Prawidłowa konfiguracja ufw po wprowadzeniu skryptu

[BruBek]

Witam.
Zastosowałem skrypt podany w tej instrukcji: viewtopic.php?t=103825 ale mam problem z uruchamianiem się ufw. Po każdym restarcie systemu muszę na nowo włączać zaporę, bo wciąż jest nieaktywna. Używam gufw i z domyślnymi ustawieniami działał dobrze. Cała procedura kończy się w tym miejscu:

update-rc.d firewall defaults 90
update-rc.d: warning: /etc/init.d/firewall missing LSB information
update-rc.d: see <http://wiki.debian.org/LSBInitScripts>
System start/stop links for /etc/init.d/firewall already exist.
Died at /usr/sbin/update-rc.d line 57.

Popatrzyłem na podaną stronę, ale cała ta sprawa lsb to w tym momencie za dużo nowości (drugi dzień na systemie linuxowym) Próbowałem różnych forum, ale ciągle nie widzę rozwiązania. Teraz jest tak, że za każdym razem muszę albo poprzez gui firewalla włączyć zaporę albo muszę w teminalu sudo ufw enable klepać. Podoba mi się ustawienie iptables wprowadzone przez skrypt, ale do niczego jest jeżeli za każdym razem muszę włączać firewall na nowo. Proszę o pomoc.

[simon532]

Iptables to Twója główna zapora sieciowa. Jeśli zastosowałeś skrypt jej konfiguracji oznacza to, że firewall jest już aktywny. Zarządzanie Iptables nie należy do najłatwiejszych dlatego wymyślono różne nakładki ułatwiające to zadanie. Ufw i jego graficzny odpowiednik Gufw należą do najprostszych.
Ufw włączasz tylko raz

Kod: Zaznacz cały

sudo ufw enable

od tej pory działa on w tle, ale jeśli chciałbyś sprawdzić czy aby napewno wklep:

Kod: Zaznacz cały

sudo ufw status

Podobnie dzieje się w przypadku Firestartera. Po włączeniu systemu pozornie także nie widać jego aktywności. Nie zmieni to nawet dodanie go do programów startowych.
Oczywiście jeśli chciałbyś otworzyć GUI takiej nakładki Iptables musisz się przedstawić hasłem root.

[BruBek]

Dzięki za info. Problem mam wyłącznie z tym, że po ponownym uruchomieniu systemu za każdym razem ufw status daje wynik nieaktywny i muszę uruchamiać firewalla ręcznie, bo inaczej pozostaje wyłączony. Chciałbym się tylko dowiedzieć co mam zrobić aby firewall uruchamiał się razem z systemem, tak, jak to było po domyślnym ustawieniu firewalla. Póki miałem domyślne reguły, czyli w sumie brak reguł, póty firewall uruchamiał się z systemem za każdym razem.

[kklimonda]

ufw nie korzysta z update-rc.d, zamiast tego uruchamiany jest przez upstart. Przy uruchamianiu sprawdza czy jest włączony - zagląda do pliku /etc/ufw/ufw.conf i sprawdza wartość ENABLED - tę wartość zmieniasz właśnie używając

Kod: Zaznacz cały

sudo ufw enable

Jeżeli piszesz, że działało kiedy miałeś domyślne reguły, a do tego używasz update-rc.d to zapewne coś namieszałeś w systemie.

[BruBek]

Hmmm. Ok. Załóżmy, że mam świeżą instalację. Jak i co zrobić aby ustawić sobie firewall z regułami typu: input - drop; forward - drop; output - accept? W zasadzie tylko o to mi chodzi, a ten skrypt podany w instrukcji z mojego pierwszego posta właśnie to zrobił, tyle, że teraz nie uruchamia firewalla z systemem automatycznie... Z góry dzięki za podpowiedź!

[kklimonda]

ufw tak jest standardowo skonfigurowany (zajrzyj do /etc/default/ufw) wystarczy więc go uruchomić tak jak napisaliśmy - sudo ufw enable.

[BruBek]

Bardzo dziękuję za tę odpowiedź, kklimonda. Sprawdziłem i faktycznie jest tak, jak mówisz, ale tego właśnie nie rozumiem. Może na początek zdanie z posta how to, do którego odnoszę się na wstępie tego wątku:

Domyślnym ustawieniem firewalla w Ubuntu jest polityka akceptowania wszystkich pakietów przychodzących, wychodzących oraz forwardowanych (routowanych). Może się to wydać dla wielu użytkowników niebezpieczne, więc postarajmy się to zmienić.

Kiedy sprawdziłem iptables w domyślnych, po pierwszej instalacji, ustawieniach to faktycznie się potwierdziło, czyli wszystko było ustawione na accept. Stąd zdecydowałem się na manipulacje zgodnie z podaną instrukcją. To spowodowało pojawienie się np. update-rc.d. Z kolei jak patrzę w plik /etc/default/ufw to już zupełnie nie rozumiem: kiedy jeszcze nic nie robiłem w ustawieniach i sprawdzałem w terminalu ustawienia iptables wszystko było na accept, kiedy patrzę w plik domyślne ustawienia są takie, jakich chciałem wprowadzając nowe reguły. Faktyczne ustawienia z terminala mówiły co innego niż te zapisane jako niby domyślne w ww. pliku...
Na przyszłość chciałbym dopytać jak zmienia się ustawienia firewalla (zakładając, że robię wszystko po bożemu, czyli, załóżmy, włączam firewall sudo ufw enable po pierwszym odpaleniu systemu)? Czy zmiany wprowadza się w terminalu? Plik /etc/dafault/ufw jest tylko do odczytu. Na konkrecie np. jak zaakceptować ipv6, które domyślnie jest zablokowane? Dzięki za pomoc!!!

[kklimonda]

To zdanie nie jest prawdziwe:

Domyślnym ustawieniem firewalla w Ubuntu jest polityka akceptowania wszystkich pakietów przychodzących, wychodzących oraz forwardowanych (routowanych).

W Linuksie filtrowanie pakietów realizowane jest bezpośrednio przez jądro systemu - iptables, czy ufw, to narzędzia służące do konfigurowania netfiltera [1] i dopiero z ich pomocą konfigurujesz Firewall. Dopóki nie aktywujesz ufw, ew. nie załadujesz ręcznie reguł z użyciem iptables, to Firewall nie jest skonfigurowany - może zostać załadowany w kernel ale nie będzie miał żadnych reguł. polityka ACCEPT nie jest ustawiana przez Ubuntu - to po prostu domyślna wartość nieskonfigurowanego Firewalla.

Wpisanie sudo ufw enable nie służy do uruchomienia Firewalla - jako, że to nie jest proces to się go nie uruchamia. Ta komenda go aktywuje - zmienia domyślne wartości na te zdefiniowane w /etc/default/ufw.

man 8 ufw dostarcza bardzo dobrej dokumentacji dla ufw. Prawie wszystko możesz konfigurować z poziomu terminala, inne rzeczy skonfigurujesz edytując pliki w /etc/ufw/

Plik /etc/default/ufw nie jest tylko do odczytu - musisz go edytować jako administrator (na przykład korzystając z sudo). IPV6=no zmieniasz na IPV6=yes i wpisujesz

Kod: Zaznacz cały

sudo service ufw restart

[1] netfilter to framework zawarty w jądrze którego zadaniem jest modyfikowanie pakietów.

[BruBek]

Wielkie dzięki, kklimonda. Teraz już wszystko rozumiem. Tak na marginesie problem rozwiązał się "sam". Dzisiaj była automatyczna aktualizacja kernela i dzięki temu udało się użyć kodu, który podany został we wspomnianej instrukcji:

Kod: Zaznacz cały

/etc/init.d/firewall

Miało to służyć trwałemu ustawieniu reguł. Do tej pory ostatni krok procedury kończył się komunikatem "prawdopodobnie musisz uaktualnić kernel" co wydawało mi się już za wysoką półką aby w ogóle za sprawę się brać. Po aktualizacji kernela wszystko jest tak, jak być powinno i jak sprawdzam

Kod: Zaznacz cały

sudo iptables -L

widzę, że reguły zostały skutecznie wprowadzone. Swoją drogą to wyszedłem na Przedszkolaka pełną gębą, bo wychodzi na to, że jakbym wpisał po prostu

Kod: Zaznacz cały

sudo ufw enable

to efekt końcowy byłby taki sam, he he.