lamerskie pytania ad. firewall

Dyskusje o wszystkim co służy ochronie systemu i danych przed nieautoryzowanym dostępem.
Awatar użytkownika
MonaLu
Serdeczny Borsuk
Serdeczny Borsuk
Posty: 114
Rejestracja: 23 cze 2010, 17:27
Płeć: Kobieta
Wersja Ubuntu: inny OS
Środowisko graficzne: Inne
Architektura: x86_64

lamerskie pytania ad. firewall

Post autor: MonaLu »

Witam,

Wzięłam się w końcu za ustawienie firewalla... niepotrzebnie, bo plik iptables wyglądał już jak w instrukcji tutaj: viewtopic.php?t=103825, ale ja zaczęłam od końca, bo od uruchomienia ufw. Po restarcie sprawdzam status - nieaktywny.

Kod: Zaznacz cały

sudo iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
Zastanawiam się jaki jest sens ustawiać firewall na filtruj, a potem filtrem wszystko przepuszczać? :o

Kod: Zaznacz cały

mona-lu@monalu-ESPRIMO:~$ sudo update-rc.d firewall defaults 90
update-rc.d: warning: /etc/init.d/firewall missing LSB information
update-rc.d: see <http://wiki.debian.org/LSBInitScripts>
 System start/stop links for /etc/init.d/firewall already exist.
conntrack: Could not determine whether revision 3 is supported, assuming it is.
conntrack: Could not determine whether revision 3 is supported, assuming it is.
conntrack: Could not determine whether revision 3 is supported, assuming it is.
iptables v1.4.21: can't initialize iptables table `filter': Permission denied (you must be root)
Perhaps iptables or your kernel needs to be upgraded.
conntrack: Could not determine whether revision 3 is supported, assuming it is.
conntrack: Could not determine whether revision 3 is supported, assuming it is.
conntrack: Could not determine whether revision 3 is supported, assuming it is.
iptables v1.4.21: can't initialize iptables table `filter': Permission denied (you must be root)
Perhaps iptables or your kernel needs to be upgraded.
mona-lu@monalu-ESPRIMO:~$ /etc/init.d/firewall
iptables v1.4.21: can't initialize iptables table `filter': Permission denied (you must be root)
Perhaps iptables or your kernel needs to be upgraded.
To działa mi ten firewall czy nie? Bo wg HOW-TO przy takich ustawieniach nie działają p2p, czyli torrenty(?), a u mnie kiedyś śmigały... :pt36:

Aha, w HOW-TO ostatnia linijka brzmi

Kod: Zaznacz cały

iptables  -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
, u mnie jest "state" zamiast conntrack i ctstate, ale podobno to nie ma znaczenia?

Z góry dzięki za świeczkę! :)
Specjalistka od automagicznej samonaprawy sprzętu. ;)

#Bywają takie chwile w życiu człowieka, kiedy żadne radio nie gra jego ulubionej piosenki.
jack6699
Piegowaty Guziec
Piegowaty Guziec
Posty: 21
Rejestracja: 21 paź 2014, 18:59
Płeć: Mężczyzna
Wersja Ubuntu: 14.04
Środowisko graficzne: KDE Plasma
Architektura: x86_64
Kontakt:

Re: lamerskie pytania ad. firewall

Post autor: jack6699 »

Na twoim miejscu bym użył "Gufw" , to jest nakładka graficzna na ufw. Możesz na dodawać reguły blokady lub pozwolenia .
Awatar użytkownika
MonaLu
Serdeczny Borsuk
Serdeczny Borsuk
Posty: 114
Rejestracja: 23 cze 2010, 17:27
Płeć: Kobieta
Wersja Ubuntu: inny OS
Środowisko graficzne: Inne
Architektura: x86_64

Re: lamerskie pytania ad. firewall

Post autor: MonaLu »

jack6699 pisze:Na twoim miejscu bym użył "Gufw" , to jest nakładka graficzna na ufw. Możesz na dodawać reguły blokady lub pozwolenia .
Eeee... Dzięki, ale to, że zadaję lamerskie pytania, nie znaczy, że potrzebuje lamerskich rozwiązań! ;) Najpierw chcę wiedzieć, czy firewall działa i czy jest prawidłowo skonfigurowany do użytkowania.. lamerskiego, znaczy poczta, przeglądarka, skype. Innymi słowy, czy to normalne, ze jest policy DROP, a potem ACCEPT anywhere... Jak się okaże, że tak, to... nie mam więcej pytań! :)

EDIT:
Użyłam groszku między uszami i palców do wypytania wujka G. i wyszło mi, że to tu

Kod: Zaznacz cały

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
oznacza, że: 1. pakiety przychodzące są olewane, chyba, że pochodzą z interfejsu komunikacji międzyprogramowej loopback, wtedy są akceptowane; 2. pakiety do przekazania są traktowane podobnie, a wychodzące są akceptowane. 3. zasada

Kod: Zaznacz cały

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere        
odnosi się właśnie do loopbacku.

Poprawcie mnie, jeśli się mylę i thanks to: https://help.ubuntu.com/community/Iptab ... ular_basis (ku pamięci! ;))
Specjalistka od automagicznej samonaprawy sprzętu. ;)

#Bywają takie chwile w życiu człowieka, kiedy żadne radio nie gra jego ulubionej piosenki.
jack6699
Piegowaty Guziec
Piegowaty Guziec
Posty: 21
Rejestracja: 21 paź 2014, 18:59
Płeć: Mężczyzna
Wersja Ubuntu: 14.04
Środowisko graficzne: KDE Plasma
Architektura: x86_64
Kontakt:

Re: lamerskie pytania ad. firewall

Post autor: jack6699 »

MonaLu pisze:
jack6699 pisze:Na twoim miejscu bym użył "Gufw" , to jest nakładka graficzna na ufw. Możesz na dodawać reguły blokady lub pozwolenia .
Eeee... Dzięki, ale to, że zadaję lamerskie pytania, nie znaczy, że potrzebuje lamerskich rozwiązań! ;) Najpierw chcę wiedzieć, czy firewall działa i czy jest prawidłowo skonfigurowany do użytkowania.. lamerskiego, znaczy poczta, przeglądarka, skype. Innymi słowy, czy to normalne, ze jest policy DROP, a potem ACCEPT anywhere... Jak się okaże, że tak, to... nie mam więcej pytań! :)

EDIT:
Użyłam groszku między uszami i palców do wypytania wujka G. i wyszło mi, że to tu

Kod: Zaznacz cały

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
oznacza, że: 1. pakiety przychodzące są olewane, chyba, że pochodzą z interfejsu komunikacji międzyprogramowej loopback, wtedy są akceptowane; 2. pakiety do przekazania są traktowane podobnie, a wychodzące są akceptowane. 3. zasada

Kod: Zaznacz cały

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere        
odnosi się właśnie do loopbacku.

Poprawcie mnie, jeśli się mylę i thanks to: https://help.ubuntu.com/community/Iptab ... ular_basis (ku pamięci! ;))
Nie lamerskie tylko łatwiejsze do zrealizowania ;)

Jak chodzi o ten Iptables , zajrzyj tu :
http://www.debian.pl/entries/162-Prosty ... i-roboczej

A wychodzi na kompie to :

Kod: Zaznacz cały

jacek@none:~$ sudo iptables -L
[sudo] password for jacek: 
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination    


a po drugie, wpisuj regułki do /etc/rc.local
przed "exit 0"

Po co tworzyć podobne pliki, jak możesz już użyć ten co już posiadasz.
Awatar użytkownika
jacekalex
Gibki Gibbon
Gibki Gibbon
Posty: 4674
Rejestracja: 17 cze 2007, 02:54
Płeć: Mężczyzna
Wersja Ubuntu: inny OS
Środowisko graficzne: MATE
Architektura: x86_64

Re: lamerskie pytania ad. firewall

Post autor: jacekalex »

@MonaLu

Tu masz najprostsze możliwe wyjaśnienie:
https://pl.wikibooks.org/wiki/Sieci_w_L ... k%C5%82ady

Ja bym radził w debianokształtnych wpakować skrypta z firewallem jako /etc/network/ip-pre.up/firewall.sh
(tam skrypt musi mieć uprawnienia do wykonania - chmod 700):

Kod: Zaznacz cały

sudo chmod 700 /etc/network/if-pre-up.d/firewall.sh
i powinien się ustawić automatycznie przy starcie sieci.

Po utworzeniu takiego skrypta i restarcie kompa sprawdź, czy zaskoczył poleceniem:

Kod: Zaznacz cały

sudo iptables -S
, u mnie jest "state" zamiast conntrack i ctstate, ale podobno to nie ma znaczenia?
ma znaczenie, kiedyś był moduł state, a teraz jego funkcję przejął moduł conntrack, to jest po prostu inny zapis, aktualna poprawna wersja:

Kod: Zaznacz cały

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
To najprostsza możliwa opcja.

Pozdro
:craz:
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux :)
ODPOWIEDZ

Wróć do „Bezpieczeństwo Ubuntu”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 6 gości