Чтобы настроить простой межсетевой экран, не обязательно разбираться с тонкостями работы netfilter или изучать синтаксис iptables. Можно воспользоваться более простой в использовании конфигурационной утилитой ufw, (если пакет не установлен), поставьте его с помощью команды
sudo aptitudet install ufw
Программа очень проста в использовании, для включения межсетевого экрана достаточно отдать команду, выполняется единожды при установке в дальнейшем стартует вместе с системой
sudo ufw enable
Для его отключения:
sudo ufw disable
Далее запретить входящие соединения при помощи команд:
sudo ufw default deny
можно еще
sudo ufw deny ssh
или
sudo ufw allow ssh
Разрешить
sudo ufw default allow
или
Просмотр состояния
sudo ufw status
Просмотр доп. инфы.
sudo ufw status verbose
Отлючение лог ведения файлов
sudo ufw logging off
Включение логов
sudo ufw logging on
Если перезагрузившись status не активен, то можно прописать в
sudo nano /etc/ufw/ufw.conf
ENABLED=yes
вместо no
Так же можно посмотреть файл с дефолтными настройками ufw
nano /etc/default/ufw
не знаю есть ли толк, но статус теперь всегда активен, если добавить программой rcconf или любой подобной утилитой ufw в автостарт
В общем порядок самой простой настройки таков 1) Включение, 2) 3апрет на входящии и все далее можно перезагрузившись посмотреть статус в подробностях.
Обратите внимание, что речь здесь идёт именно о соединениях, а не о входящих пакетах вообще — после команды sudo ufw default deny инициировать входящее соединение с вашей машиной станет невозможно, при этом входящие пакеты для соединений, инициированных вами, приниматься будут. Например, будет работать “аська” или торрент-клиент, но на машину нельзя будет “зайти” по telnet или http. Кроме того, ufw позволяет добавлять собственные правила фильтрации трафика, например команда:
sudo ufw allow from 192.168.0.0/24
открывает полный доступ к вашей машине из сети 192.168.0.0/24 (обычно подобные адреса используются для организации домашней сети, хотя у вас они могут быть другими). Запретить доступ, скажем, к 80-му tcp-порту (его слушает веб-сервер) можно следующим образом:
sudo ufw deny 80/tcp
или с помощью iptables
iptables -I INPUT 1 -p tcp --dport 80 -j DROP
Можно разрешать или запрещать доступ к портам для конкретного диапазона ip-адресов, работать с группой портов, удалять созданные правила и так далее. Притом все изменения применяются немедленно и сохраняются после перезагрузки компьютера. Для получения подробной информации по синтаксису ufw наберите команду:
man ufw
Ufw позволяет создавать профили приложений. в которых можно указать все порты которые используются и удобно добавлять их в правила. Так к примеру можно создать профиль для веб-сервера Apache, указав что слушает он 80 и 443 порты по протоколу tcp. Профили приложений являются текстовыми файлами и могут быть отредактированы любым текстовым редактором. все файлы хранятся в директории /etc/ufw/applications.d
Вывести список профилей можно с помощью команды
sudo ufw app list
Доступные приложения:
Доступные приложения:
OpenSSH
Детальную информацию по профилю можно просмотреть с помощью команды
Детальную информацию по профилю можно просмотреть с помощью команды
sudo ufw app info OpenSSH
Профиль: OpenSSH
Профиль: OpenSSH
Название: Secure shell server, an rshd replacement
Описание: OpenSSH is a free implementation of the Secure Shell protocol.
Порт: 22/tcp
Добавление правил для приложения, команда
sudo ufw app default allow|deny OpenSSH
После добавления или изменения профиля приложения (в файле) необходимо дать знать файрволу о новом профиле
Добавление правил для приложения, команда
sudo ufw app default allow|deny OpenSSH
После добавления или изменения профиля приложения (в файле) необходимо дать знать файрволу о новом профиле
sudo ufw app update OpenSSH
и готово.
Можно в файле hosts.deny (/etc/hosts.deny) раскоментировать строку #ALL: PARANOID
Предохранение вашей системы от ответов на ping запросы, отключение широковещательных сообщений и включение предупреждений обо всех неправильных сообщениях.
и готово.
Можно в файле hosts.deny (/etc/hosts.deny) раскоментировать строку #ALL: PARANOID
Предохранение вашей системы от ответов на ping запросы, отключение широковещательных сообщений и включение предупреждений обо всех неправильных сообщениях.
sudo nano /etc/ufw/sysctl.conf
и исправить 0 на 1
# Ignore bogus ICMP errors
net/ipv4/icmp_echo_ignore_broadcasts=1
net/ipv4/icmp_ignore_bogus_error_responses=1
net/ipv4/icmp_echo_ignore_all=1
Затем перезагрузить сеть
sudo /etc/init.d/networking restart
и готово.
Просканировать порты на открытые можно на онлайн сервисах или с помощью программы nmap
sudo nmap -sT 192.168.1.100
или
sudo nmap -p1-65535 192.168.1.100
ip ставится на который настроен интернет
sudo nmap -sT 192.168.1.100
или
sudo nmap -p1-65535 192.168.1.100
просканирует все порты системы
или
такая фигня с этим файерволом ufw, я его удалил и он не будучи в системе держал порты закрытыми, целый час не мог догнать почему у меня в роутере не работает Upnp и Forwarding. Правда в меню он был gufw, сборку я брал готовую, возможно был демон хз...
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалитьда тоже не использую его давно и сношу при новой установке, iptables только в системе. Ксати хорошая статья по настройке iptables
ОтветитьУдалитьhttp://posix.ru/network/iptables/