firewall pre server

Sekcia: Konfigurácia 16.07.2007 | 17:41
jaaaa   Návštevník
aky firewall by ste odporucili na server (musi mat graficke prostredie!)?
dakujem
    • Re: firewall pre server 16.07.2007 | 18:21
      Avatar Miroslav Bendík Gentoo  Administrátor
      Žiaden s grafickým prostredím neexistuje. Ináč odporúčam iptables prípadne niečo na ňom založené (shorewall a podobne).

      Existujú grafické rozhrania pre iptables napr. KMyFirewall alebo Firewall Builder.

      Mimochodom mať server s X je blbosť.
      • Re: firewall pre server 16.07.2007 | 18:40
        Avatar borg Arch, Debian jessie  Administrátor
        ja odporucam netfilter, nakonfigurovany s iptables
    • Re: firewall pre server 16.07.2007 | 19:13
      Avatar bananomet Gentoo  Používateľ
      studovat syntax a vyznam pravidiel v iptables. ziadna graficka klikacina ani rozne neviemcowall nemozu plne nahradit vsetky dostupne featury iptables. na desktop este postacuju, ale tu ide predsa len o server
      • Re: firewall pre server 16.07.2007 | 20:38
        hmmmm   Návštevník
        a poprosil by som nejaky link na nieco jednoduche s navodom pre debian
        • Re: firewall pre server 17.07.2007 | 18:59
          Avatar bananomet Gentoo  Používateľ
          tych linkov je kopu na www.netfilter.org,

          v kazdom pripade ti dam taky uvod pre server. iptables je vlastne akasi postupnost pravidiel a ukonov, ktore sa maju s paketom urobit, ak vyhovie pravidlu. tj hned prvy riadok sa bude tykat paketov, ktore prisli cez loopback device a urcuje, ze tieto pakety maju byt fw prepustene. pravidla su spracovavane zhora dole, takze prve pravidlo, ktoremu paket vyhovuje sa aplikuje a dalej sa uz v porovnavani pre tento paket nepokracuje(fw maniaci ma nezdrbte, viem ze existuju aj neterminacne targety, ale to si zaciatocnik casom dostuduje):

          iptables -A INPUT -i lo -j ACCEPT
          iptables -A INPUT -s 127.0.0.0/8 -j DROP
          iptables -A INPUT -d 127.0.0.0/8 -j DROP
          iptables -A INPUT -i ! lo -m state --state RELATED,ESTABLISHED -j ACCEPT
          iptables -A INPUT -i ! lo -p tcp --dport 22 -j ACCEPT
          iptables -P INPUT DROP

          iptables -L vypise terajsie pravidla.
          INPUT znamena, ze budeme filtrovat pakety prichadzajuce na server urcene priamo jemu
          parameter -i urcuje, ktorym interfejsom paket prichadza
          -s a -d znacia zdrojovu a cielovu ip paketu.
          cely blok za -m state povoluje prijatie uz vytvorenych spojeni zo servera von
          -p urcuje protokol, --dport je myslim jasne
          ACCEPT paket prijme, DROP ho zahodi
          -P INPUT DROP urcuje, co sa ma urobit s paketom, pre ktory neplati ani 1 pravidlo v zozname (cize tu som dal zahodit)


          tento zaklad povoli smerom von vsetko a smerom dovnutra len tie, co boli otvorene serverom + ssh. podobne ako pravidlo pre ssh mozes specifikovat lubovolny iny port, pripadne protokol. v prvom rade ked robis fw pre server a nemas k nemu fyzicky pristup, tak davaj pozor, aby si sa neodsekol. nech uz z tym kuzlis akokolvek, uisti sa, ze vzdy ti ostane povoleny minimalne 1 pristup pre spravovanie firewallu (hlavne ssh, ale v nudzi na LAN moze byt aj telnet, pripadne cokolvek ine, cim vies fw vypnut)

          no...dufam ze na zaciatok to staci. iptables je dost pokrocily komplikovany system, takze fakt si to treba len vyskusat. pre zaciatocnika radsej s fyzickym pristupom k masine
          • Re: firewall pre server 17.07.2007 | 21:30
            Avatar nardew debian  Používateľ
            ad k tomu zablokovaniu sa... je dobre si dat do cron-a nech ti v pravidelnych intervaloch FW zhadzuje.. samozrejme po nakonfigurovani to z cron-a odstranis
            • Re: firewall pre server 17.07.2007 | 23:03
              Avatar bananomet Gentoo  Používateľ
              ja som zvykol vyuzivat jednorazovky -I INPUT -j ACCEPT v atd vzdy ked som robil nejaky zasah do fw
    • Re: firewall pre server 17.07.2007 | 00:38
      Avatar nardew debian  Používateľ
      datie si X servru na server len koli jednej klikacke na firewall je len koledovanie si o zranitelnost.. takze odporucam precitat si iptables, zakladne nastavenie mas nastudovane behom hodky a navyse po nete mas mnoho uz ukazkovych a kvalitne okomentovanych skriptov k tomu