Linux Firewall

Wniosek na porcie 80 z komputera lokalnego wygenerowałoby dziennik DMESG, który wygląda tak (pojedynczy wiersz podzielony na 3, aby pasował do tego dokumentu):

Bezpieczeństwo – zapora ogniowa

Jądro Linux obejmuje Netfilter Podsystem, który służy do manipulowania lub decydowania o losie ruchu sieciowego kierowanego lub za pośrednictwem serwera. Wszystkie nowoczesne rozwiązania zapory Linux używają tego systemu do filtrowania pakietów.

System filtrowania pakietów jądra nie byłby mało przydatny dla administratorów bez interfejsu przestrzeni użytkownika do zarządzania nim. Jest to cel IPTABLES: Gdy pakiet dotrze do twojego serwera, zostanie przekazany podsystemowi Netfilter w celu przyjęcia, manipulacji lub odrzucenia na podstawie reguł dostarczonych do niego w przestrzeni użytkownika za pośrednictwem IPTables. Zatem IPTABLES to wszystko, czego potrzebujesz, aby zarządzać swoją zaporą, jeśli znasz ją.

UFW – nieskomplikowana zapora

Domyślnym narzędziem konfiguracji zapory dla Ubuntu jest UFW. Opracowany w celu ułatwienia konfiguracji zapory ogniowej, UFW zapewnia przyjazny dla użytkownika sposób utworzenia zapory opartej na hostie IPv4 lub IPv6.

UFW domyślnie jest początkowo wyłączony. Na stronie UFW Man:

„UFW nie ma na celu zapewnienia pełnej funkcjonalności zapory za pośrednictwem interfejsu poleceń, ale zamiast tego zapewnia łatwy sposób dodawania lub usunięcia prostych reguł. Obecnie jest używany głównie do zapór opartych na hostach.”

Poniżej przedstawiono kilka przykładów korzystania z UFW:

  • Po pierwsze, UFW musi być włączone. Z podpowiedzi terminali Wprowadź:

sudo ufw włącz

sudo ufw pozwól 22

sudo ufw wstawka 1 pozwól 80

sudo ufw zaprzecz 22

sudo ufw delete Daj 22

sudo ufw zezwala na proto tcp z 192.168.0.2 do dowolnego portu 22

sudo ufw--drry-run zezwala na http

*Filtr: UFW-User-Input-[0: 0]: UFW-User-Output-[0: 0]: UFW-User-Forward-[0: 0]: UFW-USER-LIMIT-[0: 0]: UFW-User-Limit-Accept-[0] ###.0.0.0/0 dowolny 0.0.0.0/0 -a Ufw -User -Input -p Tcp -dport 80 -J Zaakceptuj ### end reguły ### -a ufw -input -input -j return -a ufw -user -output -j return -a ufw -user -forward -j return -a Ufw -iSer -limit -m limit - -limit 3/minute -j log - -log -prefix "ufW -ler] It -J odrzucone -a ufw -user -limit -accept -j zaakceptuj reguły zatwierdzenia zaktualizowane

Sudo UFW wyłącz

status sudo UFW

SUDO UFW STATUS

SUDO UFW numerowany

Notatka
Jeśli port, który chcesz otworzyć lub zamknąć, jest zdefiniowany w /etc /usługi, możesz użyć nazwy portu zamiast numeru. W powyższych przykładach zastąp 22 na ssh.

To jest szybkie wprowadzenie do korzystania z UFW. Więcej informacji można znaleźć na stronie UFW Man.

Integracja aplikacji UFW

Aplikacje, które otwarte porty mogą zawierać profil UFW, który szczegółowo opisuje porty potrzebne do poprawnego funkcjonowania aplikacji. Profile są przechowywane w/etc/ufw/aplikacje.d i można je edytować, jeśli domyślne porty zostały zmienione.

  • Aby wyświetlić, które aplikacje zainstalowały profil, wprowadź następujące w terminalu:

Lista aplikacji Sudo UFW

sudo ufw pozwól samba

UFW zezwala na 192.168.0.0/24 do dowolnej aplikacji samba

Wymień sambę i 192.168.0.0/24 z używanym profilem aplikacji i zakresem adresów IP dla sieci.

Notatka Nie ma potrzeby określania protokołu aplikacji, ponieważ informacje te są szczegółowe w profilu. Należy również pamiętać, że nazwa aplikacji zastępuje numer portu. 

Sudo UFW Info aplikacji samba

Nie wszystkie aplikacje wymagające otwierania portu sieciowego są dostarczane z profilem UFW, ale jeśli profilowałeś aplikację i chcesz, aby plik został dołączony do pakietu, złożyć błąd w stosunku do pakietu w LaunchPad.

Ubuntu-Bug NameOfPackage

IP udawanie

Celem IP Masquerading jest umożliwienie maszyn z prywatnymi, niekomernymi adresami IP w sieci, aby uzyskać dostęp do Internetu za pośrednictwem komputera wykonującego maswę. Ruch z Twojej prywatnej sieci przeznaczonej do Internetu musi być manipulowany, aby odpowiedzi były realizowane z powrotem do maszyny, która złożyła żądanie. Aby to zrobić, jądro musi zmodyfikować źródłowy adres IP każdego pakietu, aby odpowiedzie były do ​​niego kierowane, a nie na prywatny adres IP, który złożył żądanie, co jest niemożliwe przez Internet. Linux używa śledzenia połączeń (conntrack), aby śledzić, które połączenia należą do których maszyny i przekierowanie każdego pakietu powrotu odpowiednio. Ruch z opuszczaniem sieci prywatnej jest zatem „udawany” jako pochodzący z twojego maszyny bramki Ubuntu. Ten proces jest określany w dokumentacji Microsoft jako udostępnianie połączeń internetowych.

UFW masquerading

Maskarstwo IP można osiągnąć przy użyciu niestandardowych zasad UFW. Jest to możliwe, ponieważ bieżącym zapleczem dla UFW jest IPTables-Restore z plikami reguł znajdujących się w/etc/ufw/*.zasady. Te pliki są doskonałym miejscem do dodawania starszych reguł IPTABLES używanych bez UFW, a reguły, które są bardziej związane z bramą sieciową lub mostem.

Reguły są podzielone na dwa różne pliki, reguły, które należy wykonać przed regułami wiersza poleceń UFW, oraz reguły, które są wykonywane

Linux Firewall

Wniosek na porcie 80 z komputera lokalnego wygenerowałoby dziennik DMESG, który wygląda tak (pojedynczy wiersz podzielony na 3, aby pasował do tego dokumentu):

Bezpieczeństwo – zapora ogniowa

Jądro Linux obejmuje Netfilter Podsystem, który służy do manipulowania lub decydowania o losie ruchu sieciowego kierowanego lub za pośrednictwem serwera. Wszystkie nowoczesne rozwiązania zapory Linux używają tego systemu do filtrowania pakietów.

Jądro’System filtrowania pakietów S byłby niewielki dla administratorów bez interfejsu przestrzeni użytkownika, aby zarządzać nim. Jest to cel IPTABLES: Gdy pakiet dotrze do twojego serwera, zostanie przekazany podsystemowi Netfilter w celu przyjęcia, manipulacji lub odrzucenia na podstawie reguł dostarczonych do niego w przestrzeni użytkownika za pośrednictwem IPTables. Zatem iptables to wszystko, czego potrzebujesz, aby zarządzać swoją zaporą, jeśli ty’Znajom się z tym, ale dostępnych jest wiele granic, aby uprościć zadanie.

UFW – nieskomplikowana zapora

Domyślnym narzędziem konfiguracji zapory dla Ubuntu jest UFW. Opracowany w celu ułatwienia konfiguracji zapory ogniowej, UFW zapewnia przyjazny dla użytkownika sposób utworzenia zapory opartej na hostie IPv4 lub IPv6.

UFW domyślnie jest początkowo wyłączony. Na stronie UFW Man:

“UFW nie ma na celu zapewnienia pełnej funkcjonalności zapory za pośrednictwem interfejsu poleceń, ale zamiast tego zapewnia łatwy sposób dodawania lub usunięcia prostych reguł. Obecnie jest używany głównie do zapór opartych na hostach.”

Poniżej przedstawiono kilka przykładów korzystania z UFW:

    Po pierwsze, UFW musi być włączone. Z podpowiedzi terminali Wprowadź:

sudo ufw włącz 

sudo ufw pozwól 22 

sudo ufw wstawka 1 pozwól 80 

sudo ufw zaprzecz 22 

sudo ufw delete Daj 22 

sudo ufw zezwala na proto tcp z 192.168.0.2 do dowolnego portu 22 

 sudo ufw--drry-run zezwala na http 

*Filtr: UFW-User-Input-[0: 0]: UFW-User-Output-[0: 0]: UFW-User-Forward-[0: 0]: UFW-USER-LIMIT-[0: 0]: UFW-User-Limit-Accept-[0] ###.0.0.0/0 dowolny 0.0.0.0/0 -a Ufw -User -Input -p Tcp -dport 80 -J Zaakceptuj ### end reguły ### -a ufw -input -input -j return -a ufw -user -output -j return -a ufw -user -forward -j return -a Ufw -iSer -limit -m limit - -limit 3/minute -j log - -log -prefix "ufW -ler] It -J odrzucone -a ufw -user -limit -accept -j zaakceptuj reguły zatwierdzenia zaktualizowane 

Sudo UFW wyłącz 

status sudo UFW 

SUDO UFW STATUS 

SUDO UFW numerowany

Notatka

Jeśli port, który chcesz otworzyć lub zamknąć, jest zdefiniowany w /etc /usługi, możesz użyć nazwy portu zamiast numeru. W powyższych przykładach wymień 22 z ssh.

To jest szybkie wprowadzenie do korzystania z UFW. Więcej informacji można znaleźć na stronie UFW Man.

Integracja aplikacji UFW

Aplikacje, które otwarte porty mogą zawierać profil UFW, który szczegółowo opisuje porty potrzebne do poprawnego funkcjonowania aplikacji. Profile są przechowywane w/etc/ufw/aplikacje.d i można je edytować, jeśli domyślne porty zostały zmienione.

    Aby wyświetlić, które aplikacje zainstalowały profil, wprowadź następujące w terminalu:

Lista aplikacji Sudo UFW 

sudo ufw pozwól samba 

UFW zezwala na 192.168.0.0/24 do dowolnej aplikacji samba

Zastępować Samba I 192.168.0.0/24 z używanym profilem aplikacji i zakresem adresów IP dla sieci.

Notatka Nie ma potrzeby określania protokół dla aplikacji, ponieważ informacje te są szczegółowe w profilu. Zauważ też, że App Nazwa zastępuje Port numer.

Sudo UFW Info aplikacji samba

Nie wszystkie aplikacje wymagające otwierania portu sieciowego są dostarczane z profilem UFW, ale jeśli profilowałeś aplikację i chcesz, aby plik został dołączony do pakietu, złożyć błąd w stosunku do pakietu w LaunchPad.

Ubuntu-Bug NameOfPackage

IP udawanie

Celem IP Masquerading jest umożliwienie maszyn z prywatnymi, niekomernymi adresami IP w sieci, aby uzyskać dostęp do Internetu za pośrednictwem komputera wykonującego maswę. Ruch z Twojej prywatnej sieci przeznaczonej do Internetu musi być manipulowany, aby odpowiedzi były realizowane z powrotem do maszyny, która złożyła żądanie. Aby to zrobić, jądro musi zmodyfikować źródło Adres IP każdego pakietu, aby odpowiedziały zostały do ​​niego kierowane, a nie na prywatny adres IP, który złożył żądanie, co jest niemożliwe przez Internet. Linux używa Śledzenie połączenia (conntrack) Aby śledzić, które połączenia należą, do których maszyny i odpowiednio przekieruj każdy pakiet powrotny. Ruch z opuszczaniem sieci prywatnej jest w ten sposób “udawany” ponieważ pochodzi z Twojej maszyny Ubuntu Gateway. Ten proces jest określany w dokumentacji Microsoft jako udostępnianie połączeń internetowych.

UFW masquerading

Maskarstwo IP można osiągnąć przy użyciu niestandardowych zasad UFW. Jest to możliwe, ponieważ bieżącym zapleczem dla UFW jest IPTables-Restore z plikami reguł znajdujących się w/etc/ufw/*.zasady . Te pliki są doskonałym miejscem do dodawania starszych reguł IPTABLES używanych bez UFW, a reguły, które są bardziej związane z bramą sieciową lub mostem.

Reguły są podzielone na dwa różne pliki, reguły, które należy wykonać przed regułami wiersza poleceń UFW, oraz reguły wykonywane po regułach wiersza poleceń UFW.

    Po pierwsze, przekazywanie pakietów musi być włączone w UFW. Dwa pliki konfiguracyjne będą musiały zostać dostosowane, w/etc/default/UFW Zmień Default_forward_policy Do “ZAAKCEPTOWAĆ”:

Default_forward_policy = "akceptuj"

Następnie edytuj/etc/ufw/sysctl.Conf and Conchment:

net/ipv4/ip_forward = 1

Podobnie w przypadku przekierowania IPv6:

net/ipv6/conf/default/przekazanie = 1 

# Nat Tabela Zasady *Nat: Postrouting Akceptuj [0: 0] # Ruch do przodu od ETH1 do ETH0. -Popruting -s 192.168.0.0/24 -O ETH0 -J MASQUERADE # Nie usuwaj wiersza „zatwierdzenia”, albo te reguły tabeli NAT nie będą przetwarzane

Komentarze nie są ściśle konieczne, ale uważa się, że dobra praktyka jest udokumentowanie konfiguracji. Ponadto, podczas modyfikowania któregokolwiek z zasady Pliki w /etc /UFW, upewnij się, że te wiersze są ostatnim wierszem dla każdej tabeli zmodyfikowanej:

# Nie usuwaj wiersza „zatwierdzenie” lub te reguły nie będą przetwarzane

Dla każdego Tabela odpowiadający POPEŁNIAĆ Wymagane jest stwierdzenie. W tych przykładach tylko Nat I filtr Pokazane są tabele, ale możesz również dodać reguły dla surowy I magiel tabele.

Notatka W powyższym przykładzie wymień ETH0, ETH1, I 192.168.0.0/24 z odpowiednimi interfejsami i zakresem IP dla Twojej sieci.

sudo ufw wyłącz && sudo ufw

Masquerading IP powinien być teraz włączony. Możesz także dodać dowolne dodatkowe reguły do ​​przodu do/etc/ufw/wcześniej.zasady . Zaleca się dodanie tych dodatkowych zasad do UFW-before-forward łańcuch.

IPTABLES MAGQUERADING

IPTABLES można również użyć, aby umożliwić maskaradę.

    Podobnie jak UFW, pierwszym krokiem jest włączenie przekazywania pakietów IPv4 poprzez edycję /etc /sysctl.conf i pocukanie następująca linia:

internet.IPv4.ip_forward = 1

Jeśli chcesz włączyć przekazanie IPv6, również niebimentu:

internet.IPv6.conf.domyślny.przekazanie = 1 

sudo sysctl -p 

sudo iptables -t nat -a posttrouting -s 192.168.0.0/16 -O PPP0 -J MASQUERADE

  • -T Nat – zasadą jest wejście do stołu NAT
  • -Postrouting-reguła ma być dołączona (-a) do łańcucha poststrouting
  • -S 192.168.0.0/16 – Reguła dotyczy ruchu pochodzącego z określonej przestrzeni adresowej
  • -O PPP0 – Reguła ma zastosowanie do ruchu zaplanowanego przez określone przez określone urządzenie sieciowe
  • -j maskarada – ruch pasujący do tej zasady “skok” (-J) do celu maskarady, który ma być manipulowany jak opisano powyżej

sudo iptables -a do przodu -s 192.168.0.0/16 -o ppp0 -J Zaakceptuj sudo iptables -a do przodu -d 192.168.0.0/16 -m Stan \ --state Ustanowienie, powiązane -i ppp0 -j zaakceptuj 

iptables -t nat -a posttrouting -s 192.168.0.0/16 -O PPP0 -J MASQUERADE

Dzienniki

Dzienniki zapory są niezbędne do rozpoznania ataków, rozwiązywania problemów z zasadami zapory i zauważania niezwykłej aktywności w sieci. Musisz jednak uwzględnić reguły rejestrowania w swojej zaporze, aby zostały wygenerowane, a reguły rejestrowania muszą pojawić się przed jakąkolwiek obowiązującą zasadą zakończenia (reguła z celem, która decyduje o losie pakietu, takiego jak akceptacja, upuszczenie lub odrzucenie).

Jeśli używasz UFW, możesz włączyć rejestrowanie, wprowadzając następujące w terminalu:

sudo ufw logowanie

Aby wyłączyć logowanie w UFW, po prostu wymień NA z wyłączony W powyższym poleceniu.

Jeśli używasz iPtables zamiast UFW, wprowadź:

sudo iptables -a wejście -m stan --state nowy -p tcp -dport 80 \ -J log - -log -prefix "new_http_conn:"

Wniosek na porcie 80 z komputera lokalnego wygenerowałoby dziennik DMESG, który wygląda tak (pojedynczy wiersz podzielony na 3, aby pasował do tego dokumentu):

[4304885.870000] new_http_conn: in = lo out = mac = 00: 00: 00: 00: 00: 00: 00: 00: 00: 00: 00: 08: 00 src = 127.0.0.1 DST = 127.0.0.1 len = 60 TO = 0x00 Pre = 0x00 ttl = 64 DF Proto = TCP SPT = 53981 DPT = 80 Window = 32767 RES = 0x00 SYN URGP = 0

Powyższy dziennik pojawi się również w/var/log/message,/var/log/syslog i/var/log/kern.dziennik . To zachowanie można zmodyfikować poprzez edycję /etc /syslog.odpowiednio konfiguruj lub instalując i konfigurowanie ULOGD i za pomocą celu ULOG zamiast dziennika. Demon ULOGD to serwer przestrzeni użytkownika, który słucha instrukcji rejestrowania z jądra specjalnie dla zapór ogniowych i może logować się do dowolnego pliku, który lubisz, a nawet do bazy danych PostgreSQL lub MySQL. Rozumowanie swoich dzienników zapory można uprościć za pomocą narzędzia do analizy dziennika, takiego jak logwatch, fwanalog, fwlogwatch lub lire.

Inne narzędzia

Dostępnych jest wiele narzędzi, które pomogą Ci zbudować pełną zaporę bez intymnej znajomości iptables. Narzędzie wiersza poleceń z plikami konfiguracyjnymi typu Tekst:

  • Shorewall to bardzo potężne rozwiązanie, które pomoże Ci skonfigurować zaawansowaną zaporę dla każdej sieci.

Bibliografia

  • Strona Wiki Firewall Ubuntu zawiera informacje na temat rozwoju UFW.
  • Ponadto strona ręczna UFW zawiera bardzo przydatne informacje: Man UFW .
  • Więcej informacji na temat korzystania z IPTABLES.
  • Nat-Howto zawiera dalsze szczegóły dotyczące udawania.
  • IPTABLES Howto na wiki Ubuntu to świetny zasób.

Linux Firewall

Często błędnie interpretuje, że zapora jest niepotrzebna dla Linuksa. Oczywiście system Linux jest skrupulatnie tworzony, aby zapewnić mu maksymalne bezpieczeństwo. Na przykład ma wiele poziomów autoryzacji zapobiegających instalacji złośliwego oprogramowania i złośliwych kodów. Domyślnie system Linux nie ma otwartych portów, co oznacza, że ​​żadne urządzenia zewnętrzne lub programy nie mogą mieć dostępu do urządzenia bez otwierania portów, w przeciwieństwie do systemu Windows. Ponadto wirusy i malwares wykonane dla Linuksa są niezwykle rzadkie ze względu na fakt, że system operacyjny Linux jest najmniej popularnym systemem operacyjnym. To praktycznie czyni nieopłacalne dla cyber napastników.

Niezależnie od tego, nadal istnieją główne luki, które mogą ujawnić system Linuksa. Ponadto, ponieważ większość użytkowników Linux czuje się pewnie, że nie potrzebują dodatkowej ochrony, są bardziej wrażliwe w przypadku rozpoczęcia ataku. W tym celu sensowne jest zapewnienie sobie renomowanej zapory Linux, która zapewni potrzebną ochronę. Oto cztery powody, dla których powinieneś rozważyć zainstalowanie zapory dla urządzenia Linux.

Linux Firewall

Dlaczego potrzebujesz zapory dla swojego systemu Linux?

I. Dodatkowa warstwa ochrony

Jak wspomniano, Linux jest tak, że niezwykle trudno jest mieć Malwares i inne usterki bezpieczeństwa. Domyślnie ma własną wewnętrzną zaporę, choć dezaktywowaną. Po pierwsze, przed zainstalowaniem nowej zapory Linux, należy upewnić się, że jej rodzima zapora jest już aktywowana. Ponieważ większość użytkowników Linux jest podekscytowana, mogą łatwo manipulować swoimi systemami zapory, aby odpowiadały ich potrzebom bezpieczeństwa. Dodanie dodatkowej warstwy ochrony poprzez instalowanie zapory innej firmy oznacza, że ​​urządzenie Linux będzie miało wiele warstw bezpieczeństwa, co czyni jeszcze trudniej dla hakerów i Malwares.

ii. Zapobieganie złośliwym oprogramowaniu

Malwares dla Linuksa są niezwykle rzadkie. Ale kiedy atakują, obrażenia są skrajnie wielkości. Lepiej być bezpiecznym niż potem przepraszać. Dobra zapora Linuksa jest skrupulatnie wykonana w celu zwalczania złośliwego oprogramowania Linuksa i wirusów przed wejściem do systemu. Korzystając z zestawu reguł, zidentyfikuje złośliwe kody przesyłane przez twoją prywatną sieć. Teraz, prawda, Twój system Linux nie ma domyślnie nie otwartych portów i ma kilka poziomów autoryzacji. Jednak niewielki błąd, taki jak posiadanie otwartego portu i przyznanie autoryzacji systemu złośliwemu kodowi, spowoduje narażenie. Zapora zapobiega przede wszystkim uzyskaniu dostępu do takiego złośliwego oprogramowania. W ten sposób, niezależnie od otwartych portów lub autoryzacji, nie ma złośliwego oprogramowania, które wchodzi do systemu.

iii. Ochrona przed cyberatakami

Cyberprzestępcy’ Główne programy uzyskują albo ważne informacje z systemu lub wymuszać pieniądze od swoich ofiar. Użytkownicy Linux są zwykle mieszkańcami technologicznymi lub dużymi organizacjami. Cyberkryminale ma sens, aby intensywnie inwestować w swoje ataki, ponieważ zyski będą równie duże. Oznacza to zatem, że ataki przeprowadzane w systemach Linuksa powodują ekstremalne straty, gdy się powiedzie.

Dobre oprogramowanie do zapory Linux powinno być wystarczająco silne, aby móc zapobiec wystąpieniu takich ataków. Przegląda każdy pakiet danych uzyskujący dostęp do systemu i wyobcuje złośliwe dane i zapobiega ich przesyłaniu. Dzieje się tak szczególnie, gdy atakujący uzyskał dostęp do systemu i próbuje przekazywać ważne dane.

iv. Prywatność

Wszyscy cenią prywatność. Użytkownicy Linuksa mają tę zaletę, że posiadają bezpieczny system operacyjny, który jest najmniej atakowany przez złośliwe oprogramowanie i cyberprzestępcy. Ale to nie znaczy, że nie mogą wejść, zwłaszcza jeśli korzystasz z sieci publicznej. Podczas gdy takie ataki w dużej mierze opierają się na otwartych portach w systemie Linux, kiedy się zdarza, możesz skończyć się ujawnionym, a niektóre z twoich osobistych plików mogą dostać się do domeny publicznej. Co gorsza, twoje działania online można śledzić i możesz być szpiegowany. Oczywiste jest, że posiadanie doskonałej zapory Linux powinno być twoim priorytetem numer jeden, jeśli cenisz swoją prywatność. I powinieneś’T ryzykań na to.

Oprogramowanie Comodo Firewall dla Linux

COMODO jest jedną z wiodących firm bezpieczeństwa sieciowych, które istniały od kilku dziesięcioleci. To obszerne doświadczenie w połączeniu z naszym zespołem wysoce doświadczonych ekspertów IT pozwoliło nam wymyślić jedno z wiodących oprogramowania Linux, które oferuje wysoką funkcjonalność i użyteczność nawet dla osób mniej znających się technologii. Z najlepszymi nagrodami z testu AV 2019 i w przystępnej cenie 29 USD.99, masz gwarancję maksymalnej ochrony 24/7 ze 100% werdyktem w 100% przypadków.

Czy Linux potrzebuje zapory i jak skonfigurować zaporę Linux z zaporą ogniową-CMD

Brian Avtar

Linux jest bezpieczniejszy niż inne systemy operacyjne. Ale to nie jedyny powód, dla którego możesz nie potrzebować antywirusa lub zapory zapory podczas korzystania z Linuksa.

Linux nie jest niewrażliwy. W rzeczywistości jest to jeden z najczęstszych mitów cyberbezpieczeństwa, który wprawia użytkowników Linuksa w kłopoty. To przekonanie ułatwia odkładanie ochronności, a kiedy twoja strażnik jest na dole, najprawdopodobniej zostaniesz uderzony. Ale tylko dlatego, że Linux ma dziury bezpieczeństwa, nie oznacza, że ​​potrzebujesz oprogramowania antywirusowego lub zapory. Twój wybór ustawień bezpieczeństwa zostanie szczegółowo omówiony podczas instalacji systemu Linux, ale możesz ich teraz nie pamiętać. W tym artykule porozmawiamy o skonfigurowaniu zapory z poleceniem Firewall-CMD.

Co to jest zapora?

Zapory ogniowe są kluczowym aspektem bezpieczeństwa sieci, dlatego sysadmin powinien zrozumieć, w jaki sposób funkcjonują. Jeśli rozumiesz zapory ogniowe, możesz zapewnić bezpieczeństwo swojej sieci, podejmując świadome decyzje o tym, jaki ruch należy wpuścić. Zapora to po prostu filtr, który określa, które pakiety sieciowe mogą wejść do komputera z Internetu, a który może pozostawić komputer do Internetu. Służy głównie do umożliwienia i/lub zabezpieczenia przychodzących połączeń. Połączenia wychodzące są rzadko filtrowane. Krótko mówiąc, jest to rodzaj ściany między komputerem a światem zewnętrznym.

Czy Linux potrzebuje zapory?

To prawie zawsze pytanie. 99% użytkowników Linux uważa, że ​​Linux jest domyślnie bezpieczny. Domyślnie prawie wszystkie dystrybucje Linux nie mają zapory. Mówiąc dokładniej, mają uśpioną zaporę ogniową. Ponieważ jądro Linux zawiera wbudowaną zaporę ogniową, a teoretycznie wszystkie rozkłady Linux zawierają jedną, ale nie jest skonfigurowane ani aktywne. Ale nie martw się, nawet bez aktywnej zapory, twój Linux jest nadal bezpieczny. Większość dystrybucji, w tym Ubuntu i Linux Mint, domyślnie nie ma otwartych portów, upewniając się, że osoby z zewnątrz nie mogą uzyskać dostępu. Niemniej jednak zachęcam, abyście włączyli zaporę ogniową. Lepsze jest być bezpiecznym niż żałować. Ponadto omówimy, jak skonfigurować zaporę Linux za pomocą zapory ogniowej CMD.

Co to jest iptables?

IPTABLES to narzędzie zapory linii poleceń, które umożliwia lub blokuje ruch za pomocą łańcuchów zasad. Gdy połączenie próbuje ustalić się w twoim systemie, IPTables przeszukuje swoją listę reguł w celu dopasowania. Jeśli nie może go odkryć, wróci do akcji domyślnej. IPTABLES jest prawie zwykle dołączany do każdego rozkładu Linuksa. IPTABLES ma tendencję do użycia 3 różnych łańcuchów: wejścia, do przodu i wyjścia. Dzięki temu możesz tworzyć różne reguły dla różnych maszyn w sieci, dlaczego nie ułatwić, używając Firewall-CMD!

Co to jest Firewall-CMD i Firewalld?

Firewall-CMD to interfejs wiersza poleceń dla demona Firewalld, który komunikuje się z frameworkiem NetFilter jądra Linux. Ten stos jest mało prawdopodobne, aby znaleźć w wbudowanych modemach powszechnie występujących w małych i średnich przedsiębiorstwach, ale jest obecny lub jest dostępny dla dowolnego rozkładu Linux, który obsługuje SystemD. Firewalld to dynamicznie kontrolowana zapora, która obsługuje strefy sieci/zapory ogniowej, która określa poziom zaufania do połączeń sieciowych lub interfejsów. Obsługuje ustawienia zapory IPv4 i IPv6, a także mosty Ethernet i zestawy IP. Wybór środowiska wykonawczego i stałej konfiguracji są oddzielone. Zapewnia również interfejs, za pomocą którego usługi lub programy mogą łatwo dodawać reguły zapory.

Konfigurowanie zapory ogniowej za pomocą zapory ogniowej CMD

W zależności od dystrybucji Linux możesz mieć już zainstalowane polecenie Firewall-CMD. Bez operacyjnej zapory ogniowej CMD nie ma nic do kontrolowania, dlatego pierwszym krokiem jest sprawdzenie, czy działa Firewalld:

$ sudo systemCtl włącza -Teraz zapora ogniowa

Strefy są używane jako ustawienia wstępne w Firewall-CMD, oferując rozsądne opcje do wyboru. To oszczędza przed koniecznością zaprojektowania zapory od podstaw. Strefy są przypisywane do interfejsów sieciowych. Uruchom poniższe polecenie, aby sprawdzić swoje strefy:

Gdybym chciał utworzyć nową strefę, użyłbym polecenia:

$ sudo firewall-cmd-new-strena [strefeName] –Permanent

Dodatkowo mogę użyć następujących poleceń, aby sprawdzić, które porty i usługi są dozwolone:

Aby sprawdzić, które strefy są aktywne, uruchom polecenie:

$ sudo firewall-cmd-get-active-streny

Aby dodać usługę i umożliwić połączenia dla tej usługi, użyj argumentu –ADD-serwisowego, jak pokazano poniżej:

$ sudo firewall-cmd-addd-service http-permanent

Powyższe polecenie umożliwia uruchomienie usług HTTP w strefie domyślnej. Jeśli chcesz określić strefę, możesz uruchomić:

$ sudo firewall-cmd-Zone = public –add-service http –permanent

Powyższe polecenie umożliwia ruch HTTP dla strefy “publiczny”. Aby usunąć usługę i zablokować połączenie, po prostu usuń ją jak poniżej:

$ sudo firewall-cmd–remove-service http –permanent
$ sudo firewall-cmd-odpowiadanie

Za każdym razem, gdy dokonasz zmiany w zaporze za pomocą Firewall-CMD, pamiętaj, aby ponownie załadować wszystkie ustawienia, w przeciwnym razie zmiana nie wejdzie w życie. Aby sprawdzić dodatkowe argumenty, możesz uruchomić polecenie Firewall-CMD –Help.

Linux FirewallDlaczego Firewalld i Firewall-CMD?

Możesz zrobić znacznie więcej z Firewall-CMD, takich jak zdefiniowanie własnych usług, blokowania ICMP i wyznaczanie źródeł dopuszczalnego ruchu. Chociaż nie jest to zbyt sugerowane dla bezpieczeństwa na poziomie przedsiębiorstw, Firewall-CMD jest nadal doskonałym i realnym rozwiązaniem dla codziennych użytkowników i korporacji, które wymagają szybkiego bezpieczeństwa. Jeśli jesteś nowy w Linux Security, Firewall-CMD to wspaniały sposób na rozpoczęcie pracy z ipchains i iptables. Firewall-CMD pozwala szybko skonfigurować podstawową zaporę ogniową, jeśli już znasz ipchains. Dodatkowo środowisko wykonawcze jest łatwo modyfikowalne. Nie ma wymogu ponownego uruchomienia demona lub usługi. Usługi, programy i użytkownicy są proste, aby modyfikować ustawienia zapory dzięki interfejsowi D-Bus Firewalld. Jest to przydatne dla administratorów, ponieważ pozwala na testowanie czasu wykonawczego i oceny z powodu oddzielenia czasu wykonania i konfiguracji stałej.

Końcowe przemyślenia

Jedynym momentem, w którym będziesz potrzebować zapory, jest to, że używasz jakiejś aplikacji serwerowej w swoim systemie przez większość czasu. W takim przypadku zapora ograniczy połączenia przychodzące do niektórych portów, upewniając się, że mogą wchodzić tylko w interakcje z odpowiednią aplikacją serwerową. Znowu nie ma krzywdy, że nie ma aktywacji zapory ogniowej na maszynie Linux. Mówimy tylko, że powinieneś pomyśleć o wdrożeniu zapory za pomocą zapory ogniowej CMD w celu zwiększenia bezpieczeństwa!