LINUX.ORG.RU

Простой, но при том гибкий фаерволл для линукс

 , , , ,


1

2

Здравствуйте, форумчане. Возникла необходимость в firewall. До этого сидел на виндах и с легкостью мог запрещать исходящие и входящие соединения (при помощи Comodo Firewall, OutPost Firewall) отслеживая соответствующие оповещения. Софт я настраивал таким образом, что для всех сетевых операций firewall спрашивал разрешение, уведомляя меня о поведении приложения, если что-то явно не было разрешено и компьютер не получал моего разрешения, то по заранее составленному правилу - запрещалось. Это касалось всех процессов, в том числе системных.

Может кто подопнуть в направлении что почитать, и вообще - возможно ли получать подобные уведомления (даже в консоли) с подобным функционалом на Linux? Может я вообще зря надеюсь или по крайней мере мне нужно получить 80 уровень красноглазия для решения этой проблемы?


Если интересует гуй, то можешь юзать нетрушный gufw.

Debasher ★★★★★ ()

Может я вообще зря надеюсь или по крайней мере мне нужно получить 80 уровень красноглазия для решения этой проблемы?

Да, интегрированного решения, аналогичного тому, что в windows называют файерволом, нет.
Склеить имеющиеся компоненты во что-то подобное можно, но для этого нужно уметь ими пользоваться, а когда научишься, то и нужда отпадёт. Уровень красноглазия понадобится выше среднего.

aidaho ★★★★★ ()
Ответ на: комментарий от Eddy_Em

Я тоже считал, что iptables - это красноглазие, пока то руководство не прочел(в eng варианте), оказалось все просто.

Deleted ()

Comodo безусловно рулит и педалит. Единственный вменяемый файер на офтопике...

А тут все по другому. Когда я впервые попал в плохую компанию мне тоже жутко не хватало Comodo. Я поставил себе галочку что надо поискать такой интерфейс для iptables (о нем я сразу нашел краткую инфу глянул и припух). Вспомнил. Поискал. Не нашел. Поставил галочку - «при возможности слабать хоть какой-то интерфейс удобный мне пусть и не Comodo». Когда выдалось время решил приступить. Начал изучать iptables... Изучил. Настроил необходимость в интерфейсе отпала. Блджат.

Тут много где так - приходят парни которые чего-то не знают. Часто полны желанию улучшить, но им не хватает знаний. Потом они учатся массе плохих вещей. И вот уже вроде и знания есть, а необходимости и желания уже нет... Такие дела. Привыкай.

Suntechnic ★★★★★ ()

vuurmuur, простая и наглядная надстройка.

ollowtf ★★★ ()

irewall спрашивал разрешение... это касалось всех процессов

ТС хочет firewall уровня приложений.

возможно ли получать подобные уведомления (даже в консоли) с подобным функционалом на Linux?

/me демонстрирует Google-fu:
В новостях на ЛОРе
Еще один

Old_Hamster ★★★ ()

Сначала тоже искал, что нибудь, с мышковозюканием. Потом попробовал IPTables, как оказалось, все не так сложно и вполне понятно. Да и зачем ГУЙ, когда на серваке консоль? В общем, ничего удобнее IPTalbes не нашел. А его возможности зашкаливают, и жалкая пародия, с именем «Брандмауер Windows» нервно курит в сторонке.

Вот на Фряхе есть IPFw. Но еще более прост, и, как мне кажется, более простого фаервола придумать уже нельзя, не пожертвовав функционалом в сторону убогости. Но для Линукса ipfw пока нет. И вряд ли будет, потому как уже есть IPTables. А переходить на Фряху только из-за фаервола - глупо. Вот когда Линукс полностью испоганят «инновациями» еретики с известными именами, и в Линуксе вдруг станет бинарная консоль, а мне предложат 100500 клиентов для ее понимания, тогда я и свалю на «Линукс без линуксоидов».

А пока, совет, прочитай IPTables. Только не начинай с чтива на ОпенНете. Не взрывай себе мозГ. На том же «Жолтом Листе» есть небольшое описание с примерами, которых для начала хватит. А когда разберешься с принципами, переходи к более серьезному чтиву, что бы сделать «очень умные правила» с расписанием, и интерактивностью. Сам я правда до этого не дошел, потому как лень, да и как оказалось - и не нужно. Но ты вдруг осилишь?

ivanlex ★★★★ ()
Ответ на: комментарий от ivanlex

Вот на Фряхе есть IPFw. Но еще более прост, и, как мне кажется, более простого фаервола придумать уже нельзя, не пожертвовав функционалом в сторону убогости.

А как-же OpenBSD PF? (Я вообще молчу про какой-нибудь JunOS Firewall...)

sergv ()

Многие новички приходя на линукс начинают искать файрволы и антивирусы по старой памяти, так как боятся что их любимый софт полезет куда не надо и накачает чего ненадо.

Но ты пришел совершенно в другую среду сейчас и я могу тебе с высокой долей вероятности сказать (99.9%) что тебе файрвол и антивирус здесь не нужны будут, если ты будешь соблюдать традиции своего дистрибутива.

Давай подумаем, зачем тебе антивирус на линуксе? Вирусов нет. Недавно проскакивала информация о каком-то кроссплатформенном троянце от дрВеба, народ долго искал где его скачать посмотреть, так и не нашли. По-видимому есть одна копия, неспособная к распространению и та в офисе дрвеба лежит.

Зачем тебе файрвол? Если ты юзаешь софт из репозиториев своего дистрибутива (а в случае убунт и прочих дебиан-бейзед, на которые переходят новички - этого достаточно на 98%) - то чего боишься? Все это ПО в высокой степени проверено и чем оно занимается известно. Никаких подвохов ждать от него не надо, на сервера Adobe за лицензиями оно тоже не попрется. Даже Google Chrome в указанных мной дистрибутивах заменен на Chromium, из которого удалены все синхронизаторы и прочая ересь, которая «не прозрачно» работает.

Мой тебе совет - вообще не заморачивайся поначалу. Если хочешь ограничить доступ к какому-то ресурсу - одна строчка с iptables в консоль, гуглится за 10 секунд и быстро запоминается на будущее. Немного будь осторожнее со сторонними ppa:// репозиториями убунты, прежде чем оттуда что-то ставить, убедись что этого нет в достаточном виде в официальном репо и почитай про этот ppa на форумах.

BaBL ★★★★★ ()
Ответ на: комментарий от ivanlex

С данными ОС не работал, поэтому не знаю, и ничего сказать не могу.

OpenBSD PF можно потыкать палочкой во фре (man pf). Его синтаксисосм навеян синтаксис ufw.

А вот где JunOS стиль посмотреть - не подскажу. Не видел больше нигде, хоть и очень удобно.

sergv ()
Ответ на: комментарий от sergv

нет Девид Блейн, лучше не надо таких фокусов

давай сравним: (нагло выдранно из линка сверху)

JunOS filter:

firewall {
    filter incoming_traffic {
        term WWW {
            from {
                destination-address {
                    192.168.1.7/32;
                }
                protocol tcp;
                destination-port [ 80 443 ];
            }
            then accept;
        }
        term SSH {
            from {
                source-address {
                    192.168.2.1/32;
                    192.168.2.2/32;
                }
                destination-address {
                    192.168.1.0/28;
                }
                protocol tcp;
                destination-port 22;
            }
            then accept;
        }
        term 8319 {
            from {
                source-address {
                    192.168.2.1/32;
                }
                destination-address {
                    192.168.1.0/28;
                }
                protocol tcp;
                destination-port 8319;
            }
            then accept;
        }
        term 443_5900 {
            from {
                source-address {
                    192.168.2.3/32;
                    192.168.2.4/32;
                }
                destination-address {
                    192.168.1.0/28;
                }
                protocol tcp;
                destination-port [ 443 5900 ];
            }
            then accept;
        }
        term established {
            from {
                tcp-established;
            }
            then {
                count established;
                accept;
            }
        }
        term DNS {
            from {
                source-address {
                    8.8.8.8/32;
                    8.8.4.4/32;
                }
                protocol udp;
                source-port 53;
            }
            then {
                count DNS;
                accept;
            }
        }
        term other {
            then discard;
        }
    }
    filter outgoing_traffic {
        term 192.168.2.5 {
            from {
                source-address {
                    192.168.1.7;
                }
            destination-address {
                 192.168.2.5/32
            }
            then {
                discard
            }
        }
    }
}

versus

OpenBSD PF:

skip on lo
block in quick
pass in proto tcp to 192.168.1.7 port { http, https }
pass in proto tcp from { 192.168.2.1, 192.168.2.2 } to 192.168.1.0/28 port ssh
pass in proto tcp from 192.168.2.1 to 192.168.1.0/28 port 8319
pass in proto tcp from { 192.168.2.3, 192.168.2.4 } to 192.168.1.0/28 port { https, 5900 }
pass in proto udp from { 8.8.8.8, 8.8.4.4 } port domain
block out from 192.168.1.7 to 192.168.2.5

PS: в pf отдельно «established» или как его там не нужен, ибо «keep state» для tcp включён по дефаулту

ну и для полной картины уродец iptables:

-P INPUT DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -d 192.168.1.7 -m multiport --dports 80,443 -j ACCEPT
-A INPUT -p tcp -s 192.168.2.1 -d 192.168.1.0/28 -dport 22 -j ACCEPT
-A INPUT -p tcp -s 192.168.2.2 -d 192.168.1.0/28 -dport 22 -j ACCEPT
-A INPUT -p tcp -s 192.168.2.1 -d 192.168.1.0/28 -dport 8319 -j ACCEPT
-A INPUT -p tcp -s 192.168.2.3 -d 192.168.1.0/28 -m multiport -dports 443,5900 -j ACCEPT
-A INPUT -p tcp -s 192.168.2.4 -d 192.168.1.0/28 -m multiport -dports 443,5900 -j ACCEPT
-A INPUT -p udp -s 8.8.8.8 -dport 53 -j ACCEPT
-A INPUT -p udp -s 8.8.4.4 -dport 53 -j ACCEPT
-A OUTPUT -p tcp -s 192.168.1.7 -d 192.168.2.5 -j DROP
beastie ★★★★★ ()
Последнее исправление: beastie (всего исправлений: 1)
Ответ на: комментарий от beastie

Хотелось бы годного совета, пока ещё изучаю iptables, проброшены порты через портмаппинг 3proxy, все остальное выходит через порт прокси, надо обязательно открывать на внешнем интерфейсе проброшенные порты, либо как то можно через стандартный порт прокси пустить?

schlae ()
Ответ на: комментарий от beastie

нет Девид Блейн, лучше не надо таких фокусов...

Ага. Размашисто так. И «долгосмотрябельно». Зато читается легко.

(Про count, кстати, забыл...)

sergv ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.