Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Mr.X 08. 12. 2013, 22:50:24
-
Ahoj,
můžete mi prosím doporučit firewall pro Linux?
Chytrý idiot řekne: "Nauč se iptables."
Jistě že to (něco) bude TŘEBA nadstavba nad iptables, ale jde o to, že při změně konfigurace JEDNOU do roka pravidelně zapomenu, jak se co dělá a člověk tam pak tříská chyby. Potřebuji něco relativně fail-proof, jede hlavně o čitelnost, abych za rok zase hned viděl, co které pravidlo dělá. Vím, že to je pro někoho obtížně pochopitelné, ale když vidím iptables jednou za rok nebo za dva, tak už vím prd, jak jsem to před nějakou dobou (vy)myslel, holt nejsem tak geniální. Další aspekt je ten, že aby člověk něco udělal dobře, měl by nejprve získat nějakou praxi, nauč se iptables je jedna z těch rad chytrých idiotů, kteří předpokládají, že se člověk chce dokolečka učit to a samé a že to klidně napoprvé bez praxe dá! Ne, to není můj případ! Prosím, potřebuji něco dostatečně přehledného!
Zase jsem čučel do IPtables a pár pravidel, která jsem tam dal někdy v roce 2010 a jsou mi aktuálně naprostou záhadou.
Co dělají? Netuším. Proč jsem je tam dal? Nemám páru. Tenkrát jsem poslechl chytráky a nabušil to ručně, fungovalo to, ale teď, po třech letech, nemám vůbec páru, co to dělá.
Dík za rady.
PS: Nemusí to hned být blbuvzdorné webové klikátko, kvůli kterému budu na serveru rozjet kompletní LAMP nebo instalovat Xserver.
Prostě něco mezi.
-
Jestli se obejdete bez ipv6, tak Firehol. Ale pak musite ip6 ze systemu uplne vybourat. A az ho jednou budete potrebovat, tak kdyz bude vhodna konstelace, tak do te doby podporu snad autori dodelaji.
-
Nebo hledáš něco jako tohle? http://www.fwbuilder.org (http://www.fwbuilder.org)
-
Přečetl jsem si dokumentaci k FireHOL a vypadá to přesně jako to, co chci.
Fakt na to nemám, učit se jednu stejnou věc pořád dokola.
Ale vyzkouším i ten FWbuilder!
Moc díky!
Už jsem byl zase zpocený strachy, že budu dva dny laborovat s IPtables ručně.
Ono na tom toho až tolik není, ale je to pokaždé hrozný stres a otrava se to učit od znova.
-
Firehol je dost neudrzovany, pouzivam jeho fork
http://www.sanewall.org/
syntaxe konfigurace je shodna.
-
Jo a kdyby to někdo hledal, tak tady to má pěkně naservírované:
http://www.root.cz/clanky/firehol-nejsnazsi-firewall/
http://www.heronovo.cz/firehol/
http://wiki.ubuntu.cz/firewall_router_gateway
http://gama.fsv.cvut.cz/gwiki/FireHOL
-
Nuz, a presne z tohto dovodu mam na "routeri" FreeBSD a firewall pf.
pf.conf sa jednoducho da pochopit aj po roku.
-
Jediná použitelná rada ve vašem případě je: najměte si na to někoho, kdo to mu rozumí. Způsob zápisu pravidel pro iptables je to nejmenší, co pro nastavení firewallu potřebujete znát. Hlavně potřebujete vědět o tom, jak fungují sítě, a jak fungují sítě v Linuxu. Přičemž ovládací program iptables je velmi tenkou obálkou nad částí síťování v jádře, takže to potřebujete znát tak jako tak. Pokud nevíte, co některá pravidla vašeho firewallu znamenají, a nedokážete to zjistit ani z dokumentace vašeho nastavení firewallu, žádný jiný způsob konfigurace vás stejně nezachrání.
Další věc je, pokud nevíte, k čemu jsou pravidla ve vašem firewallu -- jak jste vůbec přišel na to, že nějaká pravidla do firewallu potřebujete? Co za tím firewallem máte tak důležitého, že chcete přidávat redundantní stupeň ochrany, a zároveň tak nedůležitého, že se s tím chcete patlat sám, i když tomu nerozumíte? Nebo tam máte aplikaci, která se nedá správně nakonfigurovat, a musíte to obcházet na firewallu?
-
Jirsák, přeležel si pindíka a má špatnou náladu, kecá z hladu nebo nedovede pochopit psaný text? Ten člověk píše, že se to vždycky naučí a po pár letech už zase neví. Zkusil nad tím dnes přemýšlet! Jirsák! Tvoje rada říká, že by tazatal taky měl udělat výběrové řízení, aby našel někoho, kdo tomu fakt rozumí. Než by připravil výběrko, tak se to naučí! Problém není v tazateli, ale v iptables, proto je tolik různých onanovátek, aby se to dalo nastavit lidsky! Taky používám Firehol a taky nebudu výběrko dělat!
-
Chcete říct, že je možné za pár hodin rozumět sítím na docela dobré úrovni, a pak to zase za rok zapomenout? Chcete říct, že když někdo neví, proč má nějaká pravidla ve firewallu, že mu nějaký nástroj pomůže, aby to věděl? Maximálně zařídí, že bude dotyčnému jedno, proč tam ta pravidla má – jenže to už je pak mnohem lepší a bezpečnější nemít tam firewall vůbec.
Jak jsem psal, konkrétní způsob, jakým se konfiguruje firewall, je jen nepodstatný detail. A v tom podstatném – pochopit ty principy – vám žádný nástroj nepomůže.
To, že vy používáte Firehol, nevypovídá vůbec nic o tom, zda máte firewall nakonfigurovaný tak, aby k něčemu byl.
-
Koukni na PFsense, Monowall nebo brazilfw. Vse se ovlada pres web rozhrani. Nejlepsi se mi zdal ten PFsense a je docela udrzovany.
-
Já používám UFW, neboli Uncomplicated firewall. V Ubunutu a derivátech je tuším rovnou nainstalovaný, stačí 'ufw enable' a pak příkazy typu 'ufw allow proto tcp from 156.198.0.0/16 to any port 22' přidávat pravidla. Má taky pár konfiguráků kam jdou napsat i iptables-like příkazy a rozjet se na něm vpoho dá i maškaráda.
-
Koukni na PFsense, Monowall nebo brazilfw.
Jestli se nemylim, to jsou vsechno kompletni mini-distribuce (bsd nebo linux). To asi neni to, co hleda tazatel...
Jinak pres vsechny rady, ja se priklanim k iptables. Skript si udelam jednou, a kdyz si jej dobre okomentuju, neni mozne, abych za 10 let nevedel, co ktere pravidlo dela. To pak stejne muzu zapomenout smysl konfiguracniho souboru trebas pro pfsense. Ale kdyz nekto potrebuje nake ty "udelatka", ok. Dle libosti...
-
Jenze tentokrat ma Jirsak pravdu ... pokud tomu nerozumis, tak ti jina varianta tehoz pomuze jak mrtvymu zimnik ... za rok na to budes cumet uplne stejne jako na pravidla v iptables.
Mimochodem, tux je uzasnej v tom, ze se do tech textovych souboru daji psat komentare.
A pokud nevis proc chces nekde nejaky pravidlo, tak to nebudes vedet ani v grafickym provedeni. Tudiz dej nekumu na pivo at ti to nastavi.
-
Doporučuji firehol, iptables jsou super tak pro pošuka, který se v tom rýpe každý den, firehol slouží moc dobře.
-
Zase jsem čučel do IPtables a pár pravidel, která jsem tam dal někdy v roce 2010 a jsou mi aktuálně naprostou záhadou.
Co dělají? Netuším. Proč jsem je tam dal? Nemám páru. Tenkrát jsem poslechl chytráky a nabušil to ručně, fungovalo to, ale teď, po třech letech, nemám vůbec páru, co to dělá.
co takhle napsat si k tomu rovnou i jednoduchou dokumentaci/nápovědu/komentáře k jednotlivým pravidlům? :-) a neplatí to jen pro iptables, ale pro cokoliv, co nějaký ten rok vydrží, nepracuju s tím každý den a chci se k tomu časem vrátit..
-
Programátorská poučka praví, že kód, který potřebuje komentáře, aby byl čitelný, je špatný.
Znám to z vlastní praxe, člověk se to naučí, chápe to a pak přeci nebude vysvětlovat, že a=1 znamená, že mám vložit jedničku do a.
-
Hrozný kecy, že jo... Nic jinýho se k tomuhle napsat nedá. Ty už to fakt neber.
Programátorská poučka praví, že kód, který potřebuje komentáře, aby byl čitelný, je špatný.
-
Mirage, Mirage, kometář není proto, abys tam napsal, že a=1 znamená, že mám vložit jedničku do a, ale proto abys tam napsal, že teď má v a být 1 proto a proto. Takze v mem skriptu, který nahazuje firemní router včetně firawallu, o délce 434 řádků je 139 řádků komertářů, 96 řádků nastavení proměnných a 63 řádků prázdných.
-
...Programátorská poučka praví, že kód, který potřebuje komentáře, aby byl čitelný, je špatný...
Jenze kod komentare nepotrebuje. Komentare potrebuje clovek...
-
Plkejte si dle libosti, pokud mám pravidlo sestavené řekněme z pěti řádků a k tomu řádek komentáře, za nějakou dobu tomu člověk už prostě nerozumí, i když v době, kdy to psal, mu to přišlo snadné jako facka. A zase vypisování pohádek o rozsahu Babičky od Božky Němcové to pak sice řeší, ale jeden na to musí mít náturu, aby to opravoval. Jak už psal někdo výše, blábolte si co chcete, používám firehol a jsem happy.
-
Programátorská poučka praví, že kód, který potřebuje komentáře, aby byl čitelný, je špatný.
Znám to z vlastní praxe, člověk se to naučí, chápe to a pak přeci nebude vysvětlovat, že a=1 znamená, že mám vložit jedničku do a.
Tady ale nejde o komentáře o tom, co ten kód dělá, ale proč to dělá.
Takže např. budu mít u iptables pravidla komentář: „Aplikaci XYZ naslouchající na portu ABC nelze nakonfigurovat, aby naslouchala jen na vybraných IP adresách. Nedostupnost aplikace z internetu je tedy nutné ošetřit následujícím pravidlem firewallu. Až bude aplikace opravena, je možné pravidlo zrušit“. No, a až se ta aplikace opraví a já jí správně nakonfiguruju, můžu to pravidlo zrušit a mít zase prázdný seznam pravidel. Jestli ten prázdný seznam vyrobím v iptables (bez práce), nebo ho někde naklikám, to už je podle mne nepodstatný detail.
Jinak já nezpochybňuju užitečnost nástrojů, které mají zjednodušovat konfiguraci firewallu. Akorát že tazateli nepomůžou, protože pokud neví, k čemu jeho pravidla slouží, není to problém použitého nástroje.
-
Tvůj předpoklad, že mu to nepomůže, vychází z teze, že uživatel je naprostý vůl. Mezi řádky mu píšeš, že je tak blbej, že mu pomůže jen někdo další. Já si naopak myslím, že se ten člověk poučil, vidí, že to je po delší době nečitelné a snaží se to vyřešit. Stejná věc nahlížená za dvou stran. Já bych o něm tvrdil, že je vůl, kdy si to napsal nepřehledn a neokomentoval to. Ty o něm tvrdíš, že je vůl, když už na svojí chybu přišel a snaží se jí řešit. Místo despektu bys mohl přijít s radou, kterou by šlo zakončit slovy ve smyslu, a když už ani tohle nepomůže, tak si na to musíš někoho sehnat, kdo ti to za pivo udělá. To bych přijal, ale jak jsi to napsal, no mně by to urazilo.
-
To jste ale asi četl jiný komentář, než jsem já napsal.
Já v původním dotazu vidím například to, že tazatel netuší, proč ve firewallu nějaká pravidla má. A nebo že se něco jednou za rok učí, když potřebuje firewall změnit. Z toho mi neplyne, že by byl tazatel vůl, ale že prostě nerozumí sítím natolik, aby dokázal firewall rozumně nakonfigurovat. Na tom není nic špatného – ale žádný nástroj to nevyřeší. Ano, existují nástroje (oblíbené jsou zejména na Windows), které o sobě tvrdí, že si v nich neznalý uživatel nakliká firewall. Jenže bezpečnostní přínos takovýchhle nástrojů je v nejlepším případě nulový, zpravidla spíš záporný. Protože firewall prostě nejde rozumně nastavit bez znalosti sítí a bez znalosti toho, co a jak má chránit.
Takže když tomu tazatel nerozumí a rozumět nechce (což je v pořádku), a pokud má pocit, že nějaký firewall potřebuje, tak ať si to nechá nastavit od někoho, kdo tomu rozumí. Kdo si od tazatele zjistí, co má firewall chránit, jak to má chránit a pak jej nakonfiguruje – a je jedno, zda rovnou v iptabels, nebo v nějakém nadstavbovém nástroji. Samozřejmě je taky otázka, proč si tazatel myslí, že firewall potřebuje, a jestli si to myslí správně.
Jinak samozřejmě je možné postupovat i tím způsobem, který je běžný ve Windows – tazatel si někde něco nakliká, vůbec nebude tušit co a proč, ale bude mít dobrý pocit, že „má firewall“. Pokud jde jenom o ten pocit, tak prosím… Ale s bezpečností to nemá vůbec nic společného.
-
Chcete říct, že je možné za pár hodin rozumět sítím na docela dobré úrovni, a pak to zase za rok zapomenout? Chcete říct, že když někdo neví, proč má nějaká pravidla ve firewallu, že mu nějaký nástroj pomůže, aby to věděl? Maximálně zařídí, že bude dotyčnému jedno, proč tam ta pravidla má – jenže to už je pak mnohem lepší a bezpečnější nemít tam firewall vůbec.
Jak jsem psal, konkrétní způsob, jakým se konfiguruje firewall, je jen nepodstatný detail. A v tom podstatném – pochopit ty principy – vám žádný nástroj nepomůže.
To, že vy používáte Firehol, nevypovídá vůbec nic o tom, zda máte firewall nakonfigurovaný tak, aby k něčemu byl.
Rozumnet sitim (na urovni, kterou dany jedinec potrebuje) a pamatovat si zkurvenou syntaxi prikazu iptables, jsou dve ruzne veci. Kdyby nebyly, nikdo by se nenamahal psanim veci, jako Firehol.
-
O syntaxy příkazu iptables vůbec nebyla řeč. Já si většinu parametrů taky nepamatuju, ale když firewall upravuju, tak si jednoduše otevřu manuálovou stránku a na přesný název parametru se podívám. To je přece to nejmenší.
-
O syntaxy příkazu iptables vůbec nebyla řeč. Já si většinu parametrů taky nepamatuju, ale když firewall upravuju, tak si jednoduše otevřu manuálovou stránku a na přesný název parametru se podívám. To je přece to nejmenší.
Jenze treba kvuli jednoduchemu direwallu typu "zahodvsechnokromepingaportu22" to nestoji za tu praci, pokusy a omyly. Prave tim, ze se clovek snazi udelat to v iptables, pricemz iptables nema v malicku, se dopusti zavazne chyby mnohem snaze, nez kdyz si precte man firehol a udela to v nem.
-
Já doporučuji Shorewall :D
Přehledný, jednoduchý, léta podporovaný.
Mě by spíše zajímalo, kde se dají najít nějaké komplexnější stránky pro pravidla pro iptables proti různým typům útoků - např. Xmas, syn-floods, NULL, LAND Attack, WordPress wp-login.php brute force attacks a další. Nenašel jsem stránku, která by se podrobně tímto zabývala - popis jednotlivých útoků, obrana v iptables atd.
-
Jo a kdyby to někdo hledal, tak tady to má pěkně naservírované:
http://www.root.cz/clanky/firehol-nejsnazsi-firewall/
http://www.heronovo.cz/firehol/
http://wiki.ubuntu.cz/firewall_router_gateway
http://gama.fsv.cvut.cz/gwiki/FireHOL
Jsem autorem jednoho ze zmíněných článků a řeknu vám jedno. Po letech zkušeností s nástavbami čehokoliv (v tomto případě iptales) vím, že je mnohem jednodušší se naučit přímo ten základ, než nějaké nastavby.
Ono to totiž pokaždé skončí u toho, že člověk musí umět základy, nástavbu a ještě způsob, jak do toho hrábnout, aby se ta nástavba nezhroutila (tohle platí spíš pro různé konfigurační démony). Takže ve výsledku to spíše přidává práci a člověk potom hledá způsoby, jak tu nástavbu obejít, pokud něco neumí. Skončil jsem se všemi firewall buildery a tam, kde to jde (což jde velmi často), firewall nepoužívám.
Většina aplikací jde zabezpečit a pokud nejde, je otázkou, jestli takovou chci používat.
-
Jakou práci, pokusy a omyly? Pokud z toho udělám rozumné zadání „v příchozí komunikaci povolit jen ICMP zprávy a TCP spojení na port 22“, jsou to tři primitivní příkazy, které s otevřenou manuálovou stránkou nemůžete napsat špatně. Nenapadá mne situace, kdy byste kvůli syntaxy iptables nastavil pravidlo jinak, než jste chtěl. Něco jiného je nutná znalost toho, jak funguje jaderný firewall, tedy jaderná část iptables, ale to musíte znát stejně, ať už je budete konfigurovat jakýmkoli nástrojem.
-
Mě by spíše zajímalo, kde se dají najít nějaké komplexnější stránky pro pravidla pro iptables proti různým typům útoků - např. Xmas, syn-floods, NULL, LAND Attack, WordPress wp-login.php brute force attacks a další. Nenašel jsem stránku, která by se podrobně tímto zabývala - popis jednotlivých útoků, obrana v iptables atd.
Otázka je, jestli má smysl takovou dokumentaci udržovat. To jsou útoky na chyby v jádře nebo chyby v aplikacích, řešením je opravit ty chyby. Firewall je nouzové řešení vhodné nanejvýš do doby, než se chyba opraví – a málokdy je možné ten problém na firewallu odstranit, spíš je to takové záplatování.
-
Jenze treba kvuli jednoduchemu direwallu typu "zahodvsechnokromepingaportu22" to nestoji za tu praci, pokusy a omyly. Prave tim, ze se clovek snazi udelat to v iptables, pricemz iptables nema v malicku, se dopusti zavazne chyby mnohem snaze, nez kdyz si precte man firehol a udela to v nem.
Udela leda prd .. ono to "cosi" vygeneruje a dotycnej pak bude resit, proc mu "neco" nefunguje. Stejne mu nakonec nezbude, nez se podivat na pravidla iptables, ktera z toho vylezou. Velmi casto pak z podobnejch udelatoru lezou sileny zrudnosti ... tusim ze sem onehda testoval shorewall ... a nagenerovalo mi to snad 50 vzajemne provazanych chainu ... blah ... idealni dira ... protoze v tom se nikdo nevyzna. Kdybych to chtel zkoumat, tak si budu tejde kreslit kudy paket vlastne leze ... abych zjistil kde konci ...
-
Pouzivam jiz nejakou dobu (~5let) shorewall (http://shorewall.net/) a oproti iptables s tc je mnohem prehlednejsi (mozna o neco jednodussi presto stale silny, v pripade hodne pokrocilych veci to jde dodat do hooku po startu; oproti jinym nadstavbam toho ale umi opravdu hodne a presto je IMO stale prehledny). Nastaveni je hezky rozdelene do souboru (takze po pul roce kdyz chci neco upravit, tak to rychle dohledam) a dokumentace je v pohode.
To s poctem chainu je pravda - celkove jsem na 54. Ale co jsem se dival, tak jsou dobre pojmenovany (pokud mate normalne pojmenovany zony v shorewall configu) - napr. vpn2net, wifi2loc atp. Mozna to neni na super-bezpecne firemni pouziti, ale na domaci poziti v kombinaci napr. s debianem v tom nevidim problem.