Посоветуйте интерактивный фаерволл с графическим интерфейсом для линукс
Всех приветствую! Посоветуйте интерактивный фаерволл с графическим интерфейсом для линукс, типа фаерволлов в Windows, такой чтобы для каждой попытки соединения любого запущенного процесса выдавал сообщение о попытке соединения показывал процесс пытающийся установить соединение и адрес желаемого им соединения, с возможностью для меня принять решение — дать процессу разрешение выйти в инет или нет, я понимаю что фаерволл в линуксах один — netfilter и утилита для него iptables, все остальное — надстройки, таковых надстроек я пересмотрел много но ничего нужного мне не нашел, есть GUFW например но он всего лишь открывает и закрывает порты для всех процессов, другие многие пересмотрел там примерно также, разве что в некоторых можно еще и конкретным службам открывать/закрывать порты и доступ, но ведь изначально после установки фаерволл любого линукса настроен в режиме полной блокировки всех входящих неиницированных собственными процессами системы соединений, и полного разрешения всех исходящих соединений собственных процессов, т.е. любой процесс, программа и т.д. получается могут свободно лазить в инет без разрешения и я даже знать об этом не буду а это не есть гуд.
Iptables. GUI нет и он не нужен.
Iptables там наука целая прописывать правила для него, ну и как вот новичку установить запрет на неразрешенные соединения в iptables так чтобы он выводил запрос для каждого из них?
ЕМНИП, нормального application firewall для линукса так и не изобрели. Но если очень надо можно повозиться с системами мандатного управления доступом (apparmor и подобными), говорят, через них можно.
Источник
GUI или Web UI для iptables/nftables (как в WebFig RouterOS)
Я ищу GUI или веб-интерфейс для iptables (лучше — nftables). Требований два:
- выбирать фильтры и действия, не помня их синтаксис (графически);
- добавлять/удалять/править/двигать правила на лету без edit-apply-reload цикла.
Какие-либо абстракции не нужны. В целом хочу что-то максимально похожее на WebFig из RouterOS.
fwbuilder совсем не рассматриваешь?
Пробовал этого зверя, но отказался из-за необходимости держать аппликаху для просмотра и редактирования правил. Не мог напрямую с файлами iptables (/etc/iptables/ipv4-rules) работать 🙁
[стеб] А как же firewalld ? [/стеб]
Насколько я понимаю, fwbuilder работает сугубо офф-лайн, работает с собственным форматом данных и в результате просто генерирует скрипт настройки iptables, который нужно закинуть на сервер.
Это неудобно и не выполняется моё второе требование.
Если бы мне ничего больше не было нужно, я бы действительно накатил на машину CHR-образ RouterOS и всё. Но файрволл — это не единственное, что на ней должно быть.
Возможно. Он настолько монструозный, что я его даже ставить боюсь. Он умеет на лету конфигурацию менять?
Источник
Netfilter → iptables → UFW + GUI
Межсетевой экран / Сетевой экран (Firewall) — комплекс аппаратных или программных средств для осуществления контроля и фильтрации проходящих, через него, сетевых пакетов в соответствии с заданными правилами.
Расположение файрволла в сети:
Сетевые экраны часто называют фильтром, Файрволлом (от английского Firewall) , или Брандмауером (Brandmauer от немецкого Brand/Пожар и Mauer/Стена) .
Netfilter — межсетевой экран (сетевой экран) , встроенный в ядро Linux версий 2.4 и 2.6, предназначенный для защиты компьютерных сетей (система связи компьютеров и/или компьютерного оборудования) или отдельных узлов от несанкционированного доступа.
Защита осуществляется фильтрацией (блокировкой) пакетов не подходящих под определённые в конфигурации параметры. В системе используется «метод цепочки«, где » цепочкой » является список правил, а каждое правил может содержать критерии и действие или переход.
iptables — консольная утилита (приложение выполняющее узкий круг специфических задач) являющаяся стандартным интерфейсом для управления работой межсетевого экрана Netfilter.
Утилита позволяет создавать и изменять правила управляющие фильтрацией и перенаправлением пакетов (часто под словом iptables имеется в виду сам сетевой экран Netfilter) .
Uncomplicated Firewall / UFW (незамысловатый межсетевой экран. англ) — пользовательская консольная утилита для конфигурации и управления межсетевым экраном с помощью небольшого числа простых команд. Несмотря на простоту использования утилиты, для неё было создано несколько графических интерфейсов.
GUI for Uncomplicated Firewall / Gufw — интуитивно понятный и простой Python / GTK+ графический интерфейс для консольной утилиты UFW.
Gufw предназначается для лёгкого и интуитивно понятного управления сетевым экраном (управления настройками UFW) .
Gufw это персональный сетевой экран поддерживающий общие задачи, такие как разрешение или блокирование предварительно настроенных общих или отдельных портов, фильтрация по интерфейсу, удаление по номеру правила и пр.
Первоначально утилита была разработана для Ubuntu, автор Gufw Developers, но в дальнейшем была портирована для использования на других платформах.
UFW-Frontends — простая Python утилита, имеющая как GTK так и Qt графический интерфейс (GUI) , предназначенная для упрощения конфигурации и управления консольной утилитой UFW (из названия следует что это front-ends для UFW) .
Frontends / front-ends (фронт-энд) — в компьютерной терминологии это означает, часть программной системы непосредственно взаимодействующей с пользователем. Например по этой концепции взаимодействия, все графические файловые менеджеры являются » front-ends » к файловой системе компьютера.
UFW-Frontends работает (взаимодействует) с iptables непосредственно как UFW , минуя кодовое дублирование (CLI / интерфейс командной строки), не имеет лишнего кода (в отличии от Gufw) и лишних команд (ufw-frontends —► iptables в отличии от Gufw —► CLI —► iptables) .
UFW-Frontends даёт возможность добавлять новые, корректировать, цепочку и удалять существующие правила (изменять цепочку правил) , включить и отключить поддержку IPv6 (новая версия IP-протокола) . Утилита таким образом не является » оболочкой для оболочки «, а для каждой операции непосредственно использует команды UFW и другие, (для обеспечения прямого доступа к возможностям iptables) . Для расширения функциональных возможностей утилита может быть расширена модулями (в том числе и сторонними) . Имеется возможность просмотра отчётов, а так же импорта и экспорта правил (правила являются простыми скриптами/сценариями, содержащими серию команд для ufw) .
Источник
Настройка gufw в Ubuntu
Фаервол — это один из самых важных инструментов для управления безопасностью вашей системы Linux. Если ваш компьютер подключен к сети, вы не можете считать его безопасным, несмотря на то, что Linux — это более безопасная система, не стоит игнорировать правила безопасности.
Операционная система Linux известна своим мощнейшим фаерволом — iptables. Но несмотря на свою мощность, этот фаервол очень сложный, им нужно управлять с помощью длинных и сложных консольных команд. Просматривать информацию о соединениях здесь тоже нужно в консоли. Поэтому он недоступен для большинства новых пользователей.
В Ubuntu, ситуация еще хуже, потому что здесь фаервол отключен по умолчанию и нет простого способа запустить его. Для управления фаерволом необходимо будет настроить несколько скриптов, а это непростая задача для начинающего пользователя. Вы можете вручную искать и создавать правила iptables, или же найти инструмент, с помощью которого будет облегчена настройка firewall ubuntu.
Чтобы обеспечить более легкую настройку firewall в linux был создан Uncomplicated Firewall или простой firewall, ufw. Затем была создана графическая утилита — gufw, чтобы настройка ufw была еще легче.
В этой инструкции мы рассмотрим как выполняется настройка фаервола ubuntu. Мы рассмотрим запуск и остановку службы, создание правил и просмотр сетевых журналов и все это без использования терминала. Gufw сделает iptables более простым, как и любой фаервол в операционной системе Windows. Все что вам понадобится — это базовое понимание принципов работы сетей.
Установка Gufw в Ubuntu
По умолчанию в Ubuntu не поставляется со встроенным фаерволом Gufw, но вы можете его очень просто установить из официальных репозиториев. Установка gufw ubuntu выполняется командой:
sudo apt install gufw
Когда установка gufw ubuntu будет завершена, вы можете найти и запустить программу из главного меню Dash или с помощью настроек системы.
Для запуска программы необходимо ввести пароль:
Чтобы настройка firewall ubuntu применялась и после перезагрузки необходимо добавить его в автозагрузку, для этого выполните:
sudo ufw enable
Настройка фаервола Ubuntu
Главное окно программы выглядит вот так, здесь, кроме главных инструментов есть небольшая справка пр работе с программой:
Здесь есть все необходимые функции, чтобы настройка gufw ubuntu была удобной, но в то же время очень простой. Для начала нужно включить работу фаервола переключив переключатель статус в положение включен. Окно программы сразу изменится и станут доступными все функции:
Здесь вы можете менять общие режимы работы для дома, общественного места и офиса. С различными параметрами для трафика и правилами. Режим для дома блокирует входящий трафик и разрешает исходящий. Профили отличаются только параметрами входящего и исходящего трафика.
Открыв меню Правка, Параметры, вы можете настроить общую работу Gufw linux, здесь вы также можете создавать свои профили. Для каждого профиля вы можете добавлять свои правила.
Настройка правил gufw
Запрет и разрешение трафика для входящих и исходящих подключений ничего бы не значило, если бы не было возможности настройки правил для определенных приложений и сервисов. Настройка правил программы выполняется в главном окне.
В самом низу есть три кнопки, добавить правило +, удалить правило — и кнопка в виде бутерброда для редактирования правила.
Давайте сначала запретим весь входящий и исходящий трафик:
Затем попытайтесь выполнить в терминале ping запрос к какому либо сайту. Ничего не получится. Это так называемая строгая блокировка, когда мы разрешаем только нужные процессы, все остальное запрещено:
Gufw ubuntu блокирует весь трафик, теперь разрешим dns с помощью правила. Для этого нажмите +. В открывшимся окне вы можете выбрать политику разрешить или запретить, в нашем случае нужно разрешать.
Во второй строчке можно указать направление трафика — входящий или исходящий, а также можно выбрать оба направления.
Дальше мы должны выбрать приложение или службу, для которой нужно мы будем разрешать трафик. Вы можете выбрать категорию и под категорию чтобы облегчить поиск или же воспользоваться фильтром приложений, нас сейчас интересует DNS.
Осталось нажать кнопку Добавить, чтобы правило было добавлено:
После завершения добавления правила окно не закроется и настройка gufw ubuntu может быть продолжена. Вы можете добавлять другие правила. Но перед тем, давайте проверим действительно ли работает DNS:
DNS работает IP адрес был получен, но ICMP все еще не разрешен. Подобно тому как мы это сделали, можно настроить правило для любого из доступных приложений.
Но правила созданные таким способом не могут контролировать все программы и порты. Поэтому существуют расширенные способы создания правил.
В окне создать правило, кроме вкладки Предустановленные, вы можете выбрать Обычные или Расширенные. На вкладке Обычные нет выбора приложения, здесь вы можете выбрать только порт и протокол:
А на вкладке расширенные есть также настройка входящего и исходящего IP адреса:
Теперь давайте разрешим работу браузеров Chromium, Firefox и т д. Для этого нам понадобится разрешить работу исходящий трафик на порт 80 и из порта 80, а также 443, или же мы можем воспользоваться предустановленным набором правил для сервисов HTTP и HTTPS:
После добавления этих правил браузеры будут работать. Таким образом, может быть выполнена настройка gufw ubuntu, для всех необходимых вам приложений. Кроме разрешающих правил, вы можете создавать запрещающие, просто установив главное поведение программы все разрешить, а потом создавайте правила для запрета тех или иных служб.
Но здесь есть еще одно но, чтобы знать как и что разрешать и запрещать возможно вам понадобятся журналы программы.
Посмотрев какие программы пытаются проникнуть в сеть вы сможете понять что нужно разрешить и нет.
Посмотреть какие программы работают с сетью вы можете на вкладке отчет в главном окне:
А на вкладке журнал вы найдете информацию по работе программы, переключению режимов и удалению правил.
С этой информацией настройка фаервола Ubuntu будет более эффективной и вы сможете решить возникшие проблемы.
Выводы
Вот и все. Настройка фаервола gufw в Ubuntu завершена, теперь вы сможете правильно выполнить настройку программы и сделать свою систему более безопасной. Если остались вопросы — пишите в комментариях.
Источник
