Firewall

[kamzor]

Niech mi ktoś proszę bardzo naświetli sprawę firewalla w Ubuntu i Debianie.

1. Czy iptables jest firewallem działającym w w systemie od momentu jego pierwszej instalacji i uruchamia się wraz z kernelem.

2. Mam graficzną nakładkę Firestarter.. Czy Firewall startuje w momencie startu systemu czy w momencie włączenia programu?

Posiadam Ubuntu ale dobrze by było wiedzieć też jak to ma się do Debiana.

[roobal]

Na oba pytania odpowiedź jest pozytywna, czyli tak. IPTables jest tylko i wyłącznie modułem jądra, służącym do konfiguracji zapory, natomiast Firestarter jest tylko i wyłącznie nakładką graficzną dla IPTables.

Jądro Linux samo w sobie filtruje ruch sieciowy, przy pomocy IPTables dodajesz tylko własne reguły. Jeśli masz Firestarte to w nim możesz łatwo skonfigurować co Ci się tam podoba.

Ja na przykład używam takich reguł dla IPTables :

Kod: [Zaznacz]

#!/bin/sh

# Czyszczenie firewalla

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X

# Polityka bezpieczeństwa

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

# Reguły firewalla

#iptables -A INPUT -s 195.93.178.5 -j DROP
#iptables -A INPUT -s 195.93.178.6 -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p udp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p udp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 995 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 465 -j ACCEPT

# Zezwolenie na zapetlanie pakietów

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Uniemożliwianie pingowanie mnie

iptables -A INPUT -p icmp -j DROP

Lub w skrócie i ogólnie można dać takie reguły dla IPTables:

Kod: [Zaznacz]

#!/bin/sh

# Czyszczenie firewalla

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X

# Polityka bezpieczeństwa

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Reguły firewalla

#iptables -A INPUT -s 195.93.178.5 -j DROP
#iptables -A INPUT -s 195.93.178.6 -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Zezwolenie na zapetlanie pakietów

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Uniemożliwianie pingowanie mnie

iptables -A INPUT -p icmp -j DROP

Zarówno IPTables jak i Firestarter działają w tle. Nie musisz się martwić, IPTables czy Firestarter są ładowane podczas startu systemu, najczęściej zanim zostanie w ogóle skonfigurowane połączenie sieciowe i działają w tle, to że nie ma ikony w tacce systemowej nie oznacza, że nie działa. Zapora działa pomimo, że sięnie wyświetla. Zresztą samo jądro filtruje ruch sieciowy.

Pozdrawiam!

[Paweł Kraszewski]

Sprawa wygląda tak:

1. W różnych miejscach wędrówki pakietów przez kernel istnieją tzw "tapy" mechanizmu NetFilter (np pakiet wpada do karty sieciowej, pakiet właśnie zakończył routing, itd).  "Tap" jest to miejsce, jakby rozgałęźnik, do którego może podłączyć się aplikacja i oglądać oraz modyfikować przepływające pakiety.

2. Korzystając z dostępnych "tapów" stworzono infrastrukturę modułów użytkowych o nazwie IPTables, które świetnie nadają się do obróbki przepływów protokołu IP, m. in. do robienia firewalli. Konfiguracja IPTables jest robiona przez odpowiednie wywołania odpwiednich funkcji jądra.

3. Program użytkowy 'iptables' przyjmuje od użytkownika czytelne komendy (no, na ogół czytelne i generuje odpowiednie wywołania do IPTables aby je skonfigurować.

4. Narzędzia typu "firestarter" generują automatycznie ciągi poleceń (de-facto skrypty) dla programu 'iptables' na podstawie jakiejś "klikanej" konfiguracji. Te narzędzia można nazwać "managerem firewalla".

W Ubuntu masz domyślnie zainstalowany manager 'ufw', tyle, że jest domyślnie wyłączony. Aby go włączyć wystarczy wydać polecenie ufw enable. Instrukcja man ufw pokieruje cię dalej. Możesz także zainstalowac graficzną nakładkę na ufw o nazwie gufw. Pojawia się w menu System/Administracja/Firewall.

[kamzor]

Wielkie dzięki za objaśnienie sprawy Jak dobrze gdy człowiek się nie martwi..

EDIT:

Aaa.. bym zapomniał.. moją wątpliwość sprowokował do napisania fakt że przełączając lapka z wireless na ethernet, po włączeniu firestartera z menu, wywalił komunikat ze nie może uruchomić firewall bo nie ma połączenia na interfejsie wlan0 albo coś podobnego. Przełączając na kabel wyłączyłem w ogóle wi-fi przełącznikiem na obudowie. Jak mam to rozumieć?