[SOLVED] Firewall - zapora nie uruchamia się automatycznie przy starcie

[Heron]

Witam, skonfigurowałem iptables według artykułu howto na tutejszej stronie. Wszystko ładnie dało się wykonać, stworzyć skrypt, wykonać wszystkie polecenia i myślałem że jest ok. Potem odnalazłem polecenie sprawdzające czy zapora jest aktywna, czyli

Kod: Zaznacz cały

sudo ufw status

Ku mojemu zaskoczeniu po restarcie systemu wynik powyższego polecenia wyrzuca:

Kod: Zaznacz cały

status: nieaktywna

Jeśli dam:

Kod: Zaznacz cały

sudo ufw enable

to potem przez dana sesję pokazuje, że jest aktywna ale wystarczy restart systemu i firewall nie startuje, bo po restarcie wywala że status: nieaktywna. A przecież miał firewall startować razem ze startem systemu. Co jest nie tak ? :/

[Mały 1]

Pokaż:

sudo iptables -L

[igotit4free]

Trochę konkretów kolego.
Wg. jakiego artykułu?
Skonfigurowałeś iptables a sprawdzasz ufw?
Może zbierz myśli i daj sensowny opis?

[jacekalex]

Najlepiej niezależnie od sposobu konfigurowania firewalla wklej wynik

Kod: Zaznacz cały

sudo iptables -S

-wystarczy w zupełności ten jeden.

[BIOS]

Mógłbyś napisać jak konfigurowałeś firewall? Było

Kod: Zaznacz cały

sudo apt-get install ufw

?

[Heron]

Skonfigurowałem firewalla na podstawie artykułu który znajduje się tutaj. Tak spreparowany skrypt i wydane polecenia sprawiły, że nie mogłem na stałe aktywować ufw poleceniem:

Kod: Zaznacz cały

sudo ufw enable

i zastanawia mnie dlaczego. Natomiast kiedy nie tworzę tego skryptu /etc/init.d/firewall na podstawie powyższego artykułu kod:

Kod: Zaznacz cały

sudo ufw enable

działa i zapora jest aktywna nawet po restarcie systemu, kiedy jednak jest skrypt stworzony ufw działa przez sesje natomiast po restarcie zostaje wyłączona. Dlaczego tak się dzieje ?
Moje pytanie i chyba w szczególności do administratorów lub innych władających sporą wiedza na temat systemu, czy moglibyście mi podać polecenia dla nakładki ufw która skonfigurowała by mi iptables tak samo jak jest w tym skrypcie i uruchamiała się podczas ładowania ubuntu ? Inaczej mówiąc - czego oczekuję - oczekuję aby firewall czyli ten cały iptables działał jak skonfigurowany poprzez skrypt tworzony w poradniku howto tyle, że nie chciałbym tworzyć skryptu i skonfigurować iptables w ten sam sposób (co skrypt) tyle, że za pomocą odpowiednich poleceń dla nakładki ufw. Czy jest to możliwe ?
PS. Bo rozumiem, że nie da rady utworzyć skryptu /etc/init.d/firewall na podstawie powyższego hotwo i mieć ufw zawsze aktywne przy starcie systemu ? (Wiem, że nie wiele się orientuje w tym temacie ale chciałbym wpisując w konsoli

Kod: Zaznacz cały

sudo ufw status

aby pokazywało mi że jest aktywne i mieć skonfigurowany iptables jak w skrypcie. Czy jest to dobre rozumowanie czy sam nie wiem co chcę do końca zrobić ? :/

[Mały 1]

Wszystko jasne, tylko dlaczego nie wkleiłeś powyższych poleceń?

[igotit4free]

@ Heron:
Ustalmy podstawowe fakty, bo z tego co piszesz wynika, że nie rozumiesz podstawowych rzeczy.
Iptables masz w Ubuntu zawsze i zawsze domyślnie, po każdym restarcie działa.
Inna sprawa, to konkretna polityka działania. Tą ustalasz albo edytując zawartość skryptu, który podlinkowałeś albo używając graficznych nakładek konfigurujących typu Firestarter lub Uwf.

To co robisz, to nonsens.
Albo skonfiguruj firewalla skryptem, albo nakładką.
Co ważne, konfigurujesz raz i zapamiętujesz ustawienia i one obowiązują.

Nie ma potrzeby uruchamiać Firestartera czy Uwf po każdym restarcie.
Skonfigurowana zapora działa, o czym przekonasz się wydając

Kod: Zaznacz cały

sudo iptables -vnL

[Heron]

Ok, zdaję sobie teraz sprawę że o tym całym firewallu wiem nie wiele - w sumie nie wiem jeszcze nic i chyba się za szybko zabrałem za to. Ciekawi mnie tylko czy ta magiczna formułka, czyli:

Kod: Zaznacz cały

#!/bin/sh
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT 
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED

która jest zapisywana jako skrypt, to czy jest możliwość ustawienia zapory iptables za pomocą ufw tak samo jak w tym skrypcie ? Jeśli tak to jak ? Jeśli nie to też dzięki za odpowiedź. I drugie pytanie czy jeśli uruchomię ufw czyli nakładkę na iptables za pomocą

Kod: Zaznacz cały

sudo ufw enable

to czy będzie to sporo odbiegać od tego skryptu utworzonego w artykule howto poradnika na temat firewalla ? PS. Więcej pytań chyba nie będzie, po prostu cały czas zastanawiam się jak zabezpieczyć perfekcyjnie system Ubuntu (perfekcyjnie w sensie możliwości łączenia się z siecią) ?

[jacekalex]

Skrypt jest prawidłowy i na desktopa wystarczy.
Jeśli natomiast chcesz mieć zabawę w stylu klikanie, podgląd polaczeń i powiadamianie w stylu Hit from ..... detected, to wywal skrypt i zainstaluj firestarter.

Za to ufw to jest jedna wielka strata czasu, kolejny Ubuntowy "polepszacz" , który tylko utrudnia zrozumienie istoty firewalla.

Sznurki: viewtopic.php?t=138393
http://www.fs-security.com/docs/tutorial.php

To by było na tyle

[Heron]

Mam ostatnie już chyba pytanie, czy ten fragment magicznej formułki, czyli

Kod: Zaznacz cały

#!/bin/sh
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT 
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED

nie powinien być opatrzony takimi komentarzami jak poniżej:

Kod: Zaznacz cały

### BEGIN INIT INFO
# Provides:          firewall
# Required-Start:    $remote_fs $syslog
# Required-Stop:     $remote_fs $syslog
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Start daemon at boot time
# Description:       Enable service provided by daemon.

#!/bin/sh
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
### END INIT INFO

Ponieważ uruchamiając skrypt bez komentarzy wyskoczył mi jakiś error i link do strony debianowej na które wyczytałem że skrypty powinny zawierać owe komentarze. Czy to jest poprawne ? I pytanie do jacekalex, czy ustawienia zapory iptables, tzn to co testowałeś na grc i za każdym razem pokazywało ci że test zaliczony, to jest dokładnie ten sam skrypt ? Czy coś jeszcze ustawiałeś ? :/ (Chodzi o te testy co kiedyś o nich była mowa tutaj).

[igotit4free]

Jakby to delikatnie powiedzieć ... linie zaczynające się od # nie są brane po uwagę, więc możesz tam równie dobrze zamieścić cytaty z "Ramajany";P

PS. Zaimki wskazujące się odmienia ... pisze się ów, owa, owy, owe w zależności od kontekstu zdania.

[Heron]

Ok, skonfigurowałem firewall`a za pomocą skryptu przedstawionego w poradniku. Niby wszystko działa ale chciałbym się jeszcze upewnić, dlatego po wpisaniu polecenia:

Kod: Zaznacz cały

sudo iptables -vnL

otrzymuję taki informację wynikowe:

Kod: Zaznacz cały

Chain INPUT (policy DROP 47 packets, 9786 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    6   300 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
 2323 2213K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 

Chain OUTPUT (policy ACCEPT 2132 packets, 429K bytes)
 pkts bytes target     prot opt in     out     source               destination 

Proszę czy możecie powiedzieć na tej podstawie czy skrypt działa i firewall jest poprawnie skonfigurowany ? Oraz czy jeśli będę łączył się z różnymi sieciami jak np. poprzez WiFi bezprzewodowo z siecią 'A' oraz za pomocą kabla z siecią 'B' oraz za pomocą WiFi z siecią 'B' to czy firewall (ten skrypt) będzie działał dla wszystkich sieci (inaczej mówiąc w sensie, że nie tylko dla jednej sieci podczas której konfigurowania skryptu byłem doń podłączony tylko będzie działał do wszystkich sieci z jakimi będę miał się przyjemność połączyć podróżując np. po całym świecie, tak) ? Z góry dziękuje za pomoc!

[jacekalex]

Było:
viewtopic.php?t=138393

[igotit4free]

Tak, działa.
Jak masz wątpliwości to wyedytuj go geditem, nano czy czego tam używasz i wpisz

#!/bin/sh
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

i po restarcie wydaj

Kod: Zaznacz cały

sudo iptables -vnL

Zobaczysz jak zmieniła się polityka.

Tak, firewall skonfigurowany skryptem podanym na forum będzie działał zawsze, bo określa ogólne zasady dla połączeń wchodzących, przekazywanych i wychodzących niezależnie od interfejsu sieciowego, adresacji portów i innych cech połączenia.
Zapoznaj się wreszcie z

Kod: Zaznacz cały

man iptables

albo jednym z gazyliona sieciowych manuali.

[Foka0111]

Wystarczy ,że poleceniem uaktywnisz nakładkę UFW potem włączysz nakładkę Firesterter i UFW już ma status wyłączonej.
Ale tak jak napisali inni,to są tylko graficzne konfiguratory i firestarter bije na głowę UFW możliwościami

[Heron]

Tak jednak testując zaporę kiedy jest skonfigurowana za pomocą firestarter stroną grc (nie znam się czy jest wiarygodna czy nie) test zostaje oblany i wygląda to tak samo jak w przypadku ustawień microsoft-owego firewalla. Natomiast kiedy w systemie umieścimy skrypt firewall wtedy test jest zdawany i komunikat na stronie informuje nas "że komputer nie istnieje w sieci..". Wolę chyba jednak zabezpieczenie za pomocą skryptu.

[jacekalex]

Kod: Zaznacz cały

root  # iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -d 127.0.0.249/32 -i lo -j STEAL 
-A INPUT -d 127.0.0.249/32 -i lo -p tcp -j STEAL 
-A INPUT -d 127.0.0.249/32 -i lo -p tcp -m lscan --stealth --synscan --cnscan --grscan -j STEAL 
-A INPUT -d 127.0.0.250/32 -p tcp -j DELUDE 
-A INPUT ! -d 127.0.0.250/32 -i lo -j ACCEPT 
-A INPUT -s 192.168.56.0/24 -i vboxnet0 -j ACCEPT 
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -i eth0 -p udp -f -j DROP 
-A INPUT -i eth0 -p tcp -m state --state NEW -j TARPIT 
-A INPUT -i lo -p udp -m udp --dport 1629 -j SYSRQ 
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -s 192.168.56.0/24 -j ACCEPT 
-A OUTPUT -j ACCEPT 
-A OUTPUT -s 127.0.0.0/8 -o lo -j ACCEPT 

A ja mam tak, i wszystkie eksperymentalne ustawienia testuję na adresach 127.0.0.249 i 250.

Zawsze tez można postawić drugiego Linuxa na Vboxie, ustawić mu interfejs vboxnet0 - udostępnić mu net przez maskarade, i testować FW przez vboxnet0.

A do testowania FW jest przede wszystkim nmap.
Bo strony na necie zbyt dokładne ani wiarygodne nie są.

Moduły TARPIT, STEAL, DELUDE, CHAOS, lscan i SYSRQ są w xtables-addons.

To by było na tyle.