Firewall

davidoski · Post autor: **davidoski** » 29 kwietnia 2007, 09:29

palin pisze:conf firewalla zależy jak bardzo chcesz mieć zabezpieczony komputer.

palin pisze:zależy do czego używasz komputera czy jest to stacja robocza czy serwer czy restrykcje mają być na internet a może na sieć lokalną.

Chodzi o stację roboczą. (Jak zabezpieczyć serwer to jest powiedzmy dyskusja na osobny wątek). Chodzi o komputer bez sieci lokalnej, Celem jest zabezpieczenie go jak najbardziej się da bez ograniczania swobody korzystania z www (przeglądanie stron, pobieranie małych plików, oglądanie filmów flash i avi przez plugin mplayera), do tego poczta elektroniczna (z hasłem zapisanym w programie pocztowym) oraz protokół bittorent (i może też direct connect, sam nie korzystam, ale innym się na pewno przyda). Czyli można powiedzieć standard jeśli chodzi o korzystanie z internetu. Fajnie byłoby gdyby shorewall uruchamiany był automatycznie przy starcie KDE (nie wiem na razie jak zrobić, żeby Firestarter odpalał się automatycznie bez pytania o hasło administratora - trochę jest to uciążliwe).

Edit:

Doszukałem się wreszcie dobrego firewall-a opartego na iptables, który nie wymaga szczególnej wiedzy do skonfigurowania.

Jest to Guarddog i znakomicie się spisuje. Przede wszystkim nie obciąża systemu jak Firestarter i ma więcej opcji konfiguracyjnych.

Jego opis znaleźć można tutaj
Należy go uruchomić jako root, aby były dostępne wszystkie opcje.

Pozdrawiam

Dominik · Post autor: **Dominik** » 12 lipca 2007, 15:48

Witam
też korzystałem ze stronki shields-up i mam problem: próbowałem zachowanie portu 113 wg. metody ze stronki i niestety

Unsolicited Packets: RECEIVED (FAILED) Your system's personal security countermeasures unwisely attempted to probe us in response to our probes. While some users believe that "tracking down" the source of Internet probes is useful, experience indicates that there is little to gain and potentially much to lose. The wisest course of action is to simulate nonexistence which your system has failed to do. Your counter-probes immediately reveal your system's presence and location on the Internet.

1) na ile jest to groźne?
2) jak temu zaradzić w arno-iptables-firewall lub (w ostateczności) w samym iptables
3) z tego co czytałem port 113 odpowiada za irc i tym podobne, czy też za gg? czy całkowite ukrycie go nie zablokuje możliwości z korzystania z powyższych?

jaSS · Post autor: **jaSS** » 12 lipca 2007, 16:07

Dominik pisze:3) z tego co czytałem port 113 odpowiada za irc i tym podobne, czy też za gg? czy całkowite ukrycie go nie zablokuje możliwości z korzystania z powyższych?

Jeżeli nie wiesz do czego służy ten port to może po prostu wyłącz identa niech na nim nie nasłuchuje.

Nie rozumiem po co zamykać porty zamiast sprawdzić na na nich słucha i wyłączyć aplikacje których się nie używa.

¯eby nie było że piję piane tylko na daremnie to w iptables można to zrobić tak ]iptables -A INPUT -p tcp -i eth1 --destination-port 113 -j DROP[/code]
Oczywiście wstawiając zamiast "eth1" nazwe interfejsu na którym chcesz to zablokować.

Od braku tej usługi na pewno nie przestanie działać irc ani gg po prostu userom pojawi sie "~" w adresie an ircu.

giaur · Post autor: **giaur** » 12 lipca 2007, 21:52

Co do Firestarter - gdzie on zapisuje te regulki? Patrzylem w init.d ale nie znalazlem. Zamierzam wygenerowac sobie cos fajnego i potem wrzucic to na serwer. Ale nie moge znalezc gdzie to jest zapisywne.

Kaka' · Post autor: **Kaka'** » 12 lipca 2007, 22:54

Szukaj w /etc/firestarter

Dominik · Post autor: **Dominik** » 13 lipca 2007, 01:24

jakoś nie mam zaufania do firestartera - niby wszystko ładnie, kilka prostych pytań. Klikasz myszka, a w efekcie zero dostępu do sieci. Gdyby tylko iptables nie był tak trudny (lub miał prostszy podręcznik)
A może zna ktoś lepiej arno-iptables-firewall? W dokumentacji pisze, że to tylko nakładka na iptables, więc zastanawiam się czy mogę bezpiecznie dodać coś do iptables, gdy ten a... działa, czy tez wszystko musze puszczać przez niego? inaczej mówiąc - czy mogę (bezpiecznie) grzebać w iptables równolegle do jakiejś nakładki na nie?

jaSS · Post autor: **jaSS** » 13 lipca 2007, 09:40

Dominik pisze:czy mogę (bezpiecznie) grzebać w iptables równolegle do jakiejś nakładki na nie?

Możesz, a czy "bezpiecznie" to już zależy co wpiszesz i co chcesz osiągnąć ale nie rób tego lepiej na zdalnym komputerze tylko na takim do którego masz dostęp z klawiaturą i monitorem.

Dominik · Post autor: **Dominik** » 14 lipca 2007, 00:54

Dzięki za odpowiedź
jak na razie to jesetm za cieńki na zdalną administracje :-P
A jak to jest z portami? W iptables blokuje je i ukrywam - rozumiem
W /etc/services znalazłem listy który za co ma odpowiadać, ale jak podejrzeć który port za co odpowiada w moim systemie?
I drugie pytanie: poradzono mi, żeby rozdzielić porty tak, by na jeden port przypadał tylko jeden program. A najlepiej, abym jeszcze losowo poprzypisywał te programy do portów. Czy to ma jakiś sens? Co to daje? A jeśli zwiększa to bezpieczeństwo, i jest możliwe to jak to zrobić?

P.S. Jeśli błądze wskażcie to proszę, bo gubie się w kwestiach sieciowych ;-)

chyl-o · Post autor: **chyl-o** » 14 lipca 2007, 07:26

Dominik pisze:ale jak podejrzeć który port za co odpowiada w moim systemie?

Kod: Zaznacz cały

netstat -lnp

Wylistuje Ci który daemon nasłuchuje na jakim porcie.

A najlepiej, abym jeszcze losowo poprzypisywał te programy do portów. Czy to ma jakiś sens? Co to daje? A jeśli zwiększa to bezpieczeństwo, i jest możliwe to jak to zrobić?

Zmiany portów ze standardowych( bo tak zrozumiałem intencję Twojego pytania ) dają Ci to że trochę trudniej ustalić co na jakim porcie siedzi( np zmiana ssh ze standardowego 22 na np 5622 );

w konfiguracji programów( poszukaj w /etc/ ) możesz zmienić port na jakim nasłuchuje dana usługa. Oczywiście pamiętaj że po zmianie dobrze jest zablokować standardowy a dalej odblokować nowy;

Dominik · Post autor: **Dominik** » 14 lipca 2007, 16:07

dzięki - dzisiaj popróbuje
Mam jeszcze jedną, małą wątpliwość co do tej zamiany portów - jak ktoś sie ze mną łączy, to chyba będę musiał go uprzedzić żeby próbował na inny port? Jeśli tak, to co będzie z przeglądaniem sieci ircem itp - czy wystarczy, że po mojej stronie wyjdzie żądanie z innego portu, czy mam się spodziewać kłopotów z łącznością?

Widzę też, czego nie rozumiem: Porty mogę otworzyć; zamknąć; sprawić, by udawały, że ich nie ma (stealth czy jakoś tak). Ale jak to jest gdy łącze się z jakąś usługą-np czytam pocztę. Moja aplikacja ten port otwiera, czy jak? Czy jakiś inny, niezamówiony, pakiet może w tym momencie też przejść do mnie przez taki port?
To co znalazłem w sieci (głównie wiki) jest zbyt ogólne, a na forach zbyt szczegółowe :-(
Skąd Wy bierzecie tą wiedzę? Poradźcie, proszę, jakiś dobry poradnik lub stronkę

Firewall

podmiana i zabezpieczenie portów cd.