Меню Рубрики

Установка firewall на linux mint

Soft Gufw – графический интерфейс для настройки файервола (сетевого экрана) в Linux

Pirnazar

Well-known member

Установка Gufw в Debian и производные (Kali, Mint, Ubuntu и др)
Gufw можно установить в Synaptic или из терминала:

Самые интересные следующие две строчки:

Т.е. на целевой машине имеется 998 закрытых порта. Закрытые — значит нет приложений, которые бы их прослушивали, использовали. Два порта открытые. И впечатляет время сканирование — полсекунды.

Ну и ещё парочка портов открыта:

Для начала разблокируем окно. Чтобы включить брандмауэр, просто нажмите кнопку Состояние и правила по умолчанию будут установлены. Deny (Запретить) для входящего трафика и Allow (Разрешить) для исходящего трафика.

Давайте ещё раз просканируем нашу систему:

Во-первых, сканирование длилось значительно дольше. А во-вторых, у нас опять две интересные строчки:

Было опять просканировано 1000 портов и все они теперь фильтруются. Само сканирование заняло почти 22 секунды.

Вывод: файервол уже работает!

Добавление правил в файервол
Чтобы настроить брандмауэр, добавим правила. Просто щелкните кнопку Add (+), и появится новое окно. Для получения подробной информации посетите домашнюю страницу UFW. Правила могут формироваться для TCP и UDP портов. UFW имеет несколько предустановленных правил для конкретных программ/услуг, они убыстряют типичную настройку сетевого экрана.

Доступные варианты для правил Allow (Разрешить), Deny (Запретить), Reject (Отклонить), и Limit (Ограничение):

  1. Разрешить: система позволит вход трафика для порта.
  2. Запретить: система запретит вход трафика для порта.
  3. Отклонить: система запретит вход трафика для порта и будет информировать систему связи, что он было отклонено.
  4. Ограничение: система запретит соединения, если IP-адрес пытался инициировать 6 или более соединений за последние 30 секунд.

Предустановленные

Использование предустановленных правил дает несколько вариантов для управления параметрами брандмауэра для распространённых программ и услуг.

Предустановленные правила не охватывают все возможные программы и услуги, дополнительные правила можно добавить во вкладке Простые.

Возьмём в качестве примера службу SSH – давайте просто представим на минуту, что отсутствует предустановленное правило для неё. Откроем для неё порт: вкладка Простые, выберем “Allow”, “In” “TCP”, “22” и нажмём кнопку Добавить.

Чтобы настроить доступ на основе определенного IP, используем вкладку Расширенные.

Есть несколько настроек, доступных для установки в Gufw. Можно настроить в Изменить->Preferences

Здесь вы можете управлять ведением журнала для UFW и Gufw, создавать профили и установить общие предпочтения интерфейса. По умолчанию включено ведение журнала для UFW и отключено для Gufw.

ANDREY
31.07.2015 в 13:57
Довольно познавательно, но зачем файервол в Linux?

WEBWARE TEAM
31.07.2015 в 14:30
Почему-то ваш комментарий попал в спам…

Правильная настройка файервола:

  • Позволяет сводить на нет некоторые виды флуда (установкой надлежащих правил файервола) и другие виды DoS-атак (с помощью дополнительных программ и скриптов, которые сами добавляют правила в файервол) (актуально для защиты серверов)
  • Уведомляет о подозрительной деятельности, попытках зондирования
  • Можно контролировать доступ к различным службам: например, закрыть доступ к веб-серверу, SSH и прочему без остановки самих служб. Т.е. сервером на локалхосте можно пользоваться, а другие к нему подключиться не могут.
  • Фильтрация доступа к заведомо незащищенным службам.

Файервол лучше иметь, чем не иметь. Конечно, файервол при неправильной настройке никак не поможет (это справедливо и для Linux и для Windows).

ИВАН
19.02.2016 в 14:00
А как настроить белый список: запретить все входящие и исходящие подключения и разрешить выход в интернет только для Firefox, Центра приложений Ubuntu и как разрешить доступ для Samba в диапазоне IP-адресов с 192.168.0.1 по 192.168.0.254?

ИВАН
23.02.2016 в 19:27
И как разрешить входящие и исходящие подключения для qbittorrent только для определенного порта?
Неужели для Linux не существует хороших графических программ для настройки файервола?

XYZ
01.11.2016 в 12:26
Приветствую.
Настроил GUFW – все замечательно. Только при рестарте системы ufw – inactive. При запуске GUFW галочка выключена. Посоветуйте что делать? Спасибо!

источник

Изучаем firewalld: простой и мощный файрвол для Linux на замену iptables

Содержание статьи

Iptables и другие

Проект iptables, разработанный Расти Расселом (Rusty Russell) в 1999 году для управления netfilter и заменивший в ядре 2.4 ipchains и ряд других инструментов вроде ipnatctl, предлагает более расширяемый способ фильтрации пакетов, обеспечивающий сисадмину больший контроль при упрощении самих правил. Так, в ipchains нужно было создавать правило в каждой цепочке, прослеживая весь маршрут пакета, теперь достаточно одного. Появление модулей позволяло очень просто расширять возможности. В процессе развития проекта iptables был портирован для IPv6 (в 2011 году, ip6tables), добавлялись дополнительные модули (ULOG, nf_conntrack), он научился производить разные манипуляции с пакетами, классифицировать трафик (до седьмого уровня OSI), балансировать нагрузку и многое другое. С ростом количества функций усложнились и настройки. При этом, даже несмотря на некоторую унификацию, каждое расширение имеет свой синтаксис, одни поддерживают диапазоны, отрицание, префиксы, другие — нет. Поначалу каждое изменение правил требовало полного перезапуска брандмауэра, включая выгрузку модулей, что приводило к разрыву установленных соединений. Сейчас такой проблемы нет.

Читайте также:  Установка погружных насосов водолей

Для простых случаев настройка при помощи iptables — дело нехитрое, но в сложных сетях управлять большим количеством правил становится тяжело; чтобы изучить все настройки и понять, как оно работает, нужно потратить время. Трудно с ходу разобраться, что делают все цепочки, правила начинают повторяться, их становится сложно обслуживать, обновлять и переносить на другие системы.

Неудивительно, что для решения этих проблем были придуманы разные надстройки. Так, в Ubuntu для простой настройки правил используется ufw (Uncomplicated Firewall — несложный файрвол). Например, чтобы открыть доступ к SSH-порту, достаточно ввести

Разработчики приложений могут создавать готовые профили, которые активируются при установке пакета, избавляя пользователя от выдумывания и ввода правил.

Еще один известный проект, позволяющий легко поддерживать сложные правила, — FERM (for Easy Rule Making). В FERM все правила хранятся в одном файле, который легко читается, редактируется и загружается одной командой. Такой файл просто переносить между компьютерами. Сами правила группируются в блоки, содержат переменные, списки, что позволяет задать те же настройки в более коротком и понятном виде. Итоговый размер правил FERM раза в три меньше аналогичных для iptables. Например, запрещаем все соединения, кроме HTTP, SSH и FTP.

Под капотом FERM находится обычный Perl-скрипт, который конвертирует конфигурационные файлы в правила iptables.

В Fedora 18 был анонсирован демон firewalld, ставший официальным приложением для управления настройками netfilter в RHEL 7 / CentOS 7. Последние становятся все популярнее на VDS, а значит, придется столкнуться с их особенностями.

Возможности firewalld

Firewalld запускается как демон, новые правила добавляются без перезапуска и без сброса установленного файрвола. Изменения в конфигурации могут быть сделаны в любое время и применяются мгновенно: сохранять или применять изменения не требуется. Поддерживается IPv4, IPv6, автоматическая загрузка модулей ядра и сетевые зоны, определяющие уровень доверия соединений. Предоставляется простой интерфейс добавления правил для служб и приложений, белый список приложений, имеющих право менять правила. В настоящее время такую возможность поддерживает libvirt, Docker, fail2ban, Puppet, скрипт установки Virtuozzo и многие другие проекты. В репозитории YUM уже есть пакеты fail2ban-firewalld и puppet-firewalld, поэтому подключить их можно одной командой.

Firewalld предоставляет информацию о текущих настройках брандмауэра через D-Bus API, а также принимает изменения через D-Bus с использованием методов аутентификации PolicyKit. В качестве бэкенда используются iptables, ip6tables, ebtables, ipset и планируется nftables. Но сами правила, созданные непосредственно этими утилитами, firewalld не может разобрать, поэтому оба метода использовать нельзя.

Управление производится при помощи утилит командной строки firewall-cmd или графической firewall-config, позволяющей настроить все правила в удобной среде. Для помощи в миграции текущих правил iptables на firewalld используется утилита firewall-offline-cmd, по умолчанию считывающая /etc/sysconfig/system-config-firewall . В последних релизах появилась утилита firewallctl, имеющая простой синтаксис и позволяющая получать информацию о состоянии службы, конфигурации брандмауэра и изменять правила.

Графическая firewall-config поддерживает firewalld

Параметры firewall-cmd

Разрешить соединение на определенный порт очень просто:

Чтобы любые изменения вступили в силу, всегда после правок должна быть запущена команда

Для удаления порта из правил используется параметр —remove-port :

Вообще, многие команды —add-* имеют значения для проверки статуса —query-* , —list-* — список, изменения —change-* или удаления —remove соответствующего значения. Для краткости на этом не будем дальше заострять внимание. После релоада правил проверяем:

В firewalld предусмотрен режим, позволяющий одной командой заблокировать все соединения:

Читайте также:  Установка консультанта на линукс

Для проверки, в каком режиме находится файрвол, есть специальный ключ:

В firewalld необязательно знать, какой порт привязан к сервису, достаточно указать название сервиса. Все остальное утилита возьмет на себя.

После установки firewalld знает настройки более 50 сервисов, получаем их список.

Разрешим подключение к HTTP:

Используя фигурные скобки, можно задавать сразу несколько сервисов. Информация по настройкам сервисов доступна при помощи

Firewalld хранит все настройки в XML-файлах в каталогах в /usr/lib/firewalld. В частности, сервисы лежат в services. Внутри файла описание: название, протокол и порт.

Это каталог системный, и менять там ничего нельзя. Если нужно переопределить настройки или создать свой сервис, то копируем любой файл в качестве шаблона в /etc/firewalld/services , правим под свои условия и применяем настройки.

Для настройки ICMP используется отдельный набор правил. Получаем список поддерживаемых типов ICMP:

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

источник

Как настроить фаервол в Linux

Если вы пользуетесь операционной системой Linux (к примеру Ubuntu) или собираетесь на неё перейти, то неплохим стимулом было бы воспользоваться встроенными по-умолчанию возможностями безопасности этой системы. Linux системы практически не чувствительны ко всем вирусам для Windows или Mac OS систем, кроме того проект GNU сам по себе гарантирует подлинность программного обеспечения. Однако даже самый продвинутый пользователь знает что полностью защищённых систем не существует, поэтому рассмотрим способ как улучшить безопасность вашей Linux системы с помощью небольших манипуляций в настройках фаервола.

Традиционным фаерволом для Linux систем выступает терминально-настраиваемый IPTables. Непосредственно полученный от Unix этот инструмент очень мощный в своём классе и одновременно достаточно сложный в настройке для начинающего пользователя. Но к сожалению все настройки (правила) IPTables введённые с консоли не сохраняются при следующем запуске системы, поэтому необходимо настроить (править) специальный скрипт, где они будут храниться и применяться при старте фаервола. Но на много проще начинающему пользователю будет разобраться и использовать UFW (Uncomplicated FireWall). UFW — это так же терминально-настраиваемый фаервол, но с более простым синтаксисом команд. В отличии от железного IPTables он запускается при старте с уже настроенными правилами и обеспечивает уровень защиты не хуже чем IPTables. Так же обойти использование командной строки для настройки фаервола возможно с помощью gUFW — это его графический интерфейс.

В Ubuntu все что необходимо, это воспользоваться командой в терминале (или найти gUFW в Центре приложений):

Запустите приложение gUFW и вы увидите следующее маленькое серое окошко.

Чтобы настроить правила gUFW должен быть запущен с правами супер-пользователя, что означает что в терминале необходимо воспользоваться командой:

Если вы запустили программу с меню приложений, то необходимо кликнуть по кнопке с значком замка в правом нижнем углу окна и ввести пароль чтобы дать приложению соответствующие права.

Теперь можно вносить изменения в настройки фаервола.

Первое что необходимо — это активировать фаервол кликнув по кнопке после слова «Статус» (Status). Далее необходимо выбрать действия для для входящего (incoming) и исходящего (outgoing) трафика. По-умолчанию входящий трафик запрещён, а исходящий — авторизируется, то есть проверяется. Это конечно же надёжные настройки, но в Linux вы можете достичь большего контроля над проходящим через ваш компьютер трафиком. Данная конфигурация будет резать весь неизвестный входящий трафик, но она никак не задерживает любой исходящий трафик. Поэтому если, к примеру, ваш компьютер уже заражён каким-то шпионским или вредоносным ПО, то оно сможет беспрепятственно пройти через фаервол в сеть. В этом случае UFW не остановит его при попытке выйти в Интернет и передать злоумышленнику какие-то ваши личные данные.

В таком случае можно применить радикальные меры: запретит весь входящий и исходящий трафик.

С этого момента вы увидите что отключили себя полностью от Интернета. Поскольку запретив все, вы также запретили весь веб-трафик который шёл из/в вашу систему. Но поскольку в таком фаерволе нет особого смысла, то мы воспользуемся правилами чтобы разрешить те приложения, которые нам нужны или к которым у нас есть доверие. Добавить новое правило очень просто. Достаточно просто нажать на значок «+» который находится в левом нижнем углу окна. Аналогично, значок «-» удаляет выбранное правило.

Читайте также:  Установка гидродинамической экстракции растительного сырья

Теперь кликните на значок «+». Вы увидите новое окно с тремя вкладками.

Первая вкладка «Предустановленные» (Preconfigured) служит для создания правил для определённых или специфических задач, таких как Skype или Transmission. Это самый простой и быстрый способ создания правила: выберите то приложение или службу, которой вы пользуетесь из списка, затем разрешите (Аllow) для неё входящий (incoming) или исходящий (outgoing) трафик и правило автоматически сформируется и добавиться в список.

К примеру, если вы захотите разрешить входящие соединения для Skype, то gUFW создаст правило для входящих соединений (ALLOW IN) из любого места в сети (Anywhere) для порта 443 с использованием протокола TCP.

Это самый простой способ создания правил, но он не полный и не предоставляет всех возможных настроек. Существуют такие ситуации которые нельзя разрешить без вкладки «Простые» (Simple).

Эта вкладка не очень сложна в использовании. Все что необходимо для того чтобы добавить правило — это выбрать между входящим (incoming) или исходящим (outgoing) соединением, используемый протокол (TCP, UDP или TCP&UDP), а также ввести нужный порт. Теперь рассмотрим список основных портов, которые нужно оставить открытыми чтобы продолжать пользоваться основными сервисами Интернета и сети.

Список основных портов

  • 80/tcp HTTP (для веб-браузеров)
  • 53/udp DNS (для обновления и получения доменных имен)
  • 443/tcp HTTPS (защищённый HTTP)
  • 21/tcp FTP (протокол передачи файлов)
  • 465/tcp SMTP (отправка emails)
  • 25/tcp Insecure SMTP (незащищённый SMTP)
  • 22/tcp SSH (защищённое соединение компьютер-компьютер)
  • 993/tcp&udp IMAP (получение emails)
  • 143/tcp&udp Insecure IMAP (незащищённый IMAP)
  • 9418/tcp GIT (version control system)
  • 993/tcp&udp IMAP (получение emails)
  • 143/tcp&udp Insecure IMAP (незащищённый IMAP)
  • 110/tcp POP3 (старый способ получения emails)
  • 22/tcp SSH (защищённое соединение компьютер-компьютер)
  • 9418/tcp GIT (version control system)

Этот список конечно же не полный, только начальный. Поэтому если у вас после включения фаервола некоторые приложения или службы не могут получить доступ в интернет или в сеть, то ищите информацию о том какой протокол и порт использует эта программа, чтобы добавить её в правила.

Некоторые службы, такие как IMAP, требуют и исходящего, и входящего соединения для нормальной работы. А в некоторых случаях шифрованные соединения требуют других портов.

На вкладке «Расширенные» (Advanced) к всем предыдущим настройкам добавляется возможность ввести IP-адреса и порты хостов откуда и куда может устанавливаться данное соединение.

Теперь вы сможете контролировать свой фаервол и быть уверенным в собственной безопасности. Под завершение, UFW необходимо добавить как службу стартующую при загрузке. Для этого воспользуйтесь следующей командой:

sudo update-rc.d ufw defaults

И в других дистрибутивах, таких как Archlinux, необходимо править файл /etc/rc.conf. Конечно же лучше всего добавить службу UFW в загрузку перед загрузкой других служб, которые устанавливают соединения (к примеру таких как wicd или network-manager).

Если вы пользуетесь каким-то другим фаерволом или возможно можете порекомендовать ещё какие-то полезные и нужные правила — пишите, всем будет интересно узнать.

Также рекомендую прочитать:

1 Комментарий

Оставить комментарий Отменить ответ

  • Как удалить все стандартные сторонние приложения из Windows 8 (Windows RT)(10,00 из 10)
  • Список новых функций в Windows 8.1(10,00 из 10)
  • Удобный плагин для навигации по файлам и папкам в Notepad++(10,00 из 10)
  • Как предоставить CD/DVD привод в общий доступ в Windows(10,00 из 10)
  • Как уменьшить уровень почти полной разрядки батареи до 1% в настройках Windows 7(10,00 из 10)
  • Сравнение программ для восстановления информации(10,00 из 10)
  • Как ограничить количество попыток ввода пароля при входе в Windows(10,00 из 10)
  • Как удалить системный файл в Windows 7 или Vista(10,00 из 10)
  • Как восстановить потерянные лицензионные ключи Windows и программ с нерабочего компьютера(10,00 из 10)
  • Как просматривать интернет страницы с помощью терминала Linux(10,00 из 10)

источник

Добавить комментарий