Oprogramowanie > Inne
Zapora w Linuxie Manjaro
marcin'82:
--- Cytuj ---1. Jak sprawdzić które porty w systemie są otwarte/zamknięte?
--- Koniec cytatu ---
Przeskanować porty podstawowe 1-1024 na przykład przez stronę https://www.grc.com/shieldsup .
2. Jak sprawdzić jakich portów używają programy takie jak Firefox, Thunderbird, GoogleEarth, Pigwin, Pacman, VirtualBox? (tylko tego używam do internetu)
--- Kod: ---
sudo lsof -Pi4
--- Koniec kodu ---
3. Jak prawidłowo zamknąć cały inny ruch w zaporze pozostawiając jedynie otwarte porty dla w/w programów?
Zależy od przyjętej polityki użytkownika. Paweł Kraszewski opisywał innemu użytkownikowi w jednym ze swoich postów.
Na marginesie (bajdełej), firewalld (Fedora), został przepisany już jakiś czas temu na nftables. Czy to lepsze, hiper super - nie wiem. W każdym razie składnia i kod może być wydatnie krótszy, nie trzeba powtarzać kilku podobnych reguł, itd., itp.
1709:
Ad.1
Poprzez sprawdzenie usług nasłuchujących lub przez skanowanie.
https://forum.linux.pl/index.php/topic,25718.0.html
Ad.2
Komenda tcpdump pokaże zarówno połączenia wchodzące i wychodzące oraz połączenie trwające bardzo krótko.
Połączenia dłuższe można próbować sprawdzić przy pomocy np.
--- Kod: ---
lsof -i :0-65535
--- Koniec kodu ---
--- Kod: ---
ss -utp
--- Koniec kodu ---
i może
--- Kod: ---
netstat -tup
--- Koniec kodu ---
Ad.3
--- Cytuj ---3. Jak prawidłowo zamknąć cały inny ruch w zaporze pozostawiając jedynie otwarte porty dla w/w programów?
--- Koniec cytatu ---
Zależy od zapory. Zasada budowy pewnie ta sama lub podobna. Wygląd regół może wyglądać trochę inaczej.
Edycja ...
--- Cytuj --- jedynie otwarte porty dla w/w programów? ... ( Firefox, Thunderbird, GoogleEarth, Pigwin, Pacman, VirtualBox )
--- Koniec cytatu ---
Dla mnie otwarte porty to porty na których aplikacje nasłuchują (LISTEN) , czyli czekają na połączenie przychodzące.
--- Cytuj ---serwer <-- ( zapytanie ) klient
serwer ( odpowiedź ) --> klient
--- Koniec cytatu ---
Takie aplikacje nazywamy aplikacjami serwerowymi
Mam wątpliwości czy takie aplikacje posiadasz.
To może być np. serwer poczty, serwer do druku, serwer do monitorowania systemu, komunikator ( który łączy się bezposrednio bez serwerów zewnętrznych ), serwer gry.
Bardzo często w poradnikach znajdziesz że w typowej zaporze
połączenia wyjściowe są zezwolone
połączenia wejściowe są blokowane.
Ale nie w dosłownym tego znaczeniu.
Przyjżyj się podstawowej zaporze iptables dła zwykłych użytkowników żeby spróbować zrozumieć.
--- Kod: ---
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
--- Koniec kodu ---
- domyślna polityka połączenia wejściowe blokuje.
- domyślna polityka przekierowania blokuje
- domyślna polityka połączenia wyjściowe blokuje.
Z tymi trzema regółami połączenie internetowe raczej nie będzie działać tak jakbyśmy chcieli,
ponieważ np. przeglądarka wyśle zapytanie do internetu, ale nie otrzymamy odpowiedzi, bo jest blokowane.
Dlatego na końcu znajduje się jeszcze jedna ważna reguła
--- Cytuj --- iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
--- Koniec cytatu ---
Jak będziesz się bawił komendami to zauważysz że niektóre zwracają stan połączenia
https://pl.wikipedia.org/wiki/Protok%C3%B3%C5%82_sterowania_transmisj%C4%85
Zostało to wykorzystane do filtrowania połączeń internetowych w zaporze.
W tym przypadku reguła pozwala na połącznienia wejściowe jeśli mają stan stały (ESTABLISHED), lub powiązany (RELATED)
--- Cytuj ---iptables -A INPUT -i lo -j ACCEPT
--- Koniec cytatu ---
Ta regóła jest dla połączeń " lokalnych " / między procesami w systemie.
Przy pomocy komendy
--- Kod: ---
ifconfig
--- Koniec kodu ---
lub
--- Kod: ---
ip a
--- Koniec kodu ---
możesz zauważyć że jest taki interfejs " lo " w systemie. https://pl.wikipedia.org/wiki/Localhost
Taka podstawowa zapora pozwala " w miarę " na bezpieczne korzystanie z przeglądarki.
Mam na myśli że nawet gdybyś miał włączoną usługę serwerową to zapora nie pozwoli na połączenie.
Natomiast jak to przysłowie mówi jak nie dzwiami to oknem.
Czyli hakerzy próbują przekonać użytkownika by sam pobrał złośliwe oprogramowanie.
Komputery serwerowe gdzie usługi i porty muszą być otwarte mają już gorzej.
Ponieważ otwarte porty pozwalają na bezpośredni atak na aplikacje, jesli nasłuchują / czekają na połączenie.
Zapory dla komputerów serwerowych zwykle mają bardziej zaostrzoną politykę.
Czyli domyślnie blokują wszystko, więc zwykle muszą być dodane dwie reguły.
Dla połączeń wejściowych ( przychodzących ) i połączeń wyjściowych ( wychodzących ).
np.
https://github.com/tele1/Tmur/blob/main/rules/rules_accept_ipv4.sh
https://www.tutorialspoint.com/most-frequently-used-linux-iptables-rules-with-examples
Dodatkowo zwykle są chronione dodatkowymi regułami lub programami filtrującymi sieć.
Np. mogą ograniczać ilość połączeń od jednego adresu IP,
mogą wykrywać skanowanie i dodawać takie adresy do listy blokowanych.
Nawigacja
Idź do wersji pełnej