Сетевые экраны для linux

Настройка межсетевого экрана в Linux

Внимание! Это руководство нужно применять только войдя в систему локально. Если же Вы войдете в систему удалённо (по SSH, например), то скорее всего потеряете соединение с удалённой системой.

Содержание

Немного теории [ править ]

Принцип работы [ править ]

Все пакеты пропускаются через определенные для них последовательности цепочек. При прохождении пакетом цепочки, к нему последовательно применяются все правила этой цепочки в порядке их следования. Под применением правила понимается: во-первых, проверка пакета на соответствие критерию, и во-вторых, если пакет этому критерию соответствует, применение к нему указанного действия. Под действием может подразумеваться как элементарная операция (встроенное действие, например, ACCEPT, MARK), так и переход в одну из пользовательских цепочек. В свою очередь, действия могут быть как терминальными, то есть прекращающими обработку пакета в рамках данной базовой цепочки (например, ACCEPT, REJECT), так и нетерминальными, то есть не прерывающими процесса обработки пакета (MARK, TOS). Если пакет прошел через всю базовую цепочку и к нему так и не было применено ни одного терминального действия, к нему применяется действие по умолчанию для данной цепочки (обязательно терминальное).

Встроенные действия [ править ]

ACCEPT, DROP и REJECT — базовые операции фильтрации

Таблицы [ править ]

Таблица mangle [ править ]

Данная таблица предназначена для операций по классификации и маркировке пакетов и соединений, а также модификации заголовков пакетов (поля TTL и TOS).

Таблица nat [ править ]

Предназначена для операций stateful-преобразования сетевых адресов и портов обрабатываемых пакетов.

Таблица filter [ править ]

Предназначена для фильтрации трафика, то есть разрешения и запрещения пакетов и соединений.

Цепочки [ править ]

Таблица filter содержит следующие цепочки:

• INPUT — эта цепочка обрабатывает трафик, поступающий непосредственно самому хосту.
• FORWARD — позволяет фильтровать транзитный трафик.
• OUTPUT — эта цепочка позволяет фильтровать трафик, исходящий от самого хоста.

Правила стоит располагать по возможности в порядке от наиболее частых попаданий к наиболее редким.

Персональный межсетевой экран рабочей станции [ править ]

Проверим состояние [ править ]

Вариант 1 (рекомендуется в целях безопасности) [ править ]

При отсутствии правил вывод будет примерно таким:

Если вывод отличается, то сброс настроек можно сделать командой

где empty.rules — текстовый файл, содержащий 5 строк, как в выводе выше.

Вариант 2 [ править ]

При отсутствии правил вывод будет примерно таким:

Установим политики по умолчанию [ править ]

Для цепочки «проходящая» устанавливаем блокировку, для цепочки «выходная» устанавливаем разрешение, для цепочки «входная» устанавливаем блокировку. Далее будут правила, определяющие исключения для этих политик.

Внимание! На этом этапе произойдёт отключение, если связь производилась по SSH.

Исключения (для входящих соединений) [ править ]

1. Разрешим трафик, принадлежащий установленным соединениям

2. Разрешим локальный интерфейс

3. Запретим «неправильный» трафик (не открывающий новое соединение и не принадлежащий никакому установленному соединению).

4. Разрешим новые ICMP запросы (ping). Остальные запросы ping будут обработаны первым правилом.

5. Разрешим новые входные соединения по портам

Если установлен веб-сервер

Если необходима связь по SSH

Если установлен DNS-сервер

есть возможность объединить несколько правил (для увеличения производительности):

6. Все новые входящие соединения, не обработанные предыдущими цепочками, запретим.

Сохраним правила [ править ]

Arch Linux [ править ]

RedHat Linux [ править ]

добавим демон для применения правил при загрузке компьютера

Источник

Топ 5 лучших Linux Брандмауэры: Защита сети независимо от того,

Вот лучшие 5 лучших Linux Firewalls, знаете, какой вы должны предпочесть и что лучшие варианты у вас есть.

Linux, вполне возможно, только с открытым исходным кодом проекта, который сумел изменить мир в невероятном масштабе. В то время как его доля на потребительском рынке незначительна, это больше, чем она выглядит.

Linux везде — это на ваших телефонах, как Android, это на миллионах серверов, которые управляют сам Интернет — это даже на домашнем маршрутизаторе. Хотя это может быть не вездесущи на потребительском рынке — это везде, что приводит нас к точке этого поста: безопасность.

Когда продукт используется миллионами, он легко становится мишенью людей, которые хотят причинить вред. Сетевая безопасность является важным фактором — большинство атак случаются удаленно через Интернет, поэтому сильный брандмауэр необходим для критически важных приложений.

Здесь мы собираемся взглянуть на 5 из лучших брандмауэров Linux, так что вы знаете, что ваши варианты и не могут защитить вашу сеть, независимо от того, что приходит на ваш сайт.

Iptables

Большинство дистрибутивов Linux поставляются с предварительно установленной с Iptables, и, хотя это не самый навороченный брандмауэр там — это безопасный один.

Интерфейс для Iptables не существует, так как это утилита командной строки. Чтобы настроить его, вам придется выучить команды, так что это не самая простая вещь для использования. Тем не менее, вы можете найти различные GUI решения, которые работают с IPTables, чтобы использовать его проще, например, как в Ubuntu «Несложный Firewall».

Iptables работает простым способом — он анализирует пакеты и проверяет, соответствуют ли они какие-либо правила. Если он не находит, он просто следует поведение по умолчанию.

Iptables брандмауэр, который просто Если вы ищете многофункциональный межсетевой экран со всеми прибамбасами «достаточно хорошо.» — Это не так. Тем не менее, если вы хотите что-то простое, что вы можете настроить и забыть о, Iptables будет делать только штрафом.

Monowall

Monowall оптимизирован и предназначен для работы на самых низких технических характеристиках компьютера — все это нуждается в 16 Мбайт памяти. Вы должны заплатить за этот спектакль, хотя — это баребоны брандмауэр, который означает, что он не приходит с большим количеством функций либо.

Monowall также обеспечивает маршрутизацию QoS по умолчанию, что позволяет формировать весь трафик, проходящий через него. Это позволяет установить приоритеты определенных соединений по сравнению с другими, а не только иметь безопасный брандмауэр, но и быстро один.

Активное развитие Monowall было прекращено по состоянию на февраль 2015 года, но он по-прежнему доступен для загрузки.

pfSense

pfSense основан на Monowall — в основном, разработчики взяли исходный проект с открытым Monowall и построил на нем. В отличие от Monowall, pfSense все еще находится в активном развитии, а также.

С точки зрения характеристик, pfSense имеет все Monowall делает, а потом еще немного. Такие вещи, как аппаратного сбоя, мульти-WAN и другие расширенные функции делают pfSense чрезвычайно полезным для сетевых администраторов, которые требуют от своего брандмауэра.

Вполне возможно, самый навороченный брандмауэр там, но это также делает его сложно использовать. Хотя интерфейс делает все возможное, чтобы сделать его легче понять, что действительно имеет кривую обучения.

Zentyal сервера

Zentyal не брандмауэр специально — он был изначально разработан как почтовый сервер, но в конечном итоге делает больше, чем просто это. Zentyal может быть использован как полноценный бизнес-сервер, который означает, что он также пакеты чрезвычайно универсальный межсетевой экран самостоятельно.

Zentyal основан на Ubuntu Server LTS, так что вы, по сути, установка ОС при установке Zentyal. Это также означает, что вы можете делать практически все, что мог на Ubuntu. Zentyal может быть по существу полноценный сервер со всем необходимым для запуска.

Если вы можете справиться подавляющее количество вариантов и возможностей Zentyal предоставляет вам, и нужно что-то, что может сделать гораздо больше, чем просто межсетевой экран — это он. Zentyal также пакеты DNS-сервер, сервер DHCP, электронной почты, сервер, контроллер домена, и многое другое.

ClearOS

ClearOS построен на вершине CentOS, и так же, как Zentyal он может также служить гораздо больше, чем брандмауэр.

Что делает ClearOS особенным является его интерфейс — это ясно, много внимания было уделено, чтобы сделать его как можно более простым. Его простота не означает, что ему не хватает сложности, хотя — это сложно, и не требует, чтобы вы знали, что вы делаете.

Для начинающих пользователей, ClearOS может быть очень прост в настройке. Для продвинутых пользователей, ClearOS может предоставить любую функцию, они могут попросить. Все просто с ClearOS — даже установки.

Топ 5 лучших Linux Firewalls — Заключение

Это были одни из лучших вариантов у вас есть для брандмауэров Linux, какой из них вы используете, зависит от того, что вы ищете.

Тот факт, что Linux позволяет решить, как вы хотите обезопасить свою сеть следует также отметить, — это сила с открытым исходным кодом: выбор.

С таким большим количеством опций для межсетевых экранов, это невозможно перечислить, чтобы определить, какой из них лучше, но гиды, такие как они должны помочь вам выбрать лучший вариант из лучших Linux брандмауэров для вас.

Источник

Soft Gufw – графический интерфейс для настройки файервола (сетевого экрана) в Linux

Брандмауэр Gufw — графическая оболочка GUI , работающая на UFW (Uncomplicated Firewall).

Установка Gufw в Debian и производные (Kali, Mint, Ubuntu и др)
Gufw можно установить в Synaptic или из терминала:

Самые интересные следующие две строчки:

Т.е. на целевой машине имеется 998 закрытых порта. Закрытые — значит нет приложений, которые бы их прослушивали, использовали. Два порта открытые. И впечатляет время сканирование — полсекунды.

Ну и ещё парочка портов открыта:

Использование Gufw
По умолчанию брандмауэр отключен. Чтобы запустить Gufw, введите в терминале:

Для начала разблокируем окно. Чтобы включить брандмауэр, просто нажмите кнопку Состояние и правила по умолчанию будут установлены. Deny (Запретить) для входящего трафика и Allow (Разрешить) для исходящего трафика.

Давайте ещё раз просканируем нашу систему:

Во-первых, сканирование длилось значительно дольше. А во-вторых, у нас опять две интересные строчки:

Было опять просканировано 1000 портов и все они теперь фильтруются. Само сканирование заняло почти 22 секунды.

Вывод: файервол уже работает!

Добавление правил в файервол
Чтобы настроить брандмауэр, добавим правила. Просто щелкните кнопку Add (+), и появится новое окно. Для получения подробной информации посетите домашнюю страницу UFW. Правила могут формироваться для TCP и UDP портов. UFW имеет несколько предустановленных правил для конкретных программ/услуг, они убыстряют типичную настройку сетевого экрана.

Доступные варианты для правил Allow (Разрешить), Deny (Запретить), Reject (Отклонить), и Limit (Ограничение):

1. Разрешить: система позволит вход трафика для порта.
2. Запретить: система запретит вход трафика для порта.
3. Отклонить: система запретит вход трафика для порта и будет информировать систему связи, что он было отклонено.
4. Ограничение: система запретит соединения, если IP-адрес пытался инициировать 6 или более соединений за последние 30 секунд.

Предустановленные

Использование предустановленных правил дает несколько вариантов для управления параметрами брандмауэра для распространённых программ и услуг.

Предустановленные правила не охватывают все возможные программы и услуги, дополнительные правила можно добавить во вкладке Простые.

Возьмём в качестве примера службу SSH – давайте просто представим на минуту, что отсутствует предустановленное правило для неё. Откроем для неё порт: вкладка Простые, выберем “Allow”, “In” “TCP”, “22” и нажмём кнопку Добавить.

Да, всё работает:

Чтобы настроить доступ на основе определенного IP, используем вкладку Расширенные.

Есть несколько настроек, доступных для установки в Gufw. Можно настроить в Изменить->Preferences

Здесь вы можете управлять ведением журнала для UFW и Gufw, создавать профили и установить общие предпочтения интерфейса. По умолчанию включено ведение журнала для UFW и отключено для Gufw.

ANDREY
31.07.2015 в 13:57
Довольно познавательно, но зачем файервол в Linux?

WEBWARE TEAM
31.07.2015 в 14:30
Почему-то ваш комментарий попал в спам…

Правильная настройка файервола:

• Позволяет сводить на нет некоторые виды флуда (установкой надлежащих правил файервола) и другие виды DoS-атак (с помощью дополнительных программ и скриптов, которые сами добавляют правила в файервол) (актуально для защиты серверов)
• Уведомляет о подозрительной деятельности, попытках зондирования
• Можно контролировать доступ к различным службам: например, закрыть доступ к веб-серверу, SSH и прочему без остановки самих служб. Т.е. сервером на локалхосте можно пользоваться, а другие к нему подключиться не могут.
• Фильтрация доступа к заведомо незащищенным службам.

Файервол лучше иметь, чем не иметь. Конечно, файервол при неправильной настройке никак не поможет (это справедливо и для Linux и для Windows).

ИВАН
19.02.2016 в 14:00
А как настроить белый список: запретить все входящие и исходящие подключения и разрешить выход в интернет только для Firefox, Центра приложений Ubuntu и как разрешить доступ для Samba в диапазоне IP-адресов с 192.168.0.1 по 192.168.0.254?

ИВАН
23.02.2016 в 19:27
И как разрешить входящие и исходящие подключения для qbittorrent только для определенного порта?
Неужели для Linux не существует хороших графических программ для настройки файервола?

XYZ
01.11.2016 в 12:26
Приветствую.
Настроил GUFW – все замечательно. Только при рестарте системы ufw – inactive. При запуске GUFW галочка выключена. Посоветуйте что делать? Спасибо!

Источник