Zdravím
Chcel by som vás poprosiť o pomoc s otázkami ohľadne firewalu (Gufw) v Linuxe Mint:
1. Keď je vo firewalle (v Guwf) nastavené zakazujúce pravidlo pre príchodziu komunikáciu napr. "DENY IN from Anywhere to 23/tcp", tak sa myslí počítač s hocijakou IP, a od portu 0 do portu 23, t.j., že hocijaká IP a porty od 0 do 23 sa budú blokovať, alebo iba port 23?
2. Ďalej nechápem tomuto pravidlu firewallu (Gufw) na obrázku:
link
K čomu sa druhý krát zakazuje port 22, ak celková príchodzia komunikácia je už raz zakázaná?
3. A na záver posledná otázka, k čomu je nutné udeliť programu Transmission (P2P BitTorrent klient) výnimku pri zapnutom firewalle, ak mne osobne program sťahuje súbory aj bez toho?
Pre ilustráciu:
link
Vďaka
Firewall (Gufw) - nastavenie/teória
Môj zápisník o Linuxe - http://cicociciak.blogspot.sk/2017/04/linux-zaklady.html
Pre pridávanie komentárov sa musíte prihlásiť.
1. Zakázaná prichádzajúca komunikácia na porte 23 z akejkoľvek adresy.
2. Zakázaná prichádzajúca komunikácia na porte 22 z akejkoľvek adresy.
3. Transmission ten port na niečo používa, tak je na tebe či mu ho povolíš, alebo nie.
Vďaka za odpoveď.
Ide mi o tú logiku, že prečo sa udáva "from-to", keď sa v skutočnosti myslí iba "to".
Alebo, že prečo sa dodatočne zakazuje nejaký port príchodzej komunikácie, keď je tá celá už kompletne zakázaná (či je to len pre ten prípad, keď ju úplne povolím, aby mi zostali v platnosti aspoň tie zadefinované obmedzenia).
"From" je odkiaľ (z akej IP), "to" je do čoho, je to úplne logické.
Keby bola celá komunikácia zakázaná, tak sa nedostaneš ani internet.
Ahá!
Ja som si myslel, že "from-to" znamená rozsah. :)
Vďaka za pomoc pri tejto otázke.
Ale ešte mi nie je jasná posledná vec, a síce, že čo presne znamená nastavenie "Incoming: Deny"?
Čo je vlastne zakázané, všetok pokus o príchodziu komunikáciu z hocijakej IP a dresy (počítača) a všetky porty?
Vďaka
Ja osobne ten program nepoužívam, ale podľa screenu tam máš:
- To -> 22 (port o ktorý ide)
- Incoming: Deny (zakázaná prichádzajú komunikácia na vyššie spomínaný port)
- Outgoing: Allow (povolená odchádzajúca komunikácia z vyššie spomínaného portu)
- From -> Anywhere (platí pre všetky vonkajšie IP)
Tlačítkom Add si pridávaš pravidlá pre firewall.Mrkni na toto.
/sbin/iptables -nL INPUT
Uviedol som zlý obrázok, myslel som tento.
Podľa toho obrázku nie je zakázaný žiaden konkrétny port ale celková príchodzia komunikácia (všetky IP adresy + všetky porty) do počítača. Mám pravdu, alebo to chápem zle? Čo bude takto nastavený firewall (jedná sa o defaultné nastavenie gufw) blokovať?
Vďaka
Ako som písal program nepoznám, ale podľa screenshotu to vyzerá, že pokiaľ nezadáš nejaké pravidlo, tak je firewall plne priechodzí. Teda súdim to podľa toho políčka nižšie, kde vidíš ktoré služby na ktorom porte počúvajú.
Takže teraz neblokuješ nič.
predpokladam, ze zrak mas oslabeny z toho chlastu. nevadi, ale mozno ked sa na to este raz lepsie pozries, tak uvidis, ze incoming trafik ma zakazany. cize klasicky postup: explicitne vsetko zakazane (zvacsa incoming a forward) a konkretne veci povolene implicitne...
Kámo počítam, že si vyberieš voľbu a potom klikneš na to plusko pod pravidlami a až potom si nastavíš aký port aká adresa, ale možno sa mýlim, to klikátko nepoznám.
Inak nechápem ako môžu počúvať služby na zablokovaných portoch a ako sem vôbec niečo napísal, keď je odrezaný.
mno podla toho "profile" a "status" to skor vyzera, ze hore sa definuju nejake vseobecne nastavenia vratane default politiky (chyba tam forward, ale pre bfu userov to nie je potrebne) a az potom v tom + si definujes uz konkretne pravidla.
Inak nechápem ako môžu počúvať služby na zablokovaných portoch
mno tak toto budem tiez povazovat ako dosledok chlastu, alebo potom vobec nechapes fungovaniu sietovych sluzieb (a siete vseobecne) v linuxe...
Áno, myslím si, že je to presne tak, ako píšeš samalama.
Lebo keď v tom firewale gufw zakážem celkovú odchádzajúcu komunikáciu z môjho počítača, tak mi prestane kompletne fungovať internetové pripojenie (web) a začne až potom, keď v gufw zadefinujem napr. nasledovné pravidlo znázornené na tomto obrázku.
(Namiesto toho rozsahu portov od 1 do 65 535 sa dá v políčku nechať aj prázdne miesto a môj počítač s IP adresou 192.168.1.18 bude môcť komunikovať s internetom na všetkých portoch).
Musel som sa s tým programom pobaviť zopár hodín, aby som pochopil jeho logiku. :/
Aha jasne na prvý krát som to zle pochopil, tak sa nehnevaj.
ved ja sa nehnevam...
niektore distra ako Arch distribucie myslim vsetky maju firewall standartne vypnuty.Tam staci vypnut firewall a zadat cez bash toto: sudo systemctl enable ufw.service sudo ufw status sudo ufw enable sudo ufw default reject incoming sudo ufw default allow outgoing sudo reboot a firewall bude zapnuty vzdy po starte automaticky.Je to standartne nastavenie.Co sa tyka portu 22 este donedavna bol otvoreny a ty skusenejsi vedia ze tade prejde hacker do pc dnes uz je to vyriesene ale ak chcete sken siete skuste www.grc.com a dajte freeware oknicko service ,shield up ,potom proceed a all service ports je to sken portov.
Gufw je fajn klikatko. Sam ho niekedy pouzivam, ked sa mi nechce piplat priamo s iptables (resp. jeho backend ufw).
K prvemu bodu - ako uz bolo povedane, mysli sa iba port 23, nic viac.
K druhemu bodu - pozeras sa na to spravne. Ak mas zakazany vsetok vstup, je (teoreticky) zbytocne este raz zakazovat nieco konkretne. Ak pravidlo s portom 22 zmazes, nic sa nestane.
Co sa tyka bodu 3 - je to o tom, ze transmission je bittorrent klient, ktory zdiela data (nielen stahuje). Ide teda o to, ze sa k Tebe niekto pripaja a stahuje od Teba data (vo vychodzom nastaveni na porte 51413, ale da sa zvolit aj iny, ak sa nemylim). Preto musis vo firewalle povolit vynimku, nakolko mas prichodziu komunikaciu zakazanu ako celok (to znamena, ze by sa k Tebe nikto nepripojil). Ak vsak pouzivas transmission iba na stahovanie (a nechces zdielat), vynimky udelit nemusis. Toto sa vsak svojho casu povazovalo za neslusne, nakolko to v podstate porusuje principy P2P zdielania.
Trosku sa rozpisem o principoch firewallu (budem sa snazit vyjadrovat laik-friendly). Princip firewallu je o tom, ze filtruje (zahadzuje alebo povoluje) jednotlive packety sietovej komunikacie. To, ktory packet povolis a ktory nie si definujes podla nasledovneho:
Ako zaklad si nastavis globalne pravidla pre smery komunikacie (vacsinou smer z PC von povolit a z vonku do PC zakazat). Potom si na ten zakazany smer aplikujes nejake pravidlo (vynimku), ak je potrebne. Trebars sa chces pripajat na dany PC cez SSH. Nakolko mas zakazany pristup z vonku, nie je to mozne, kym nenastavis patricne pravidlo. V pripade SSH napriklad povolis uplne vstup na port 22 cez protokol TCP (zo vsetkych IP adries). Ak sa chces pripajat iba z konkretneho stroja, mozes doplnit aj zdrojovu ip adresu (z inych sa pripajat stale nebude dat).
Este na okraj par poznamok k Gufw. Gufw je super, lebo prinasa do konceptu firewallu uzivatelsku privetivost. Ide o to, ze sietova komunikacia je (takmer) vzdy obojsmerna. Napriklad sa pripajas na nejaky web - Ty sice iniciujes spojenie na server (odchadzajuce spojenie), ale zaroven server odosiela Tebe data (prichadzajuce spojenie). Dalej vselijaka komunikacia na localhoste. ICMP protokol (ping). To vsetko komplikuje nastavenia firewallu. Gufw toto riesi - ziadne vynimky s ICMP, pravidla sa nevztahuje na localhost, pravidlo pre nadvazujuce spojenia, auto IPv6 pravidla atd... Nehovoriac o tom, ze prinasaju viacere moznosti nastavenia vynimiek: od uplne jednoduchych povoleni danych aplikacii, cez jednoduche otvorenie daneho portu az po komplexnejsiu konfiguraciu aj zo zdrojovymi adresami a podobne. Skratka pre rychle nastavenie alebo laika je to super.
a interface nic...?
btw, zdrojovy port je irelevantny, pretoze vo vacsine pripadov je nahodne vybrany...
Pravda, vdaka za spravne pripomienky.
Vďaka
Ešte by ma zaujímalo, či sa dá v gufw nastaviť aj rozsah IP adries. Nejako sa mi to nedarí.
Hmmm... to neviem. Treba pogooglit, poskusat. V kazdom pripade v manualovej stranke k ufw je priklad z rozsahom portov, mozno podobne pojde machrovat aj s adresami.
Vedel by si mi ešte prosím ťa vysvetliť, čo znamená toto pravidlo v linku?
Môže vôbec fungovať, ak oba počítače (IP adresy) komunikujú na iných portoch?
Vďaka
No to by malo byt nieco ako toto:
Povolit prichadzajuce spojenie na vsetkych interfacoch cez protokoly UDP a TCP z IP adresy 192.168.1.50 port 23 na IP adresu 148.18.200.39 port 80.
Inym slovom: Ak budes mat na svojej masine nastavenu ipcku 148.18.200.39 (jedno na ktorom interfacy), bude mozne sa na nu pripojit z 192.168.1.50:23 cez oba protokoly na port 80.
Ako vsak bolo vyssie spomenute, je to relativne zvlastne pravidlo, lebo je zadefinovany zdrojovy port, cize budes musiet osefovat, aby sa klient vzdy pripajal na danom porte. Skor by bolo dobre vediet, co chces tym pravidlom dosiahnut, mozno Ta budeme vediet spravne naviest...
Vďaka. Nič konkrétne nepotrebujem nastaviť, len sa snažím pochopiť podľa mňa dosť nejednoznačnú logiku toho firewallu gufw.
Ako napr. takéto pravidlo "to anywhere", kde mi nie je jasné, čo sa myslí pod tým pojmom "anywhere". IP adresa, port, alebo oboje? No ale gufw by mal nastavovať parametre firewallu len pre localhost, alebo sa ním dá ošéfovať celá sieťová komunikácia aj pre ostatné počítače v sieti a preto je tam ten argument "anywhere", v zmysle povoľ všetku prichádzajúcu komunikáciu (pakety) na všetkých portoch z IP adresy 192.168.1.0 ku všetkým IP/počítačom?
Vďaka
primarne je ten smejd urceny ako koncovy fw a v gui ani cez cmd forwarding a nat/masquerade nenastavis. musis rucne editovat ufw configy alebo si to zabezpecit inac. v tom gui je neskutocny zmatok (en verzia), o preklade ani nehovorim.
ze po vypnuti ufw zostanu jeho chainy v netfiltri, je len ceresnicka na torte.
odporucam sa na to vykaslat a tych par pravidiel si napisat sam. na nete je plno howto, pochopit zaklady nie je zlozite. pripadne perfektna prirucka na http://deja-vix.sk/sysadmin/firewall.html...
Vďaka, ale čo sa presne myslí pod tým "To Anywhere"?
cely internet (cdir 0.0.0.0/0). ak to okno vpravo patri k pravidlu c. 1 vlavo, tak to znamena cielovu IP adresu, co ale v pripade retaze INPUT nema velky vyznam.
ale ak si do teraz nepochopil, co znamena input, output, zdrojova a cielova ip, zdrojovy a cielovy port, tak ti velke sance nedavam...
A nemôže to pravidlo znamenať to, že je povolená prichádzajúca komunikácia z určitej IP adresy (lokálnej siete alebo internetu) na hocijakom porte do môjho počítača (localhostu), ktorého sieťový adaptér by mohol mať nastavených viacero IP adries?
Ozaj k čomu je dobré v nastaveniach sieťového adaptéra zadefinovať viacero IP adries počítača?
Vďaka
ano, moze to znamenat aj to. ale moze to znamenat cokolvek, vsetko zalezi od toho, ake iptables pravidlo to vypluvne. resp. to rozhranie poskytuje len uniformne nastavenie pravidiel. v skutocnosti by sa ale tie pravidla definovali inac.
napr. jedna sluzba pouzije jednu ip a druha druhu. alebo jednu ip pouzije samotny host, druhu moze nat-ovat do privatnej siete. alebo...
Suhlas. Gufw urobi v pravidlach dost dobry bordel, ale je to dan prave za tu priatelskost k uzivatelom. To ze chainy ostavaju aj po vypnuti som nevedel - podla mna je to bug a mohlo by sa to nahlasit (ak nie ako bug tak do wishlistu).
Ale aj tak je to jedno z najlepsich klikatiek na iptables, ake som videl... Pretoze si povedzme uprimne distra ako Mint a Ubuntu pouzivaju vacsinou ludia, ktory firewall priamo cez iptables skratka nenastavia. Osobne ani neuznavam sposob, ze odpises par prikazov z webu a tym to hasne - pokial zadavatel nepochopi princip, bude to pre neho rovnako prinosne ako sa piplat s klikatkom.
Mas v tom trocha chaos. Localhost neznamena cely Tvoj pocitac - je to iba jeho cast. V pocitaci mas viacere sietove interfacy, ktore mozu mat priradene viacere IP adresy. Mam napriklad laptop, ktory ma wifinu a dieru na internetovy kabel. To su dva interfacy - kazdy z nich moze mat priradenu jednu IP adresu (nie rovnaku!). Popri tom mam na laptope este treti specialny virtualny interface nazvany localhost, ktory sa moze pouzivat pri vselijakych prilezitostiach, ktorymi si zatial nemut hlavu, nakolko sa sice sprava ako regulerny sietovy interface (a ma regulernu IP adresu) a je mozne vo firewalle tiez na neho aplikovat pravidla, ale gufw (to je jeden z dovodov, preco ho povazujem za user friendly) si pravidla prisposobuje tak, aby si mohol localhost ignorovat.
Cize v Tvojom pravidle mas nastavene to, ze sa tyka vsetkych interfacov (polozka all interface) - to znamena, ze v pripade mojho laptopu aj wifiny aj kabloveho pripojenia (nech maju priradenu akukolvek adresu). Zaroven si mozes nastavovat aj cielovu IP adresu a port (moznost "Do:") - nakolko sa jedna o prichodzie spojenie, ide o adresu Tvojho PC. Treba si uvedomit fakt, ze si takto vies nastavit aj pravidlo, ktore v praxi nema velky vyznam a je viac menej nelogicke - trebars pri prichodzom spojeni nastavovat zdrojovy port.
Pod pojmom "to anywhere" sa mysli kombinacia akejkolvek adresy a akehokolvek portu. Nejedna sa vsak o ine PC v sieti (toto samozrejme nedokaze osefovat firewall na jednej z koncovych stanic) ale o Tvoje PC - pamataj, ze Tvoj PC moze mat viacero IP adries (napriklad na roznych interfacoch) alebo moze mat dynamicku adresu, ktora sa meni. Na toto je vsak lepsie specifikovat interface, nie cielovu adresu.
Vďaka za vysvetlenie. Začína mi to už dávať lepšiu predstavu.
Vďaka všetkým za ochotu pomôcť. :)
Máš dosť materiálu to spísať do článočku pre bfu aj s obrazovými prílohami ;)
Na články ja moc nie som, ale myslím si, že mám niečo lepšie (sú tam okrem iného aj nejaké moje laické poznámky ku gufw): Linux - Základy. :)
ty aj rozmyslas, ci len tak rovno pises, co ta napadne...?
Kľudne ma urážaj, ale nikdy sa nenávažaj do mojich priateľov, nemusíš sa naraz nachádzať celý v jednom časopriestore.
Bedňa!
neurazam, nenavazam, len vyjadrujem pochybnosti nad niekym, kto odporuca niekomu, kto netusi co je ufw a uz vobec nie iptables a firewall ako taky, aby o tom napisal clanok....
No si ma odhalil teda. Rozmýšľam len v stredu a v sobotu, inak píšem čo ma napadne :))
Týmto to začalo, a mám za to, že k tejto téme je tu materiálu dosť. Viac zo seba nedostanem, páč je stále utorok. Brú ;)