе управления фаерволом; кроме того переходящие с винды уже привыкли именно к такой извращенной логике.

>Первым делом на десктопе после инсталляции отключаю всякие сетевые сервисы или перевожу их на 127.0.0.1 , а потом отключаю этот долбанный фаервол.

кхм... даже не знаю, что сказать, межсетевой экран нужен по любому, есть у тебя сервисы или нет.

Ананимус, ты чего? зачем файервол, если нет сетевых сервисов, которые открывают порты?

> зачем файервол, если нет сетевых сервисов, которые открывают порты?

Видимо, для успокоения души.

Он может быть не нужен, даже если и есть сервисы. У меня торчат несколько штук в интернет, но закрывать файерволлом нечего, ибо не для того я их наружу выставляю, чтобы закрывать...

Я для десктопа, кагда приложение запращивает сетевой доступ, файервол предлогает создать правило.

Шутку про провайдеров уже слышал.

> 1. А кто кого там учит?

Пользователь по ходу работы.

> 2. "Провайдеры обычно не успевают кликой мышкой на магистральном канале. :-)" (C) ovax

Вообще-то речь о десктопе. Или линакс ещё не готов для десктопа? Ответьте "да" и вас фанатеги закидают помидорами.

> Я для десктопа, кагда приложение запращивает сетевой доступ, файервол предлогает создать правило.

Зачем это под линуксом?

>Ананимус, ты чего? зачем файервол, если нет сетевых сервисов, которые открывают порты?

1. запускаешь игрушку --- поднимаешь сервер, работаешь с бд - поднимаешь сервер и т.д.; 2. закрывать невалидные пакеты; 3. отслеживать атаки; 4. считать трафик --- если нужно.

>> разрешены все исходящие

а на сколько это нормально? Вообще, стоит ли париться и закрывать исходящие порты на офисном шлюзе?

Как вы задрали!!!

Какая тебе разница зачем это мне, знаешь ответь не знаешь молчи!!!

>Вообще, стоит ли париться и закрывать исходящие порты на офисном шлюзе?

82% угроз безопасности --- осуществляются сотрудниками организации, думай сам, надо или не надо.

Цифра из учебника, на мой взгляд лучшего: "Информационная безопасность" В.И. Ярочкина. Впрочем в других учебниках (Тороков и т.д.) тоже самое.

> 82% угроз безопасности --- осуществляются сотрудниками организации, думай сам, надо или не надо.

И закрытие исходящих портов тут совершенно не поможет ;)

> Какая тебе разница зачем это мне, знаешь ответь не знаешь молчи!!!

Э... с чего ты решил, что тебе здесь кто-то хоть что-то должен?

>Я для десктопа, кагда приложение запращивает сетевой доступ, файервол предлогает создать правило

запускаем протрояненую аську, вопрос разрешить -- конечно разрешить, тебе же с аськой работать надо, создал правило, троян работает без помех.

>И закрытие исходящих портов тут совершенно не поможет ;)

защита информации --- это комплекс мер... закрытие исходящих портов, это всего лишь одна из мер.

А я и не говорил что мне ктото должен, я попросил ответить на вопрос.

А я и не говорил что мне ктото должен, я попросил ответить на вопрос.

Я это понимаю. Мне интересно в линуксе такое можно реализовать или нет?

>Я это понимаю. Мне интересно в линуксе такое можно реализовать или нет?

можно, почему нет. Поставь какой-нибудь касперский -- то же самое будет, или тебе интересно как это программно сделать?

Я вот все пытаюсь понять - крутизна администратора определяется тем использует он тока консольные команды или пользуется еще и программами типа помошников? Если тока консолью - то это круто, если нет - то админ лох. Ни кто не отменяет знание консольных команд, но я предпочитаю накидать основные правила в удобной программе типа KMyFirewall и потом добавить хитровыжученные правила руками - получается и быстрее и ошибок меньше. Пользуюсь KMyFirewall-ом и очень доволен. Попробую новую версию!

хм... на десктопе у меня вот уже 2.5 года iptables -F... Зачем фаерволл на десктопе в линуксе я за 2.5 года так и ниасилил :( Винда без фаера ложится очень быстро, да...

> 1. запускаешь игрушку --- поднимаешь сервер, работаешь с бд - поднимаешь сервер и т.д.;

а) вам этот сервер нужен извне? так какого черта его тогда блочить? ну, допустим, надо, чтобы он только с одного/группы IP был доступен - правила простейшие, опять же, что это нужно всем - я бы не сказал;

б) вам этот сервер нужен локально - так нафиг его биндить на всё подряд?

попался недавно веб-скрипт (походу на пёрле), в котором указываешь основные настройки -- ИП. подсети, есть ли прозрачный прокси, нат, статический или динамический ИП и т.п... Сгенерил им правила, подправил, дополнил и рад пока )) пока не разберусь толком и не напишу свои )))

Ещё попалось вот это:

http://www.babel.com.au/phpfwgen/

Однако, считаю, что самый удобный и гибкий способ настройки всё-таки ручками, особенно, когда понимаешь, что делаешь..

>>> разрешены все исходящие

>а на сколько это нормально? Вообще, стоит ли париться и закрывать исходящие порты на офисном шлюзе?

Не знаю. Я не закрываю. Один раз сотрудник в винде подхватил трояна, который спам рассылал, то я закрыл исходящий 25 порт, кроме smtp-сервера првайдера. Но офис у меня небольшой, сотрудники образованные, вирусы редко бывают. Начну закрывать порты, начнётся нытьё, у меня аська глючит, у меня mrim не работает, у меня торренты не качаются и т.п. А админский терроризм - не мой случай. У нас в офисе довольно либерально.

имхо, для линуксового десктопа - нет смысла закрывать исходящие. левые ломящиеся в инет программы появляются редко. В крайнем случае - netstat и tcpdump поогают выявить нарушителя.

Может кто-то приведёт ещё какие-то примеры необходимости закрывания исходящих.

ps: всё таки дефолтный набор правил в ferm - это для линуксового десктопа, а не для шлюза.

Йа напесал самуйу безапастную ОСь!

Ана работайет на маем сервире и неглючет. Уже палгода работайет иниадной ошипки йа ни нашел. Неадного пачча или зоплатки ниставил и все работайет безапастно и надежна.

Кагда йа зокончу школу йа буду ийе прадовать на рынке програмново обиспеченийа а микрасовт и линух сасуд!

> запускаем протрояненую аську, вопрос разрешить -- конечно разрешить, тебе же с аськой работать надо, создал правило, троян работает без помех.

Доступ будет тут же блокирован как только файервол поймет, что checksumm бинарника или одной из его либ изменилась.

> Доступ будет тут же блокирован как только файервол поймет, что checksumm бинарника или одной из его либ изменилась.

а что, если она попала на компьютер УЖЕ протрояненной?

> Доступ будет тут же блокирован как только файервол поймет, что checksumm бинарника или одной из его либ изменилась.

А у аськи совсем-совсем нет dll-ек и плагинов? Или их суммы тоже будут проверяться?

> а что, если она попала на компьютер УЖЕ протрояненной?

От ситуации "юзер - дебил" не спасет ни один файервол. Но это не значит, что файервол не должен предоставить максимум средств для избежания нежелательных ситуаций.

>Я для десктопа, кагда приложение запращивает сетевой доступ, файервол предлогает создать правило.

Уважаемый анонимус, сделать такое совсем не сложно. Достаточно лишь отправлять неизвестные запросы на соединеник не в DROP, а в ULOG

И написать графическое приложение, которое будет читать из ULOG'а, и предлагать вам нажать разрешть/запретить. Затем, добавлять соответствующие правила в ИПТАБЛЕС...

только нафиг это нужно...

>> у меня mrim не работает, у меня торренты не качаются и т.п.

Вот-вот, торренты! Офис наш не в Москве :)) и траф ограничен ))) Да и работать народ дожен, а не искать какой торрент лить. Последнее им для работы не нужно вовсе )) А аськи и прочее... ЗАкрытые порты на них не влияют. Если только они не будут назначать хрен знает что...

KMyFirewall не нужен.