Каким фаерволом (брандмауэром, межсетевым экраном) вы пользуетесь на своем домашнем десктопе?

Сейчас софт телеметрию сливать любит. И неизвестно что там есть.

firewalld по умолчанию стоит в EndeavourOS. Пока он только мешал, но отключать не буду. Ведь даже не знаю зачем он нужен.

разница вполне очевидная: никто не может подключиться к сервису потому что доступ только по белому списку или потому что сервис выключен или вообще не установлен.

посоветую исходить из собственных нужд и реалий. если ты ничего не раздаёшь, т.е. нет точек для входящих подключений то и фильтровать нечего.

Исходящие да. Но век емулей и пиратского софта давно позади. Плохо представляю, зачем в 2023 на десктопе использовать фаервол. Наверняка есть юзкейсы, но чтоб 64% юзеров нуждались в фаерволе - не ожидал.

Плохо представляю, зачем в 2023 на десктопе использовать фаервол.

Большинство конфигураций IPv6 выставляет всё твоё барахло белой публичной задницей наружу.

Сидишь за NATом (своим) – проблемы нет. Иначе приходится обмазываться фаэрволами либо на девайсах, либо на маршрутизаторе.

+/- обычный файрвол уровня приложений. Прям как это принято в Виндовс. Проблему с некорректным определением процессов вроде бы решили с переходом на ebpf. На мой взгляд, главный существующий недостаток в том, что таблица правил общая на всех пользователей. Любой может ее править. Очень жду когда появятся официальные пакеты в openSUSE Tumbleweed.

ferm и nftables

До недавнего времени по работе использовались ufw, но это эталон ненужно.

С торрентами сосуществовать может?

Зачем? Всё на роутере режется. А какой там, не знаю.

Затем что не у всех домашняя локалка из одного единственного десктопа состоит.

Ой, сколько тут таких же сообщений про роутер, не буду всем отвечать пожалуй.

таблица правил общая на всех пользователей. Любой может ее править.

в литле - доступ к настройкам паролится. а тут все открытое? (заходите люди добрые, берите что хотите :о)

Ну так и у меня не из одного.
Так, наоборот, если машин больше одной то удобно же на маршрутизаторе файрвол крутить.

Ты имеешь ввиду что каждая машина воткнута в свой отдельный зафаерволеный порт? Ну, тогда можно. Но у большинства роутер роутит только WAN <-> LAN, а для локалки тупо свитч, который изолировать друг от друга разные машины не сможет.

Ты имеешь ввиду что каждая машина воткнута в свой отдельный зафаерволеный порт?

По разному. Конечно, если в роутере есть порты.

Но у большинства роутер роутит только WAN <-> LAN, а для локалки тупо свитч, который изолировать друг от друга разные машины не сможет.

Ну большинству и не нужно их изолировать. Я собственно не понимаю, что можно файрволить на каждой отдельной машине?

Ну, да. У меня qbittorent в flatpak, проблем нет. Полный доступ к сети для /app/bin/qbittorrent. Наверное, отсутствие преобразования путей между контейнером и хост-системой еще один недостаток.

… для локалки тупо свитч, который изолировать друг от друга разные машины не сможет.

Изолировать на каком уровне? На уровне MAC концентратор да, не сможет, а коммутатор вполне себе изолирует. Посмотрите tcpdump. Кроме своих пакетов идут только широковещательные и ARP запросы. На уровне IP? Ну-у… Вот так вот прямо в лоб на ум ничего не приходит что в локалке нужно изолировать между рабочими станциями и принтерами.

Обычно брандмауэр на десктопе вызывает только проблемы. Типа, вроде всё правильно настроил, а почему-то нихрена не работает.

Надо будет покурить

в сусе чёт есть по дефолту, которое не даёт мне веб морду торрента открыть )

а для локалки тупо свитч, который изолировать друг от друга разные машины не сможет.

Некоторые могут. На моем есть переключатель, который изолирует порты с 1 по 7 друг от друга, 8 аплинк.

Хочу поныть.

Свела меня работа с Astra Linux SE, похоже на debian но со своими приколами, хочу настроить firewall:
iptables - есть,уже хорошо
{iptables,netfilter}-persistent - нет (и как правила сохранять?)
ntf - нет
ufw - есть на базовом диске, но зачем мне эта прослойка?

Пробую подлючить репозиторий из сети (у них там какие-то extra пакеты) - а болт, он не доступен (403 выдает), написал в ТП жду ответа как доступ получить.

{iptables,netfilter}-persistent - нет (и как правила сохранять?)

Никогда не понимал эту тягу именно «сохранять» что-то. Прописал в скрипт в автозапуске всё что нужно, он на старте компа и отрабатывает. Нужно исправить что-то временно - вызываешь соответствующие команды iptables. Нужно постоянно - вызываешь те же команды + дописываешь их в скрипт.

О том, что бывает какая-то iptables-persistent, вообще не знал.

Так это по сути и есть готовый скрипт который sd дергает при загрузке

И зачем для него нужны какие-то особенные команды? Текстовый редактор по вкусу и всё. Остальное только запутывать будет.

Оно уже есть в репозитории - унификация. Особые команды не нужны, настраиваешь iptables и делаешь netfilter-persistent save ну или iptables-save > /etc/rules.v4

iptables-save это случайно не iptables -S?

Ну и повторюсь, подход «сохранить текущие правила» по-моему неправильный сам по себе. Надо при внесении каждого правила отдельно сразу думать - оно временное или же его надо писать в постоянный конфиг. И в таких условиях save бесполезен получается.

Вот обратная операция «сбросить текущие правила и перечитать их из конфига» - полезная.

Надо при внесении каждого правила отдельно сразу думать - оно временное или же его надо писать в постоянный конфиг.

Так оно не автоматически сохраняет, а по требованию

iptables-save это случайно не iptables -S?

нет, не совсем. На сколько я понимаю iptables-restore не понимает вывод iptables -S

Так оно не автоматически сохраняет, а по требованию

Я про само действие «сохранить всё». Надо не «всё», а каждое правило отдельно, в момент его придумывания. А если это крупная настройка (например начальная), то лучше сначала прописать все правила в конфиг, не трогая работающий файрволл, а уже потом целиком его применить. Как бы то ни было, первичен именно конфиг, а не текущие правила, и синхронизация должна быть именно от конфига к текущим правилам, а не наоборот.

нет, не совсем. На сколько я понимаю iptables-restore не понимает вывод iptables -S

Тем хуже, выдумали несовместимый формат на ровном месте.

Если хочешь руками правила поправить, то велком в /etc/iptables/rules.v4 там вполне себе iptables-синтаксис. И да, можно перезапустить службу и она заменить имеющийся конфиг на новый

Ну какую ещё службу, если файрволл это модуль ядра? Его нельзя перезапускать, и вообще от юзерспейса ему требуется только сообщить список правил. Я и говорю - мутная идеология работы, вместо простого «сообщить конфиг файрволлу» на старте компа.

/etc/iptables/rules.v4 там вполне себе iptables-синтаксис.

У меня этот файл называется /etc/ipt-conf, он chmod 700 и начинается с #!/bin/sh, синтаксис разумеется тоже iptables, но безо всяких служб, сохранений и прочей ерунды.

Тем хуже, выдумали несовместимый формат на ровном месте.

iptables-save - это часть iptables

Я и говорю - мутная идеология работы, вместо простого «сообщить конфиг файрволлу» на старте компа.

Так оно при старте делает iptables-restore правил, всё. Можно считать это аналогом iptables-services из rhel.

iptables-save - это часть iptables

Хм и правда. У меня он есть, запустил - формат тот же что и iptables -S кроме нескольких мелочей (всё же непонятно зачем там сделали ну да ладно).

Так оно при старте делает iptables-restore правил, всё. Можно считать это аналогом iptables-services из rhel.

Загружать на старте правила - это норм. Называть это «восстановлением» - не норм. Делать из этого какие-то «сервисы» - тоже не норм. Считать RHEL за образец тоже не норм.

Мне вот интересно, какой процент из тех, кто ткнул «не пользуюсь», просто об этом не знают.

божественный Agnitum Outpost

Который в первых версиях слал фейковые атаки, которые героически отражал?)))

Не скажи, софтина была реально удобная, было очень легко настраивать правила

А нужен ли фаервол, если не запущены никакие сервера?

Зависит от того, от чего защищаемся.

фаервол не задача для десктопа.

Не скажи, софтина была реально удобная, было очень легко настраивать правила

Легко настраивать правила было в ipfw. Да-да оно было(Есть?) для руления шин fw.

фаервол не задача для десктопа.

То-то 80% ботнета — на пользовательских компах, ага.