LINUX.ORG.RU
ФорумAdmin

Файрволл в Debian

 


0

2

Замаялся изучать особенности дебиановского файрвола, лучше спрошу для надежности.
Как мне показалось, в Дебиане файрвол в виде классического iptables присутствует, но по умолчанию не запущен??
Это несколько ошарашило... ничего себе отношение к безопасности!
Во всяком случае в сервисах он не наблюдается.
Или я ошибаюсь?

Впрочем, в Дебиане полно для полно странностей - такой важнейший сервис, как ntp, по дефолту даже не установлен, любой юзер может залезть в чужую домашнюю папку, и т.д.
Впрочем, это к теме не относится.

Да, так что с дефолтовым статусом этого файрвола, кто-то может просветить?

★★★

Как мне показалось, в Дебиане файрвол в виде классического iptables присутствует, но по умолчанию не запущен??

Похоже, вы не совсем понимаете как работает утилита iptables и где собственно у вас фаервол... вот тут хорошо написано простым языком: http://www.k-max.name/linux/netfilter-iptables-v-linux/

...такой важнейший сервис, как ntp, по дефолту даже не установлен...

busybox тоже не установлен? Кому нужно больше — ставят полноценный клиент.

...любой юзер может залезть в чужую домашнюю папку...

Во всех «универсальных» дистрибутивах стоит umask 022 по умолчанию... вам нужны более строгие правила — поставьте 077. Будет все закрыто.

Да, так что с дефолтовым статусом этого файрвола, кто-то может просветить?

Если вы загрузили дефолтное ядро дебиана — с фаерволом все ок. Работает в режиме «все разрешено».

viewizard ★★ ()
Ответ на: комментарий от viewizard

вот тут хорошо написано простым языком: http://www.k-max.name/linux/netfilter-iptables-v-linux/

Ну спасибо, конечно, но вы меня погнали в дебри :)

Изучать их, конечно, не буду, потому что точно не осилю.
Мне бы попроще что надо - какой конфиг править?

Зато в Федоре мне таких глубочайших знаний не требувалось - открыл /etc/sysconfig/iptabes, нашлепал правил каких надо (в основном открыл 22-й и 5901 порт), перезапустил сервис - и вуаля, больше ничего не надо!

В Дебиане такое воззззможно? ;)

chukcha ★★★ ()

Как мне показалось, в Дебиане файрвол в виде классического iptables присутствует, но по умолчанию не запущен??

Не совсем так. Он запущен, но находится в режиме «разрешено всё».

Это несколько ошарашило... ничего себе отношение к безопасности!

Тут вам стоит уточнить, о чём идёт речь: о десктопе или о сервере?
Если о десктопе, то, к примеру, в той же ubuntu desktop и server по умолчанию «файрвол» разрешает хождение любого трафика во всех направлениях.
При этом Ubuntu 12.04 продемонстрировал лучшие результаты безопасности при оценке Центром правительственной связи Великобритании.

Впрочем, в Дебиане полно для полно странностей

Эти «странности» являются следствием политики разработки дистрибутива, debian разрабатывается с сильным уклоном в сторону идеологии, которая сложилась вокруг этого дистрибутива. Достаточно часто эта идеология идёт в ущерб удобству.
Возможно, вам стоит попробовать ubuntu (естественно LTS релиз), с ней будет проще. Как пример — http://help.ubuntu.ru/wiki/руководство_по_ubuntu_server/безопасность/firewall

Essentuki_17 ★★ ()
Ответ на: комментарий от chukcha

Зато в Федоре мне таких глубочайших знаний не требувалось - открыл /etc/sysconfig/iptabes, нашлепал правил каких надо (в основном открыл 22-й и 5901 порт), перезапустил сервис - и вуаля, больше ничего не надо!

емнип там обычный iptables-save лежит

В Дебиане такое воззззможно? ;)

везде возможно

anc ★★★★★ ()

Ты на ЛОРе 6 лет, даже читая только talks, можно стать спецом по линуксу.

Лошара Я в шоке!

anonymous ()
Ответ на: комментарий от chukcha

Зато в Федоре мне таких глубочайших знаний не требувалось - открыл /etc/sysconfig/iptabes, нашлепал правил каких надо (в основном открыл 22-й и 5901 порт), перезапустил сервис - и вуаля, больше ничего не надо!

apt-get install iptables-persistent
vim /etc/iptables/rules.v4
Deleted ()

Все в debian работает. Просто там по умолчанию нет каких-то запрещающих правил как это сделано в CentOS, где это рулится через firewalld. Для дебиана надо поставить iptables-persistent и вперед.

gilgameshfreedom ()
Ответ на: комментарий от gilgameshfreedom

Перечитал эти статьи -
- http://webhamster.ru/mytetrashare/index/mtb0/1393570578sq33dpfahy
- https://rusadmin.biz/rukovodstva/bazovaya-nastrojka-iptables/
- http://serveradmin.ru/debian-nastroyka-servera/

- это какой-то звездец! Что ни статья - так всё по разному!

По первой статье команда активации

service iptables-persistent reload

выдает ошибку -
iptables-persistent: unrecognized service

Во второй статье активация производится какой-то слишком мудреной командой, с конвеером, что нельзя было проще?? -
cat /etc/iptables/rules.v4 | iptables-restore -c

В третьей автор вообще решил продемонстрировать свои знания по iptables, насовав туда все что угодно.

Почему, блин, нет унификации в таком классическом вопросе?? Почему все так любят всё усложнять??

Короче, послал всех этих грамотеев куда подальше, установил gufw и за пару минут сделал все настройки.
Чего и вам желаю.

PS. Нееееее, как бы ни пыжились его создатели, Debian явно не для серверов.
Одно то, что сразу после установки открыты все входящие - это пипец....

chukcha ★★★ ()
Ответ на: комментарий от chukcha

Одно то, что сразу после установки открыты все входящие - это пипец....

Ты это, как его, Патрика не трогай!

anc ★★★★★ ()
Ответ на: комментарий от chukcha

Одно то, что сразу после установки открыты все входящие - это пипец....

А если серьезно:
1. открою секрет, далеко не все сервера нужно закрывать fw
2. вас никто за руку не тянет сразу устанавливать кучу серверных приложений не думая надо это или не надо.
ЗЫ Восстановление правил ipset и iptable в Centos 7 (комментарий)

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

1. открою секрет, далеко не все сервера нужно закрывать fw

Попробуйте это опенбиздишникам объяснить ;)

2. вас никто за руку не тянет сразу устанавливать кучу серверных приложений не думая надо это или не надо.

А причем тут это вообще? Это совсем другая тема.
Кстати, я очень придирчиво устанавливаю приложения, минимизируя их состав и выключая работу ненужных сервисов.

chukcha ★★★ ()
Ответ на: комментарий от chukcha

Одно то, что сразу после установки открыты все входящие - это пипец....

Ага, причем особенно недовольны те, кто серверы сразу после установки подключает к интернету, без должной настройки ПО.

Deleted ()
Ответ на: комментарий от Deleted

Скорее еще до установки хвост втыкают.

anc ★★★★★ ()
Ответ на: комментарий от Essentuki_17

Достаточно часто эта идеология идёт в ущерб удобству.

Написать свои правила в какой-нибудь rc.local (или дёрнуть свой скрипт с правилами из rc.local) это конечно жуть как неудобно.
Из коробки предусмотренное место для хранения правил фпервола это конечно хорошо, но если человек не способен догадаться дёрнуть /etc/myfirefall.sh из rc.local может ему и не стоит трогать крутить?

MrClon ★★★★★ ()
Ответ на: комментарий от chukcha

Кстати, я очень придирчиво устанавливаю приложения, минимизируя их состав и выключая работу ненужных сервисов.

Тогда зачем тебе отбрасывать фаерволом те пакеты которые ядро и без этого отбросит (потому-что они пришли на порт который никто не слушает)?
Если ты не хочешь что-бы приложение получало пакеты из сети — настрой его так что-бы оно не слушало сеть.
От чего, по твоему, тебя защищают дефолтные запрещающие правила в федоре/редхате/центе? Расскажи.

MrClon ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.