Prosty firewall dla stacji roboczej

Nowe aktualne opisy i poradniki
Awatar użytkownika
Yampress
Administrator
Posty: 6365
Rejestracja: 09 sierpnia 2007, 21:41
Lokalizacja: PL

Prosty firewall dla stacji roboczej

Post autor: Yampress »

Przedstawiam dziś bardzo prosty firewall używany przez mnie na desktopie. Jeśli nie potrzebujemy udostępniać komuś samby, ftp lub innych usług w sieci lokalnej, to taki firewall w zupełności wystarczy.


DO DZIEŁA
Wszystkie poniższe polecenia wykonuje jako root.


Wpisy dodaje do /etc/rc.local


Kod:
echo "Starting firewall"

iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Wpisy umieścić przed linijką exit 0 w tym pliku



Co robi taki firewall...

Na początku przekazuje komunikat, że się uruchamia :D Potem blokuje wszystko co chce wejść do naszego komputera oraz pozwala wejść tym połączeniem, które sami nawiązaliśmy... Nic więcej nie potrzeba.


I to by było na tyle. Firewall uruchamia się podczas startu systemu. Usługi nie trzeba zamykać, gdyż nie pełni ważnych funkcji na systemie plików ani funkcji serwerowych/bazodanowych. W końcu desktop nie ma pootwieranych żadnych gniazd i nie wpuszcza na nie żadnego ruchu. Wyłącza się komputer firewall wraz z zamknięciem systemu znika z pamięci.
Kunero
Posty: 23
Rejestracja: 26 stycznia 2019, 19:30

Re: Prosty firewall dla stacji roboczej

Post autor: Kunero »

Czy mógłbyś pokazać co wyświetla poniższe polecenie?

Kod: Zaznacz cały

#iptables -L
Jestem ciekaw jak to u Ciebie wygląda, bo jeśli tak samo jak u mnie to jestem spokojny.
Awatar użytkownika
lizard
Beginner
Posty: 287
Rejestracja: 08 lutego 2016, 18:47

Re: Prosty firewall dla stacji roboczej

Post autor: lizard »

Skoro temat został odkopany, proponuję zainstalować pakiet iptables-persistent i zastąpić powyższy skrypt plikiem /etc/iptables/rules.v4:

Kod: Zaznacz cały

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
Wszystkie zmiany w regułach można dokonywać poleceniem iptables i zapisywać - jako root - do powyższego pliku poleceniem iptables-save > /etc/iptables/rules.v4. Można też modyfikować plik reguł i wprowadzać je w życie poleceniem - również jako root - iptables-restore < /etc/iptables/rules.v4.
Awatar użytkownika
Yampress
Administrator
Posty: 6365
Rejestracja: 09 sierpnia 2007, 21:41
Lokalizacja: PL

Re: Prosty firewall dla stacji roboczej

Post autor: Yampress »

[root@debian /home/yampress]# iptables -v -L
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
238 34627 ACCEPT all -- lo any anywhere anywhere
23816 28M ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
[root@debian /home/yampress]#
Zablokowany