Graficzny firewall na iptables?

Jaką w miarę prostą graficzną nakładkę na iptables możecie polecić na Linux? Do dziś pełnił tą funkcję firestarter. Ale po aktualizacji kelnera firestarter już nie działa poprawnie wyskakuje taki komunikat

Kod: [Zaznacz]

Failed to start to firewall
The device wlan0 is not ready
Sprawdz ustawienia urządzenia sieciowego aby upewnic się, że połączenie sieciowe jest aktywne

Prawdopodobnie powodem tego jest że już od dwóch lat ten program firestarter jest nie wspierany przez twórców lub po prostu gryzie się z network managerem. Obecnie zastanawiam się nad którymś z tych guardog, fwbuilder lub gufw.
Ale być może polecicie coś lepszego, których nie wymieniłem i nie znam. A mogą być zdecydowanie lepsze pod Linux.

[Andrzej J]

Ja korzystam z ufw, bez nakładki graficznej. Ale można sobie doinstalować gufw. Pozdrawiam

[Robert]

Myślę, że w sieci jest tyle tutków (takze w dziale How To) dotycz. konfiguracji iptables, że bez nakładki dasz sobie radę. W końcu iptables, to nie gimp, gdzie bez myszki ani rusz :-)

P.S. Jakoś dotąd nie słyszałem pozytywnych opinii o nakładkach na iptables.

No tak na serwerze to może konfiguracja iptables z konsoli jest ok. Ale na desktop wolę graficznie. Firestarter był idealny prosty intuicyjny.
Co do tego gufw jest dość skromny, ma mało ustawień.
roca dlaczego gdy chcę wejść na forum z Opery 11.51 nie pojawia się kod potwierdzający?

Pozwolę sobie zakwestionować samą zasadność problemu i zapytam: a po co iptables na desktopie?

Do udostępniania sieci innemu komputerowi jest jakiś miliard poradników w sieci, do podstawowego pseudo-zabezpieczenia (przyjmowanie tylko tych połączeń przychodzących, które zostały zainicjowane przez komputer) jakieś dwa razy tyle. Zrobienie tego w iptables z terminala to kwestia jakichś 3 minut.

Ja przez długi czas nie miałem żadnego firewalla na desktopie i jakoś z tym żyłem. Nic złego mi się z systemem nie stało.

[roobal]

Możesz spróbować Firewall Builder ale moim zdaniem, konfigirację zapory możesz rozpocząć od takich, wyjściowych reguł, które możesz ująć w skrypcie Bash

Kod: [Zaznacz]

#!/bin/bash

iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Jeśli chcesz otworzyć jakiś port, dodajesz tylko kolejne reguły, dla przykładu kilka z wielu reguł, z których ja korzystam (dla przykładu udostępnianie plików i drukarek w sieci LAN)

Kod: [Zaznacz]

#!/bin/bash

iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 137:139 -j ACCEPT

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --dport 137:139 -j ACCEPT

iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Pozdrawiam!

A co może byc powodem tego że firestarter po aktualizacji kernela przestał działać i pluje tym komunikatem co podałem w pierwszym poscie? Jest jakaś możliwość naprawy tego błędu by znów działał firestarter?

Andrew_66 a możesz rozwinąć jak ustawiasz w tym ufw zapore , czy robisz to za pomoca gufw?
Czy po prostu w standardzie wklepujesz te dwa polecenia i tyle wystarczy?

Kod: [Zaznacz]

ufw enable
ufw status
Status: active

Z góry dzięki za odpowiedź.

[Andrzej J]

W standardzie w zupełności wystarczy Ci ufw enable.
Nie korzystam z żadnej nakładki graficznej. Korzystałem kiedyś z tego poradnika
http://czytelnia.ubuntu.pl/index.php/2008/04/27/nieskomplikowana-zapora-w-hardy-heron/
Prościej napisać nie można albo skorzystać z man ufw.
Dodatkowo mam zablokowany ping  w /etc/ufw/before.rules

# ok icmp codes
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j DROP
-A ufw-before-input -p icmp --icmp-type source-quench -j DROP
-A ufw-before-input -p icmp --icmp-type time-exceeded -j DROP
-A ufw-before-input -p icmp --icmp-type parameter-problem -j DROP
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

Wycinek reguł dotyczących ping i to chyba wszystko. Strona http://www.grc.com przy skanowaniu mojego kompów nie widzi nieprawidłowości. Pozdrawiam

P.S. W debianie lennym korzystam z rozwiązania zamiesczonego w tym wątku przez kolegę roobala.