Форум русскоязычного сообщества Ubuntu


Автор Тема: IPtables по умолчанию в Ubuntu  (Прочитано 1625 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн papakota

  • Автор темы
  • Участник
  • *
  • Сообщений: 123
    • Просмотр профиля
IPtables по умолчанию в Ubuntu
« : 19 Май 2015, 05:02:30 »
Здравствуйте,
У меня пару вопросов про брандмауэры в Ubuntu 14.04 Deskop edition.
Как я понял, разобраться с настройками IPtables новичку в Линуксе совсем не просто! Неясно, как обстоит дело с встроенным файрволом в Убунте после её установки по умолчанию? Насколько это всё адекватно и нужно ли вообще тут что-то особо трогать? Это раз...
Второе - по поводу GUI front-end'ов под firewall в Линуксе. Я обратил внимание на пару:
1) GUFW;
2) IPfire.
Ваше мнение. В смысле, насколько они адекватны и реально работают, достаточно ли пользоваться ими не углубляясь в команды самого IPtables.
Что касаемо целей работы - это покамест установить домашний LAMP веб-сервер.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: IPtables по умолчанию в Ubuntu
« Ответ #1 : 19 Май 2015, 07:46:46 »
Из коробки netfilter девственно чист.
Разобраться с работой iptables нужно всего-лишь ОДИН раз. Если повезёт то карма раскроется с первого же прочтения правильного описания. Меня когда-то пробило на этой статейке, потому не перестаю её рекомендовать.
Сразу скажу, что linux тут почти совсем не при чём - главное иметь базовые знания работы сети.
Все GUI-свистелки, ИМХО, для нежелающих разобраться в работе netfilter, но в итоге всё равно приходится этим заниматься (не замечая этого), но уже "через матумбу".

Использование файрволла дело исключительно добровольное. Он защищает сервисы, предоставляемые данной системой. Как именно и от чего защищать тот или иной сервис - тоже нужно знать. А не зная достоинства и недостатки оружия (netfilter) - тяжеловато будет защищаться.
Фактически кнопки "Сделать всё хорошо" - не существует.

Так что сами выбирайте.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн papakota

  • Автор темы
  • Участник
  • *
  • Сообщений: 123
    • Просмотр профиля
Re: IPtables по умолчанию в Ubuntu
« Ответ #2 : 19 Май 2015, 21:36:34 »
Спасибо за ответ, прежде всего!
Что касаемо IPtables, то для новичка, я думаю, это нереально. Нет, т.е. в теории можно выучить и китайский для того, чтобы приехать на неделю посмотреть Пекин, но вопрос в том, стоит ли овчинка выделки. Я с Вами согласен на 100% по поводу понимания общих сетевых приницов, но не согласен в деталях. Ethernet, он и в Windows Server 2012 такой же, но Вы же не станете утверждать, что понимаю общие сетевые приниципы и зная Windows, сразу всё поймешь с Линуксом и IPtables.
Мне, допустим, советовали просто ввести элементарные настройки в UFW/GUFW и это для моих целей (домашний веб-сервер) вполне хватит. Кроме того, есть еще и отдельный программный продукт - IPFire (я так понимаю, что это как бы навороченный файрволл для тех у кого особые потребности, хотя мне и не совсем ясно какие...).
Для обычного десктопного юзанья Убунты, я так понимаю, что можно вообще ничего не делать. А вот если ставить веб-сервер, пусть даже самый простенький...

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: IPtables по умолчанию в Ubuntu
« Ответ #3 : 19 Май 2015, 23:23:07 »
понимаю общие сетевые приниципы и зная Windows, сразу всё поймешь с Линуксом и IPtables.
Вы не различите source address от destination address? Или source port от destination port?
Или не сообразите, что будет в этих полях когда клиент обращается к Вашему вэб-серверу, а что - когда сервер ему ответит? Или проблема в определении действия ACCEPT или DROP?
Я в трёх строках уже написал, то чего новички, в том числе и ВЫ, боятся как чёрт ладана. БОльшая часть защиты строится на этих 3-х слонах. Есть, конечно, и мудрёные фильтры и действия, но они уже по накатанной идут в плане понимания механизма.

А ну, ещё надо понять какие цепочки пакет проходит в разных случаях и назначение таблиц, но это на картинке легко понимается, если понимаете то что выше описал.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн papakota

  • Автор темы
  • Участник
  • *
  • Сообщений: 123
    • Просмотр профиля
Re: IPtables по умолчанию в Ubuntu
« Ответ #4 : 20 Май 2015, 03:21:02 »
Ладно, спасибо за ответ!

Оффлайн peach

  • Участник
  • *
  • Сообщений: 145
    • Просмотр профиля
Re: IPtables по умолчанию в Ubuntu
« Ответ #5 : 27 Май 2015, 13:27:09 »
Ладно, спасибо за ответ!
не бойся, изучить iptables можно быстро, главное понять что требуется.
1. подними свой веб-сервер на Ubuntu
2. подключить к нему по ssh и http, все работает, соединения есть
3. настрой iptables разрешающий только ssh, посмотри что происходит с http
4. настрой действие DROP по-умолчанию для INPUT, посмотри что будет с http
5. в итоге все соединения для которых нет явного разрешения ACCEPT, должны DROP

перестань боятся, не откладывай на завтра

Оффлайн papakota

  • Автор темы
  • Участник
  • *
  • Сообщений: 123
    • Просмотр профиля
Re: IPtables по умолчанию в Ubuntu
« Ответ #6 : 28 Май 2015, 12:06:48 »
Спасибо за ответ! Но я покамест решил ограничиться для начала Gufw. Как я понимаю, там всё есть чтобы иметь минимально приемлемую степень защиты. А пытаться понять высшую математику не зная до конца таблицу умножения было бы несерьёзно с моей стороны. Сорри...

Valan

  • Гость
Re: IPtables по умолчанию в Ubuntu
« Ответ #7 : 28 Июнь 2015, 14:06:22 »
Для создания правил iptables достаточно базовых знаний по работе TCP/IP стека и маршрутизации. Ничего сложного там нет, наоборот все логично и правильно.

 

Страница сгенерирована за 0.09 секунд. Запросов: 24.