Firewall для Ubuntu
AlexHawk - 3 Ноябрь, 2007 - 15:01
Активно использую ubuntu уже 2 недели, и очень не хватает файрвола, такого agnitum outpost firewall под виндой. В винде было очень удобно запретить отображать flash-анимацию на одном сайте, отключить cookies для другого. А также видеть какие приложения запрашивают сетевой доступ ит.д. Есть ли что-нибудь аналогичное и под ubuntu?
firestarter мне нравится - прост и удобен. Не знаю правда что внутри - это спецы подскажут
Я не спец, НО...
В принципе, большинство на сегодня склоняется во мнении что фаервол на домашней машине под Линух совершенно не нужен, с чем я не согласен. В Линух эти функции выполняет встроенная в ядро iptables, но по умолчанию она настроена по принципу - Разрешить Все. Это почему-то никого не смущает. Для ее настройки в ручную необходимо основательно посидеть над доками по iptables (это - в Google), тогда можно творить чудеса что и Outpost не снились. Но у меня в голове не четырехядерный проц и я тоже ограничился Firestarter - это просто графическая оболочка (фронт-энд) для простой, минимальной настройки все той же iptables. Если тебе нужен функционал Outpost то пробуй Guarddog, это тоже фронт-энд для iptables, но более мощный. В любом случае, для тонкой настройки все равно прийдеться долбить тортуриалы по настройке iptables, чтоб уметь писать сложные, мудреные правила. Иначе Outpost никак не получиться...
Есть утилита - kmyfirewall
Позволяет настраивать правила в графическом режиме.
Но почитать про "правила настройки правил" :) стоит
http://www.kubuntu.org/doc/7.10/network/C/apps.html#apps-firewall
Вот здесь описан firewall используемый в kubuntu
А вот я читал что по умолчанию бубунта фиг кого пускает. Кому верить?
Linux rocks and KDE too!
Неверь никому. Проверь сам!!!
Судя по тому как ты использовал Outpost, тебе нужно смотреть в сторону поагинов для firefox.
Поставил firestarter, понравился, интерфейс только на инглише, мне с ним труднова-то, как русифицировать не подскажите? ))
kmyfirewall жжот
Вот здесь все хорошо объясняется http://www.posix.ru/network/iptables/
Действительно хорошая статья, спасибо.
Де, я тоже по началу не мог понять, как это нет программки которая делает все.
Тут каждая программа реализует в основном что-то одно, так скажем, все более на низком уровне, именно по этому эта система является более безопасной.
Обычному пользователю, не держащему серверов, бояться нечего, тем более если он сам ничего не ставил, помимо репозиторий.
Ну ушли с венды, ну забудте вы уже о зловредных вирусах, которые могут забить ваш буфер и загрузить свой код в систему, тут такое не получится
Все что вы тут описали не имеет ничего общего с firewall в его нормальном понимании.
Отключение флеш анимации и кукисы - это настройка браузера,
смотреть на сетевую активность это netstat или tcpdump
firewall нужен только для ограничения доступа к/из сети, и маскарадинга. Остальное это не его функции, для этого есть другие специально написанные программы.
Отвыкайте от комбайнов "все в одном" типа Nero и различных Internet Security.
PS. Лично я настраиваю iptables через webmin (привычка вторая натура)
Аффтар! Кури не фаервол, кури сквид! У тебя после вяндов неправильное понимание слова "фаервол"
https://addons.mozilla.org/en-US/firefox/addon/433
при чем тут фаервол к флешу!!!!!!!
это совершенно разный уровень - фаервол это уровень протокола, а флеш это уровень приложений!
это все равно что искать такой антенный фильтр в теле антенну на крышу - который будет автоматически теле рекламу фильтровать.... )))) на всех каналах сразу ))))
хотя и можно в потоке трафика отлавливать отдельные элементы и фильтровать по контенту - для этого в фаерволе есть такая штука как l7-filter http://l7-filter.sourceforge.net/ или string-matching http://www.linuxquestions.org/questions/linux-security-4/iptables-string-match-113326/ и еще много разного всего есть в ядре, только оно нужно очень редко и для других случаев.
ну блин приколисты.
нафига козе баян?
запусти nmap посмотри что у тебя ни одного порта нет открытого.
ну а уж если ты и открывал что то типа ссх 22, мускуль 3306 и тд. ну тогда уж либо сам переназначай дефолтные порты, либо закрывай доступ на них снаружи через iptables , либо загоняй всех в тупик настроив fail2ban.
а вот эти виндовые штучки ["А также видеть какие приложения запрашивают сетевой доступ"] ты оставь, просто так никто из установленного в инет лезть не будет. ну а если уж сам какую бяку поставил, то уж прости, сам виноват... хотя такие бяки поискать надо... да откомпилить чтоб работало...
>просто так никто из установленного в инет лезть не будет. ну а если уж сам какую бяку поставил, то уж прости, сам виноват... хотя такие бяки поискать надо... да откомпилить чтоб работало...
Господа, вы забываете что этот вопрос про файрвол реально Важен для бывших вндузятников таких как например я, вынужденно переселившихся на линукс из-за непрятия насильственной VISTAизации которую билл-дебилл проводит по отношению ко всем _новым_ ноутбукам (да так что XP напрмер на моём ноуте ХРен поставшь ибо свежий HP-шный биос синим экраном напрочь отсекает любые попытки поставить ХРюшу, а вот Убунта-8.10 и Федора-10 поставлись ). ВАЖЕН этот вопрос потому что первое что бывший виндузятник устанавливает - это WINE а вот ему точно файрвол нужен прчём менно такой который одни программы в инет пускает а другие нет. Вот вам пример надо чтоб дримвьюер никогда не смог бы досучаться в сетку Адобе но легко попадал в другие сетки в то же время чтоб Фарефокс в сетку адобе попадал без проблем. Вот вам ещё пример нада чтобы из под ВАЙНа дримвьюер, мсие и каунтерстрайк в инет попадали а все трояны которые вместе с мсие установятся чтобы попасть в интернет сперва бы спрашивались. (зачем мне мсие? а потому что я вебмастер и мне надо видеть _как_ увидят будущий сайт секретарши и домохозяйки). Так что вопрос про фаревол блокирующий по конкретным прложениям отнюдь не праздный. Я может плохо читал но так и не вычитал как с помощью iptables блокировать/пускать в сеть конкретные приложения. Причём очевидно что это возможно так как например FireStarter в окошке "соеднения" показывает ясным по белому какая программа данное соеднене устанавливает (даже для прог запущенных зпод ВАЙНа пишет с://program files/троян.exe) . Вот тут бы остановить это соединеие или пустить ан нет - ибо всем открыт 80й порт либо он всем закрыт. И что делать? (изв за оч много букав)
букв много, но все в тему. давайте стремится к тому чтобы Kubuntu была дружественной.
В Kubuntu/Ubuntu есть встроенный файервол. UFW обзываеться. Просто он по умолчанию выключен. Включаем командой: sudo ufw enable и перезагружаемс комп. Остальное есть во встроенной справке. Кстати не мешало бы и в службах его включить. Для домашнего компа этого вполне должно хватить.
к нему же и фронт-енд есть gufw
Gufw написан на GTK под Gnome и использовать его под KDE невижу смысла, т.к. KDE зделан на QT. Это просто засорение системы. Единственное, если используются еще программы написанные для GTK, тогда да ... можно и фронт-енд заюзать.
Про ufw - вточку) сего добра вполне хватает =)
под виндой юзал консольный wipfw , поэтому ничего принципиально нового впринципе невижу.
+ аутпост лажа , и автору темы на заметку - просмотреть плагины для файрфокса если он хочет себе подобных фишек. из фаеров виндовозных считаю wipfw жжёт , остальное фтопь.Да впрочем и саму винду втопь =)
iptables, ufw. ufw на мой взгляд попроще освоить чем iptables, но оно того стоит! Господа, дружественность не должна быть выражена в том что думать за нас будет программа. В том то вся и прелесть что мы управляем компьютером а не наоборот, соответственно, включаем мозг, читаем маны и доки :) На сколько я успел понять, в линуксе просто работают правила, он не задает глупых вопросов типа, ой тут кто-то в инет собирается вылезать это вы или враги? он просто работает и работает и работает... чему лично я очень рад.
Службы Linux SE задают глупые вопросы. Особенно в мандриве.
FireStarter - полезна для меня, как вылезшего через форточку. конечно, курю по-малу - не без этого.. Но не все легко, ибо первая неделя на убунте. Чего и всем желаю,
Доброго времени суток. Все спасибо) много нового опчерпнул. пойду в убунту.. шаманить
Поставил Линукс, подключил мобильный телефон, настроил, соединился с интернетом. Никаких программ не запускал. Трафик растет. Проверяю по телефону. Отключил проверку обновлений. Заодно установил проверять раз в год. Все-равно трафик растет по ~100 Кбайт в час.
Как все-таки узнать почему растет трафик?
то скорее вссссего сам телефон отправляет пакеты для поддержания сссети штоб припростое соеденение не оборвалось. (мое мнение), фаер волл если чесно хз зачем нужен ни когда с ним не работал как то и не паарился по этому поводу, гдет выше было написано просто так не кто не полезет :) или чота в таком духе...но вссе рано надо почитать и попробыввать попользоваться.
На форуме обсуждалось, есть прямые указания как посмотреть, что использует траффик.
Ключевые слова "Трафик, уходит, Tor" (там у человека, был поставлен TOR, а он удивлялся, куда это траффик девается).
Для общего развития рекомендую понять теорию... ведь как говаривал Бригадир: "Практика без теории - фуфло, но и теория без практики - то же самое" (за точность цитаты не ручаюсь)... начните с простого:
Межсетевой экран
В низу статьи есть ссылки на сопутствующие темы как в самой википедии, так и на сторонние ресурсы ))) В общем думайте головой, прокачивайте интеллект и не страшны вам будут угрозы современнохо интерету )))
Отличная на мой взгляд статья про маскарадинг iptables, ufw
http://mirspo.narod.ru/firewall.html
1) В Linux многие приложения запрашивают сетевой доступ: некоторые получают справку из сети, некоторые требуют установки дополнительных плагинов/библиотек/пакетов, пакетные менеджеры ищут обновления, пакеты, зависимости. Фаерволл нужен только для того, чтобы приложения не передавали некоторые типы информации.
2) Блокировка flash и cookie должна происходить в браузере. Для фаерфокса можно поставить прекрасную троицу: FlashBlock, FlashKiller, Adblock Plus. В Опере есть встроенные инструменты блокировки, в Хроме можно подключить одноимённые первому и третьему плагины.
3) Большинство сотовых операторов округляют трафик до 100 кб. Т.е., если мы скачиваем страничку весом 20 кб., с нас всё-равно снимают 100 кб. Если трафик проверяется тестом, то скорее всего, телефон держит соединение, отправляя и принимая свои пакеты. Если используются программы обмена мгновенными сообщениями, почтовые программы, апгрейдер системы, то возмущаться нет смысла: они привыкли держаться онлайн.
Давно не смотрел, но раньше был такой фронтенд - назывался firewall builder. Интерфейс не Outpost, а скорее Checkpoint или MS ISA. Раскурите ее - можно будет смело в админы идти.
Вы ещё антивирус под вайн поставьте и жалуйтесь, что не работает о_0
Мне бы руки прямые, чтобы хоть один вирус запустить...
Личико для ufw - gufw
Предлагаю накакатать нормальную тему о файрволах в Linux, эту же выпилять.
.. и не забыть упомянуть ferm, ня кавай ? :D
от фаервола очень хочу что бы он мне задавал вопросы типа, ой тут кто-то в инет собирается вылезать это вы или враги? и что бы до моего распоряжение блокировал все и вся.
подскажите какой firewall имеет графический интерфейс с таким функционалом ?
на борту имею kubuntu 11.10
Такого типа фаеров нет.
Откройте все порты которые только найдете и затаитесь за углом в логах.
Дак так и сделанно какбе.
я не правильно и не до конца выразился, мне нужно что бы некая программа без передыху следила за сетевой активностью, и абсолютно любое приложение или какой скрипт или еще что там может быть которое пытается выйти или войти сообщала мне с вопросом разрешить или нет, а до момента моего подтверждения блочила бы все до моего решения.
вот к примеру firefox я запустил, он бац и обновления начал качать, а тут от куда не возьмись ху...к и фаер его раз два и заблочил, и тут же мне докладывает, что какой то там firefox пытается в нет выйти.
Логи глянуть это конечно хорошо, но мне нужно что бы фаерволл формировал удобную базу разрешений и запретов в процессе моего взаимодействия с системой, постепенно и поэтапно.
|Дак так и сделанно какбе.
может так и сделано, но с фаерволом получаеться двойной контроль, даже если будет запущен скрытый сетевой процесс, который ты не заметишь, то в любом случае о нем доложит фаерволл, сообщения которого нельзя не заметить и пока ты ему не подтвердишь все приложения запушенные от имени тебя рута или системы будут заблочены.
п.с. понимаете я с компам хочу общаться по средствам елозанья пальцев по сенсорному экрану, в связи с чем горю желанием все сделать большим и максимально удобным.
пример работы такого фаерволл из винды программа Comodo Firewall, немного соответсвует моим требования. Хочу хотя бы такую под kubuntu.
Я бы советовал почитать о том, каким образом работает фаервол в unix-like системах. Здесь не работают на уровне программ. Здесь работают на уровне портов. А исходя из того, что возможность запуститься имеется только у файла, которому сам пользователь дал на это право, становится понятна причина отсутствия вирусов. Как и отсутствия необходимости такого фаервола, который бы работал на уровне программ, а не на уровне портов.
Необходимости жестокой нет. Единственное, экономить траффик было бы гораздо удобнее. А то получается, что самый удобный способ - поднять локальный прокси =)
Не улавливаю каким образом можно экономить трафик с помощью фаервола. Тогда уж действительно отключить обновления. Остальное всё глупость несусветная.
На поползновениях тех приложений в нет, которым для работы это не нужно. В линуксах это, конечно, встречается гораздо реже, но бывает. А автообновления я первым же делом вырубаю =)
А мне бы было интересно следить за теми, кто ломится ко мне извне. И да. вайн и все что в нем может работать возникает иногда необходимость контролировать. Не запрещать, не разрешать все подряд, а именно контролировать. Хотя я уже и не помню когда последний раз его запускал.
Так и следи, раз интересно. Хочешь логи читать в отдельном окошке -- поставь firestarter. И будет тебе счастье.
iptables же!
покупать и ставить винду 7, сносить кубунту любую.
Такого маразма в юнихсистемах не бывает в природе, по причине разного подхода к организации файрвола.
Сидел себе ночью, сидел... Зашел сюда почитать... От этой темы в моем мозгу случился kernel panic :(
И нафига *buntu фаерволл? А трафик уходит на поддержку соединения. Отправляются и принимаются пакеты информации. Уверяю, на Windows будет точно так же. (хотя если память не изменяет жрет форточка поболее 100кб в час)
Помню, у меня с включённым фаером и отключёнными обновлениями хрень сожрала метров 200 после включения о__0 С тех пор она была отключена от интернета вообще))
Так видать инфу щпионам сливала))))
Ога.
Та она еще любит сама обновления и статистику об использовании иногда включать. Все друзья с 3g матерятся по этому поводу, но с форточек слазить не хотят.
Н-да, ругань однако. Надо просто объяснить человеку, что в отличие от предыдущей системы, тут особо не надо опасаться не авторизованной инициативы от компа (если не косячить в настройках). На худой конец можно установить сетевой мониторчик на десктоп. И типа смотреть если интерестно
я вас не понимать, мне нужна графическая оболочка для быстрого управления с помощью сенсорного экрана, как вы себе предстовляете редактирование через terminal - config на ходу ?
хотя бы как в android os - DroidWall, хотя он не особо удобен, просто сетевой мониторчик меня не устроит, т.к. я конечно же забью смотреть, че там куда конектит.
Хочу иметь возможность все настроить как через terminal, так и через граф. интерфейс, и что бы возможности были одинаковыми.
знаете, ребята, что-то мне подсказывает, что клиент нас просто троллит.
я не тролю, я согласен на удаление всех моих сообщений в этой теме, только скажите мне список firewall прог с гафическим интерфейсов, желательно ориентированных под палец.
если человека интересует графическое управление, зачем ему усиленно втирать что гораздо удобнее все вручную через консоль прописать.
успокойся уже, фронт-эндов к iptables в том виде, в каком ты хочешь, в природе не существует!
а это вообще реально сделать ?
кто-нибудь сможет сделать ?
Нет ничего нереального. Наверняка найдется уйма вольнонаемных программистов, готовых за ваши деньги исполнить любой каприз.
Хотите получить софт с вашими пожеланиями и хотелками? Наймите пару программеров, ведь и люди из свободного сообщества хотят кушать, за просто так Вам ни кто ни чего не напишет и не создаст, по щучьему вилению только в сказках бывает))))
Вообще, что бы не было обид рекомендую почитать историю о том как образовалось свободное сообщество, и от куда взялись все те программы которыми мы с вами пользуемся бесплатно и на основе свободных лицензий.
Сделать можно всё. Вопрос в другом: под данной системой нету необходимости в таком мониторинге. Абсолютно другая идеология работы с сетью.
Я тоже, как пришёл сюда, хотел чего-то подобного. Вся логика моего общения с системами от мелкомягких говорила мне, что необходимо контролировать исходящий трафик. И та же логика говорила о том, что это надлежит делать на уровне программ. Однако, общение с данной системой убедило меня в обратном: контроль активности программ не имеет смысла. Разумеется, если ты не извлекаешь из и-нета готовые бинарники непонятного происхождения и не запускаешь их сам (предварительно выдав права на запуск).
Чё эта??? Все он удобен. А нужен он там лишь потому, что весь бесплатный софт имеет рекламу (которая берется из инета), плюс всякие маркеты и подобное в которых нет функции отключения от сети. Да и удобен он, у меня трем рогам дано разрешение на выход в тнет через мобильную сеть, и еще десятку через вайвай, все остальные идут лесом.
Но только вот кубунту не андроид, и безспросу в инет не полезет. Сам только недавно с мобильного инета слез, проблем с утеканием трафика замеченно не было.
Но если Вам так все это принципиально, то ставьте на здоровье, только перед тем как суда писать нужно было поиск то поюзать немного, а то дайте и все тут))))
sudo apt-get install firestarter
И еще один
sudo apt-get install gufw
Пробуйте, отписывайтесь.
ЗЫ короче все есть, только всего то нужно поиском научится пользоватся, и проблемы уйдут сами собой))))
Это же просто фронт-энды к иптабле. Они не занимаются самообучением.
Эт я знаю))) ну человеку ж гуёв надо)))
А для самообучения нужно сначало искусственный интеллект из исходников собрать
дык коннектить будет только то, что скажешь, не скажешь и не будет. firewall здесь нужен скорее как защита снаружи от всяких кулхацкеров щупающих порты. ну и порты какие-нибудь пробросить. изнутри без прямых указаний никто и не полезет.
Вот. Именно сигналить о том что кто-то ломится извне. Может этим не файрвол должен заниматься, а какая-нибудь другая прога?
Годня тема для срача.
http://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B9_%D1%8D%D0%BA%D1%80%D0%B0%D0%BD
для тех кто в танке и не слышал про википедию.
Не уловил смысл ссылки. У меня Т34.
препятствование получению закрытой информации из защищенной подсети, а также внедрению в защищенную подсеть ложных данных с помощью уязвимых служб; А какая же программа занимается тогда сигнализированием? Или это входит в расширенные возможности?
прочитал статью.
Вывод.
sudo apt-get install firestarter
и счастье есть.
только русифицировать его еще неплохо было бы, но делается все элементарно.
+иногда ругается на доступ к журналу событий.
лечится просто:
sudo gedit /etc/rsyslog.d/50-default.conf
и правим строчки:
#*.=info;*.=notice;*.=warn;\
# auth,authpriv.none;\
# cron,deamon.none;\
# mail,news.none -/var/log/messages
просто раскоменитурем эти строчки(удаляем #).
сохраняем файл и закрываем.
перезапускаем rsyslog
sudo restart rsyslog
по поводу руссификации тоже просто:
скачиваем руссификатор:
sudo wget http://dl.dropbox.com/u/30956517/firestarter/firestarter.mo
и устанавливаем его:
sudo mv firestarter.mo /user/share/locale/ru/LC_MESSAGES/firestarter.mo
и все. счастье есть. все блочит, сам все контролит.
Настройка элементарная.
удачи.
ufw полущ!
iptables полущ!
отчего firestarter может виснуть?
От самого факта своего существования, вестимо! В iptables такого нет.
KDE control module for UFW (kcm-ufw) PPA
Отправить комментарий