Firewall (Gufw) - nastavenie/teória

Sekcia: Konfigurácia 18.06 | 00:23
Avatar pepsi   Používateľ

Zdravím

Chcel by som vás poprosiť o pomoc s otázkami ohľadne firewalu (Gufw) v Linuxe Mint:

1. Keď je vo firewalle (v Guwf) nastavené zakazujúce pravidlo pre príchodziu komunikáciu napr. "DENY IN from Anywhere to 23/tcp", tak sa myslí počítač s hocijakou IP, a od portu 0 do portu 23, t.j., že hocijaká IP a porty od 0 do 23 sa budú blokovať, alebo iba port 23?

2. Ďalej nechápem tomuto pravidlu firewallu (Gufw) na obrázku: link

K čomu sa druhý krát zakazuje port 22, ak celková príchodzia komunikácia je už raz zakázaná?

3. A na záver posledná otázka, k čomu je nutné udeliť programu Transmission (P2P BitTorrent klient) výnimku pri zapnutom firewalle, ak mne osobne program sťahuje súbory aj bez toho?

Pre ilustráciu: link

Vďaka

    • RE: Firewall (Gufw) - nastavenie/teória 18.06 | 11:28
      Avatar bedňa antiX, Devuan, LegacyIce  Administrátor

      1. Zakázaná prichádzajúca komunikácia na porte 23 z akejkoľvek adresy.

      2. Zakázaná prichádzajúca komunikácia na porte 22 z akejkoľvek adresy.

      3. Transmission ten port na niečo používa, tak je na tebe či mu ho povolíš, alebo nie.

      Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
      • RE: Firewall (Gufw) - nastavenie/teória 18.06 | 17:49
        Avatar pepsi   Používateľ

        Vďaka za odpoveď.

        Ide mi o tú logiku, že prečo sa udáva "from-to", keď sa v skutočnosti myslí iba "to".

        Alebo, že prečo sa dodatočne zakazuje nejaký port príchodzej komunikácie, keď je tá celá už kompletne zakázaná (či je to len pre ten prípad, keď ju úplne povolím, aby mi zostali v platnosti aspoň tie zadefinované obmedzenia).

        • RE: Firewall (Gufw) - nastavenie/teória 18.06 | 17:55
          Avatar bedňa antiX, Devuan, LegacyIce  Administrátor

          "From" je odkiaľ (z akej IP), "to" je do čoho, je to úplne logické.

          Keby bola celá komunikácia zakázaná, tak sa nedostaneš ani internet.

          Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
    • RE: Firewall (Gufw) - nastavenie/teória 18.06 | 22:54
      Avatar pepsi   Používateľ

      Ahá!

      Ja som si myslel, že "from-to" znamená rozsah. :)

      Vďaka za pomoc pri tejto otázke.

      Ale ešte mi nie je jasná posledná vec, a síce, že čo presne znamená nastavenie "Incoming: Deny"?

      Čo je vlastne zakázané, všetok pokus o príchodziu komunikáciu z hocijakej IP a dresy (počítača) a všetky porty?

      Vďaka

      • RE: Firewall (Gufw) - nastavenie/teória 19.06 | 11:53
        Avatar bedňa antiX, Devuan, LegacyIce  Administrátor

        Ja osobne ten program nepoužívam, ale podľa screenu tam máš:

        • To -> 22 (port o ktorý ide)
        • Incoming: Deny (zakázaná prichádzajú komunikácia na vyššie spomínaný port)
        • Outgoing: Allow (povolená odchádzajúca komunikácia z vyššie spomínaného portu)
        • From -> Anywhere (platí pre všetky vonkajšie IP)
        Tlačítkom Add si pridávaš pravidlá pre firewall.

        Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
      • RE: Firewall (Gufw) - nastavenie/teória 19.06 | 11:57
        Avatar bedňa antiX, Devuan, LegacyIce  Administrátor

        Mrkni na toto.

        Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
    • RE: Firewall (Gufw) - nastavenie/teória 19.06 | 07:30
      Avatar lime Debian, Red Hat, Fedora Core 3  Používateľ

      /sbin/iptables -nL INPUT

      Prejdite z modrej obrazovky k linuxu :))
    • RE: Firewall (Gufw) - nastavenie/teória 19.06 | 15:34
      Avatar pepsi   Používateľ

      Uviedol som zlý obrázok, myslel som tento.

      Podľa toho obrázku nie je zakázaný žiaden konkrétny port ale celková príchodzia komunikácia (všetky IP adresy + všetky porty) do počítača. Mám pravdu, alebo to chápem zle? Čo bude takto nastavený firewall (jedná sa o defaultné nastavenie gufw) blokovať?

      Vďaka

      • RE: Firewall (Gufw) - nastavenie/teória 19.06 | 17:11
        Avatar bedňa antiX, Devuan, LegacyIce  Administrátor

        Ako som písal program nepoznám, ale podľa screenshotu to vyzerá, že pokiaľ nezadáš nejaké pravidlo, tak je firewall plne priechodzí. Teda súdim to podľa toho políčka nižšie, kde vidíš ktoré služby na ktorom porte počúvajú.

        Takže teraz neblokuješ nič.

        Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
        • RE: Firewall (Gufw) - nastavenie/teória 19.06 | 20:10
          Avatar samalama.   Návštevník

          predpokladam, ze zrak mas oslabeny z toho chlastu. nevadi, ale mozno ked sa na to este raz lepsie pozries, tak uvidis, ze incoming trafik ma zakazany. cize klasicky postup: explicitne vsetko zakazane (zvacsa incoming a forward) a konkretne veci povolene implicitne...

          • RE: Firewall (Gufw) - nastavenie/teória 19.06 | 20:29
            Avatar bedňa antiX, Devuan, LegacyIce  Administrátor

            Kámo počítam, že si vyberieš voľbu a potom klikneš na to plusko pod pravidlami a až potom si nastavíš aký port aká adresa, ale možno sa mýlim, to klikátko nepoznám.

            Inak nechápem ako môžu počúvať služby na zablokovaných portoch a ako sem vôbec niečo napísal, keď je odrezaný.

            Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
            • RE: Firewall (Gufw) - nastavenie/teória 19.06 | 22:20
              Avatar samalama.   Návštevník

              mno podla toho "profile" a "status" to skor vyzera, ze hore sa definuju nejake vseobecne nastavenia vratane default politiky (chyba tam forward, ale pre bfu userov to nie je potrebne) a az potom v tom + si definujes uz konkretne pravidla.

              Inak nechápem ako môžu počúvať služby na zablokovaných portoch
              mno tak toto budem tiez povazovat ako dosledok chlastu, alebo potom vobec nechapes fungovaniu sietovych sluzieb (a siete vseobecne) v linuxe...

              • RE: Firewall (Gufw) - nastavenie/teória 20.06 | 04:56
                Avatar pepsi   Používateľ

                Áno, myslím si, že je to presne tak, ako píšeš samalama.

                Lebo keď v tom firewale gufw zakážem celkovú odchádzajúcu komunikáciu z môjho počítača, tak mi prestane kompletne fungovať internetové pripojenie (web) a začne až potom, keď v gufw zadefinujem napr. nasledovné pravidlo znázornené na tomto obrázku.

                (Namiesto toho rozsahu portov od 1 do 65 535 sa dá v políčku nechať aj prázdne miesto a môj počítač s IP adresou 192.168.1.18 bude môcť komunikovať s internetom na všetkých portoch).

                Musel som sa s tým programom pobaviť zopár hodín, aby som pochopil jeho logiku. :/

              • RE: Firewall (Gufw) - nastavenie/teória 20.06 | 11:06
                Avatar bedňa antiX, Devuan, LegacyIce  Administrátor

                Aha jasne na prvý krát som to zle pochopil, tak sa nehnevaj.

                Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
                • RE: Firewall (Gufw) - nastavenie/teória 20.06 | 15:59
                  Avatar samalama.   Návštevník

                  ved ja sa nehnevam...

    • RE: Firewall (Gufw) - nastavenie/teória 19.06 | 15:42
      Avatar hablador1   Návštevník

      niektore distra ako Arch distribucie myslim vsetky maju firewall standartne vypnuty.Tam staci vypnut firewall a zadat cez bash toto: sudo systemctl enable ufw.service sudo ufw status sudo ufw enable sudo ufw default reject incoming sudo ufw default allow outgoing sudo reboot a firewall bude zapnuty vzdy po starte automaticky.Je to standartne nastavenie.Co sa tyka portu 22 este donedavna bol otvoreny a ty skusenejsi vedia ze tade prejde hacker do pc dnes uz je to vyriesene ale ak chcete sken siete skuste www.grc.com a dajte freeware oknicko service ,shield up ,potom proceed a all service ports je to sken portov.

    • RE: Firewall (Gufw) - nastavenie/teória 20.06 | 09:21
      Avatar anonym0   Návštevník

      Gufw je fajn klikatko. Sam ho niekedy pouzivam, ked sa mi nechce piplat priamo s iptables (resp. jeho backend ufw).

      K prvemu bodu - ako uz bolo povedane, mysli sa iba port 23, nic viac.

      K druhemu bodu - pozeras sa na to spravne. Ak mas zakazany vsetok vstup, je (teoreticky) zbytocne este raz zakazovat nieco konkretne. Ak pravidlo s portom 22 zmazes, nic sa nestane.

      Co sa tyka bodu 3 - je to o tom, ze transmission je bittorrent klient, ktory zdiela data (nielen stahuje). Ide teda o to, ze sa k Tebe niekto pripaja a stahuje od Teba data (vo vychodzom nastaveni na porte 51413, ale da sa zvolit aj iny, ak sa nemylim). Preto musis vo firewalle povolit vynimku, nakolko mas prichodziu komunikaciu zakazanu ako celok (to znamena, ze by sa k Tebe nikto nepripojil). Ak vsak pouzivas transmission iba na stahovanie (a nechces zdielat), vynimky udelit nemusis. Toto sa vsak svojho casu povazovalo za neslusne, nakolko to v podstate porusuje principy P2P zdielania.

      Trosku sa rozpisem o principoch firewallu (budem sa snazit vyjadrovat laik-friendly). Princip firewallu je o tom, ze filtruje (zahadzuje alebo povoluje) jednotlive packety sietovej komunikacie. To, ktory packet povolis a ktory nie si definujes podla nasledovneho:

      • smer komunikacie: z PC von alebo z von do PC;
      • protokol: UDP, TCP alebo ICMP;
      • cislo portu odosielatela a prijimatela;
      • ip adresa odosielatela a prijimatela.

      Ako zaklad si nastavis globalne pravidla pre smery komunikacie (vacsinou smer z PC von povolit a z vonku do PC zakazat). Potom si na ten zakazany smer aplikujes nejake pravidlo (vynimku), ak je potrebne. Trebars sa chces pripajat na dany PC cez SSH. Nakolko mas zakazany pristup z vonku, nie je to mozne, kym nenastavis patricne pravidlo. V pripade SSH napriklad povolis uplne vstup na port 22 cez protokol TCP (zo vsetkych IP adries). Ak sa chces pripajat iba z konkretneho stroja, mozes doplnit aj zdrojovu ip adresu (z inych sa pripajat stale nebude dat).

      Este na okraj par poznamok k Gufw. Gufw je super, lebo prinasa do konceptu firewallu uzivatelsku privetivost. Ide o to, ze sietova komunikacia je (takmer) vzdy obojsmerna. Napriklad sa pripajas na nejaky web - Ty sice iniciujes spojenie na server (odchadzajuce spojenie), ale zaroven server odosiela Tebe data (prichadzajuce spojenie). Dalej vselijaka komunikacia na localhoste. ICMP protokol (ping). To vsetko komplikuje nastavenia firewallu. Gufw toto riesi - ziadne vynimky s ICMP, pravidla sa nevztahuje na localhost, pravidlo pre nadvazujuce spojenia, auto IPv6 pravidla atd... Nehovoriac o tom, ze prinasaju viacere moznosti nastavenia vynimiek: od uplne jednoduchych povoleni danych aplikacii, cez jednoduche otvorenie daneho portu az po komplexnejsiu konfiguraciu aj zo zdrojovymi adresami a podobne. Skratka pre rychle nastavenie alebo laika je to super.

      • RE: Firewall (Gufw) - nastavenie/teória 20.06 | 10:43
        Avatar samalama.   Návštevník
        • smer komunikacie: z PC von alebo z von do PC;
        • protokol: UDP, TCP alebo ICMP;
        • cislo portu odosielatela a prijimatela;
        • ip adresa odosielatela a prijimatela.


        a interface nic...?

        btw, zdrojovy port je irelevantny, pretoze vo vacsine pripadov je nahodne vybrany...

        • RE: Firewall (Gufw) - nastavenie/teória 20.06 | 13:13
          Avatar anonym0   Návštevník

          Pravda, vdaka za spravne pripomienky.

      • RE: Firewall (Gufw) - nastavenie/teória 20.06 | 16:49
        Avatar pepsi   Používateľ

        Vďaka

        Ešte by ma zaujímalo, či sa dá v gufw nastaviť aj rozsah IP adries. Nejako sa mi to nedarí.

        • RE: Firewall (Gufw) - nastavenie/teória Včera | 07:35
          Avatar anonym0   Návštevník

          Hmmm... to neviem. Treba pogooglit, poskusat. V kazdom pripade v manualovej stranke k ufw je priklad z rozsahom portov, mozno podobne pojde machrovat aj s adresami.

          ufw allow proto tcp from any to any port 80,443,8080:8090 comment 'web app'

          The above will allow all traffic to tcp ports 80, 443 and 8080-8090 inclusive and adds a comment for the rule. When specifying multiple ports, the ports list must be numeric, cannot contain spaces and must be modified as a whole. Eg, in the above example you cannot later try to delete just the '443' port. You cannot specify more than 15 ports (ranges count as 2 ports, so the port count in the above example is 4).

      • RE: Firewall (Gufw) - nastavenie/teória Včera | 03:09
        Avatar pepsi   Používateľ

        Vedel by si mi ešte prosím ťa vysvetliť, čo znamená toto pravidlo v linku?

        Môže vôbec fungovať, ak oba počítače (IP adresy) komunikujú na iných portoch?

        Vďaka

        • RE: Firewall (Gufw) - nastavenie/teória Včera | 07:45
          Avatar anonym0   Návštevník

          No to by malo byt nieco ako toto:

          Povolit prichadzajuce spojenie na vsetkych interfacoch cez protokoly UDP a TCP z IP adresy 192.168.1.50 port 23 na IP adresu 148.18.200.39 port 80.

          Inym slovom: Ak budes mat na svojej masine nastavenu ipcku 148.18.200.39 (jedno na ktorom interfacy), bude mozne sa na nu pripojit z 192.168.1.50:23 cez oba protokoly na port 80.

          Ako vsak bolo vyssie spomenute, je to relativne zvlastne pravidlo, lebo je zadefinovany zdrojovy port, cize budes musiet osefovat, aby sa klient vzdy pripajal na danom porte. Skor by bolo dobre vediet, co chces tym pravidlom dosiahnut, mozno Ta budeme vediet spravne naviest...

          • RE: Firewall (Gufw) - nastavenie/teória Včera | 18:59
            Avatar pepsi   Používateľ

            Vďaka. Nič konkrétne nepotrebujem nastaviť, len sa snažím pochopiť podľa mňa dosť nejednoznačnú logiku toho firewallu gufw.

            Ako napr. takéto pravidlo "to anywhere", kde mi nie je jasné, čo sa myslí pod tým pojmom "anywhere". IP adresa, port, alebo oboje? No ale gufw by mal nastavovať parametre firewallu len pre localhost, alebo sa ním dá ošéfovať celá sieťová komunikácia aj pre ostatné počítače v sieti a preto je tam ten argument "anywhere", v zmysle povoľ všetku prichádzajúcu komunikáciu (pakety) na všetkých portoch z IP adresy 192.168.1.0 ku všetkým IP/počítačom?

            Vďaka

            • RE: Firewall (Gufw) - nastavenie/teória Včera | 20:40
              Avatar samalama.   Návštevník

              primarne je ten smejd urceny ako koncovy fw a v gui ani cez cmd forwarding a nat/masquerade nenastavis. musis rucne editovat ufw configy alebo si to zabezpecit inac. v tom gui je neskutocny zmatok (en verzia), o preklade ani nehovorim.

              ze po vypnuti ufw zostanu jeho chainy v netfiltri, je len ceresnicka na torte.

              odporucam sa na to vykaslat a tych par pravidiel si napisat sam. na nete je plno howto, pochopit zaklady nie je zlozite. pripadne perfektna prirucka na http://deja-vix.sk/sysadmin/firewall.html...

              • RE: Firewall (Gufw) - nastavenie/teória Včera | 23:56
                Avatar pepsi   Používateľ

                Vďaka, ale čo sa presne myslí pod tým "To Anywhere"?

                • RE: Firewall (Gufw) - nastavenie/teória Dnes | 00:06
                  Avatar samalama.   Návštevník

                  cely internet (cdir 0.0.0.0/0). ak to okno vpravo patri k pravidlu c. 1 vlavo, tak to znamena cielovu IP adresu, co ale v pripade retaze INPUT nema velky vyznam.

                  ale ak si do teraz nepochopil, co znamena input, output, zdrojova a cielova ip, zdrojovy a cielovy port, tak ti velke sance nedavam...

                  • RE: Firewall (Gufw) - nastavenie/teória Dnes | 01:09
                    Avatar pepsi   Používateľ

                    A nemôže to pravidlo znamenať to, že je povolená prichádzajúca komunikácia z určitej IP adresy (lokálnej siete alebo internetu) na hocijakom porte do môjho počítača (localhostu), ktorého sieťový adaptér by mohol mať nastavených viacero IP adries?

                    Ozaj k čomu je dobré v nastaveniach sieťového adaptéra zadefinovať viacero IP adries počítača?

                    Vďaka

                    • RE: Firewall (Gufw) - nastavenie/teória Dnes | 02:03
                      Avatar samalama.   Návštevník

                      ano, moze to znamenat aj to. ale moze to znamenat cokolvek, vsetko zalezi od toho, ake iptables pravidlo to vypluvne. resp. to rozhranie poskytuje len uniformne nastavenie pravidiel. v skutocnosti by sa ale tie pravidla definovali inac.

                      napr. jedna sluzba pouzije jednu ip a druha druhu. alebo jednu ip pouzije samotny host, druhu moze nat-ovat do privatnej siete. alebo...

              • RE: Firewall (Gufw) - nastavenie/teória Dnes | 07:09
                Avatar anonym0   Návštevník

                Suhlas. Gufw urobi v pravidlach dost dobry bordel, ale je to dan prave za tu priatelskost k uzivatelom. To ze chainy ostavaju aj po vypnuti som nevedel - podla mna je to bug a mohlo by sa to nahlasit (ak nie ako bug tak do wishlistu).

                Ale aj tak je to jedno z najlepsich klikatiek na iptables, ake som videl... Pretoze si povedzme uprimne distra ako Mint a Ubuntu pouzivaju vacsinou ludia, ktory firewall priamo cez iptables skratka nenastavia. Osobne ani neuznavam sposob, ze odpises par prikazov z webu a tym to hasne - pokial zadavatel nepochopi princip, bude to pre neho rovnako prinosne ako sa piplat s klikatkom.

            • RE: Firewall (Gufw) - nastavenie/teória Dnes | 07:03
              Avatar anonym0   Návštevník

              Mas v tom trocha chaos. Localhost neznamena cely Tvoj pocitac - je to iba jeho cast. V pocitaci mas viacere sietove interfacy, ktore mozu mat priradene viacere IP adresy. Mam napriklad laptop, ktory ma wifinu a dieru na internetovy kabel. To su dva interfacy - kazdy z nich moze mat priradenu jednu IP adresu (nie rovnaku!). Popri tom mam na laptope este treti specialny virtualny interface nazvany localhost, ktory sa moze pouzivat pri vselijakych prilezitostiach, ktorymi si zatial nemut hlavu, nakolko sa sice sprava ako regulerny sietovy interface (a ma regulernu IP adresu) a je mozne vo firewalle tiez na neho aplikovat pravidla, ale gufw (to je jeden z dovodov, preco ho povazujem za user friendly) si pravidla prisposobuje tak, aby si mohol localhost ignorovat.

              Cize v Tvojom pravidle mas nastavene to, ze sa tyka vsetkych interfacov (polozka all interface) - to znamena, ze v pripade mojho laptopu aj wifiny aj kabloveho pripojenia (nech maju priradenu akukolvek adresu). Zaroven si mozes nastavovat aj cielovu IP adresu a port (moznost "Do:") - nakolko sa jedna o prichodzie spojenie, ide o adresu Tvojho PC. Treba si uvedomit fakt, ze si takto vies nastavit aj pravidlo, ktore v praxi nema velky vyznam a je viac menej nelogicke - trebars pri prichodzom spojeni nastavovat zdrojovy port.

              Pod pojmom "to anywhere" sa mysli kombinacia akejkolvek adresy a akehokolvek portu. Nejedna sa vsak o ine PC v sieti (toto samozrejme nedokaze osefovat firewall na jednej z koncovych stanic) ale o Tvoje PC - pamataj, ze Tvoj PC moze mat viacero IP adries (napriklad na roznych interfacoch) alebo moze mat dynamicku adresu, ktora sa meni. Na toto je vsak lepsie specifikovat interface, nie cielovu adresu.

    • RE: Firewall (Gufw) - nastavenie/teória 20.06 | 15:43
      Avatar pepsi   Používateľ

      Vďaka všetkým za ochotu pomôcť. :)

      • RE: Firewall (Gufw) - nastavenie/teória 20.06 | 16:43
        Avatar vxmery Mint 17.3 Cinnamon, MX16 Xfce  Používateľ

        Máš dosť materiálu to spísať do článočku pre bfu aj s obrazovými prílohami ;)

        • RE: Firewall (Gufw) - nastavenie/teória 20.06 | 16:55
          Avatar pepsi   Používateľ

          Na články ja moc nie som, ale myslím si, že mám niečo lepšie (sú tam okrem iného aj nejaké moje laické poznámky ku gufw): Linux - Základy. :)

        • RE: Firewall (Gufw) - nastavenie/teória 20.06 | 18:35
          Avatar samalama.   Návštevník

          ty aj rozmyslas, ci len tak rovno pises, co ta napadne...?

          • RE: Firewall (Gufw) - nastavenie/teória 20.06 | 22:10
            Avatar bedňa antiX, Devuan, LegacyIce  Administrátor

            Kľudne ma urážaj, ale nikdy sa nenávažaj do mojich priateľov, nemusíš sa naraz nachádzať celý v jednom časopriestore.

            Bedňa!

            Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
            • RE: Firewall (Gufw) - nastavenie/teória 20.06 | 23:27
              Avatar samalama.   Návštevník

              neurazam, nenavazam, len vyjadrujem pochybnosti nad niekym, kto odporuca niekomu, kto netusi co je ufw a uz vobec nie iptables a firewall ako taky, aby o tom napisal clanok....

              • RE: Firewall (Gufw) - nastavenie/teória 20.06 | 23:45
                Avatar vxmery Mint 17.3 Cinnamon, MX16 Xfce  Používateľ

                No si ma odhalil teda. Rozmýšľam len v stredu a v sobotu, inak píšem čo ma napadne :))

                pomoc s otázkami ohľadne firewalu (Gufw)
                Týmto to začalo, a mám za to, že k tejto téme je tu materiálu dosť. Viac zo seba nedostanem, páč je stále utorok. Brú ;)