Файервол на десктопе,как настраивать и надо ли?

antiron	# 8 лет, 1 месяц назад
Темы: 32 Сообщения: 270 Участник с: 29 августа 2013	Привет арчеводы !Мучает уже вот несколько месяцев вопрос по безопасности системы,в частности при подключении к интернету , от интернет атак.Так вот вопрос, следует ли беспокоиться и настраивать файервол на десктопе или же можно жить и без него? Читал что для этого дела нужно настраивать iptables(может что-то еще), но так я его и не осилил( ,может кто-нибудь поделится соображениями по этому поводу,как вы настраиваете,выстраиваете защиту при подключению к интернету. Я этого сколько не пытался постичь так и не понял,если не затруднит объясните или ткните носом на статью с чего начать и на целесообразность настройки.Я обычный юзер,которому нравится линукс, но вот это что-то не могу понять,заранее спасибо за ответ. Non progredi - est regredi

# 8 лет, 1 месяц назад

Сообщения: 270

Участник с: 29 августа 2013

Привет арчеводы !Мучает уже вот несколько месяцев вопрос по безопасности системы,в частности при подключении к интернету , от интернет атак.Так вот вопрос, следует ли беспокоиться и настраивать файервол на десктопе или же можно жить и без него? Читал что для этого дела нужно настраивать iptables(может что-то еще), но так я его и не осилил( ,может кто-нибудь поделится соображениями по этому поводу,как вы настраиваете,выстраиваете защиту при подключению к интернету. Я этого сколько не пытался постичь так и не понял,если не затруднит объясните или ткните носом на статью с чего начать и на целесообразность настройки.Я обычный юзер,которому нравится линукс, но вот это что-то не могу понять,заранее спасибо за ответ.

Non progredi - est regredi

maisvendoo	# 8 лет, 1 месяц назад
Темы: 68 Сообщения: 1142 Участник с: 10 октября 2012	antiron Так вот вопрос, следует ли беспокоиться и настраивать файервол на десктопе Думаю не следует Да пребудет с нами Сила...! CPU Intel Core i9 10900-KF/RAM DDR4 128 Gb/NVidia GForce GTX 1080 Ti Turbo 11Gb/SSD M2 512 Gb/HDD Seagate SATA3 2 Tb/HDD Toshiba 3Tb/HDD Toshiba 6Tb http://rusrailsim.org

indeviral	# 8 лет, 1 месяц назад
Темы: 38 Сообщения: 3196 Участник с: 10 августа 2013	Конечно, нужен) а вот где это другой вопрос... Самое просто оптимальное и повсюду применяемое ставится между lan и wan запретив все входящие из wan а потом открыв только необходимое. Ошибки в тексте-неповторимый стиль автора©

indeviral

# 8 лет, 1 месяц назад

Темы: 38

Сообщения: 3196

Участник с: 10 августа 2013

Конечно, нужен) а вот где это другой вопрос...
Самое просто оптимальное и повсюду применяемое ставится между lan и wan запретив все входящие из wan а потом открыв только необходимое.

Ошибки в тексте-неповторимый стиль автора©

shpinog	# 8 лет, 1 месяц назад
Темы: 20 Сообщения: 140 Участник с: 05 августа 2012	Безопасность от чего?

antiron	# 8 лет, 1 месяц назад
Темы: 32 Сообщения: 270 Участник с: 29 августа 2013	shpinog Безопасность от чего? От всего,что бывает при подключении интернет провода к компьютеру. Non progredi - est regredi

Aivar	# 8 лет, 1 месяц назад
Темы: 4 Сообщения: 6897 Участник с: 17 февраля 2011	antiron, задаваясь подобным вопросом, почитывал кое-что о фронтэндах iptables и, признаться, так и не понял зачем мне файрволл. С Вашего позволения (для непонятливых) я переформулирую вопрос: объясните, пожалуйста, мне, полному лаптю в сетях, смысл сабжа в отсутствии локалки и наличии одной сетевой карты, в которую воткнут шнурок от провайдера.

Aivar

# 8 лет, 1 месяц назад

Темы: 4

Сообщения: 6897

Участник с: 17 февраля 2011

antiron, задаваясь подобным вопросом, почитывал кое-что о фронтэндах iptables и, признаться, так и не понял зачем мне файрволл. С Вашего позволения (для непонятливых) я переформулирую вопрос: объясните, пожалуйста, мне, полному лаптю в сетях, смысл сабжа в отсутствии локалки и наличии одной сетевой карты, в которую воткнут шнурок от провайдера.

Haron_Prime	# 8 лет, 1 месяц назад
Темы: 28 Сообщения: 2109 Участник с: 08 июня 2014	iptables можно использовать и так `-A INPUT -m state --state INVALID -j DROP -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -m state --state INVALID -j DROP` к примеру даже при единственной сетевой карте и отсутствии локалки вполне себя оправдывает `Chain INPUT (policy ACCEPT 542K packets, 75M bytes) pkts bytes target prot opt in out source destination 3163 131K DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID 43M 2483M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED Chain OUTPUT (policy ACCEPT 72M packets, 95G bytes) pkts bytes target prot opt in out source destination 2265 647K DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID` Gnome 2 >> Unity >> KDE 4 >> Openbox >> Awesome >> Xmonad GitHub , BitBuket

Haron_Prime

# 8 лет, 1 месяц назад

Темы: 28

Сообщения: 2109

Участник с: 08 июня 2014

iptables можно использовать и так

-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state INVALID -j DROP

к примеру
даже при единственной сетевой карте и отсутствии локалки
вполне себя оправдывает

 Chain INPUT (policy ACCEPT 542K packets, 75M bytes)
 pkts bytes target     prot opt in     out     source               destination
 3163  131K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID
  43M 2483M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT 72M packets, 95G bytes)
 pkts bytes target     prot opt in     out     source               destination
 2265  647K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID

Gnome 2 >> Unity >> KDE 4 >> Openbox >> Awesome >> Xmonad
GitHub , BitBuket

Aivar	# 8 лет, 1 месяц назад
Темы: 4 Сообщения: 6897 Участник с: 17 февраля 2011	Haron_Prime, а можно то же самое, только на пальцах: от каких бед спасет в данном случае файрволл?

NoVASpirit	# 8 лет, 1 месяц назад
Темы: 6 Сообщения: 158 Участник с: 21 января 2011	Aivar Haron_Prime, а можно то же самое, только на пальцах: от каких бед спасет в данном случае файрволл? Например наглядно покажет какой процесс или приложение лезет в интернет...

nafanja	# 8 лет, 1 месяц назад (отредактировано 8 лет, 1 месяц назад)
Темы: 94 Сообщения: 9252 Участник с: 02 июня 2012 заблокирован	в тему о защите. вот тут набросал несколько конфигов если кто разбирается может что посоветовать на сколько это необходимо? /etc/sysctl.d/net.conf # Отключаем IP-форвардинг net.ipv4.ip_forward = 0 # Активируем защиту от IP-спуфинга. net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1 # Устраняем ARP Flux Problem net.ipv4.conf.all.arp_filter = 1 net.ipv4.conf.default.arp_filter = 1 # Запрещаем маршрутизацию от источника. net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0 net.ipv6.conf.all.accept_source_route = 0 net.ipv6.conf.default.accept_source_route = 0 # Отключение приема перенаправлений net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv6.conf.all.accept_redirects = 0 net.ipv6.conf.default.accept_redirects = 0 net.ipv4.conf.all.secure_redirects = 0 net.ipv4.conf.default.secure_redirects = 0 # Защита против неправильных сообщений об ошибках net.ipv4.icmp_ignore_bogus_error_responses = 1 # Не отвечаем на ICMP ECHO запросы, переданные широковещательными пакетами net.ipv4.icmp_echo_ignore_broadcasts = 1 # Можно вообще не отвечать на ICMP ECHO запросы (сервер не будет пинговаться) # net.ipv4.icmp_echo_ignore_all = 1 net.ipv4.tcp_syncookies = 1 # Разрешаем повторное использование TIME-WAIT сокетов в случаях, если протокол считает это безопасным. net.ipv4.tcp_tw_reuse = 1 # Разрешаем динамическое изменение размера окна TCP стека net.ipv4.tcp_window_scaling = 1 # Защищаемся от TIME_WAIT атак. net.ipv4.tcp_rfc1337 = 1 /etc/iptables/ip6tables.rules filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] :TCP - [0:0] :UDP - [0:0] ## LOGDROP chain :LOGDROP - [0:0] -A LOGDROP -m limit --limit 5/min --limit-burst 10 -j LOG #--log-level debug --log-prefix "ip6_invalid " #-A LOGDROP -j AUDIT --type drop -A LOGDROP -j DROP # Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn`t use lo0 -A INPUT -i lo -j ACCEPT #-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT # Accepts all established inbound connections -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT ## log AND drop packets that hit this rule: -A INPUT -m conntrack --ctstate INVALID -j LOGDROP -A INPUT -m conntrack --ctstate INVALID -j DROP -A INPUT -p icmpv6 -m icmp6 --icmpv6-type echo-request -m conntrack --ctstate NEW -j ACCEPT -A INPUT -p udp -m conntrack --ctstate NEW -j UDP -A INPUT -p tcp --syn -m conntrack --ctstate NEW -j TCP -A INPUT -p udp -j REJECT --reject-with icmp6-port-unreachable -A INPUT -p tcp -j REJECT --reject-with tcp-reset #-A INPUT -j REJECT --reject-with icmp6-proto-unreachable -A INPUT -j REJECT --reject-with icmp6-adm-prohibited # Allows HTTP and HTTPS connections from anywhere (the normal ports for websites) -A TCP -p tcp --dport 80 -j ACCEPT -A TCP -p tcp --dport 443 -j ACCEPT # Allows FTP and FTPS connections -A TCP -p tcp --dport 21 -j ACCEPT -A TCP -p tcp --dport 990 -j ACCEPT # Allows SSH connections # THE -dport NUMBER IS THE SAME ONE YOU SET UP IN THE SSHD_CONFIG FILE -A TCP -p tcp --dport 22 -j ACCEPT -A UDP -p udp --dport 53 -j ACCEPT COMMIT /etc/iptables/iptables.rules* filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] :TCP - [0:0] :UDP - [0:0] ## LOGDROP chain :LOGDROP - [0:0] -A LOGDROP -m limit --limit 5/min --limit-burst 10 -j LOG #--log-level debug --log-prefix "ip4_invalid " #-A LOGDROP -j AUDIT --type drop -A LOGDROP -j DROP # Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn`t use lo0 -A INPUT -i lo -j ACCEPT #-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT # Accepts all established inbound connections -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT ## log AND drop packets that hit this rule: -A INPUT -m conntrack --ctstate INVALID -j LOGDROP -A INPUT -m conntrack --ctstate INVALID -j DROP -A INPUT -p icmp -m icmp --icmp-type echo-request -m conntrack --ctstate NEW -j ACCEPT -A INPUT -p udp -m conntrack --ctstate NEW -j UDP -A INPUT -p tcp --syn -m conntrack --ctstate NEW -j TCP -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable -A INPUT -p tcp -j REJECT --reject-with tcp-reset #-A INPUT -j REJECT --reject-with icmp-proto-unreachable -A INPUT -j REJECT --reject-with icmp-admin-prohibited # Allows HTTP and HTTPS connections from anywhere (the normal ports for websites) -A TCP -p tcp --dport 80 -j ACCEPT -A TCP -p tcp --dport 443 -j ACCEPT # Allows FTP and FTPS connections -A TCP -p tcp --dport 21 -j ACCEPT -A TCP -p tcp --dport 990 -j ACCEPT # Allows SSH connections # THE -dport NUMBER IS THE SAME ONE YOU SET UP IN THE SSHD_CONFIG FILE -A TCP -p tcp --dport 22 -j ACCEPT -A UDP -p udp --dport 53 -j ACCEPT COMMIT это сборка из разных источников, хочу включить ее всвой инсталлятор, но недостаточно в этом разбираюсь. Псевдографический инсталлятор Arch Linux ver. 3.8.2 Благодарности принимаются на ЯД 410012815723874*

nafanja

# 8 лет, 1 месяц назад (отредактировано 8 лет, 1 месяц назад)

Темы: 94

Сообщения: 9252

Участник с: 02 июня 2012

заблокирован

в тему о защите.
вот тут набросал несколько конфигов
если кто разбирается может что посоветовать на сколько это необходимо?
/etc/sysctl.d/net.conf

# Отключаем IP-форвардинг
net.ipv4.ip_forward = 0

# Активируем защиту от IP-спуфинга.
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# Устраняем ARP Flux Problem
net.ipv4.conf.all.arp_filter = 1
net.ipv4.conf.default.arp_filter = 1

# Запрещаем маршрутизацию от источника.
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

net.ipv6.conf.all.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0

# Отключение приема перенаправлений
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0

net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0

net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0

# Защита против неправильных сообщений об ошибках
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Не отвечаем на ICMP ECHO запросы, переданные широковещательными пакетами
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Можно вообще не отвечать на ICMP ECHO запросы (сервер не будет пинговаться)
# net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.tcp_syncookies = 1

# Разрешаем повторное использование TIME-WAIT сокетов в случаях, если протокол считает это безопасным.
net.ipv4.tcp_tw_reuse = 1

# Разрешаем динамическое изменение размера окна TCP стека
net.ipv4.tcp_window_scaling = 1

# Защищаемся от TIME_WAIT атак.
net.ipv4.tcp_rfc1337 = 1

/etc/iptables/ip6tables.rules

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]

:TCP - [0:0]
:UDP - [0:0]

## LOGDROP chain
:LOGDROP - [0:0]

-A LOGDROP -m limit --limit 5/min --limit-burst 10 -j LOG
#--log-level debug --log-prefix "ip6_invalid "
#-A LOGDROP -j AUDIT --type drop
-A LOGDROP -j DROP
# Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn`t use lo0
-A INPUT -i lo -j ACCEPT
#-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT

# Accepts all established inbound connections
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
## log AND drop packets that hit this rule:
-A INPUT -m conntrack --ctstate INVALID -j LOGDROP
-A INPUT -m conntrack --ctstate INVALID -j DROP

-A INPUT -p icmpv6 -m icmp6 --icmpv6-type echo-request -m conntrack --ctstate NEW -j ACCEPT

-A INPUT -p udp -m conntrack --ctstate NEW -j UDP
-A INPUT -p tcp --syn -m conntrack --ctstate NEW -j TCP

-A INPUT -p udp -j REJECT --reject-with icmp6-port-unreachable
-A INPUT -p tcp -j REJECT --reject-with tcp-reset

#-A INPUT -j REJECT --reject-with icmp6-proto-unreachable
-A INPUT -j REJECT --reject-with icmp6-adm-prohibited
# Allows HTTP and HTTPS connections from anywhere (the normal ports for websites)
-A TCP -p tcp --dport 80 -j ACCEPT
-A TCP -p tcp --dport 443 -j ACCEPT

# Allows FTP and FTPS connections
-A TCP -p tcp --dport 21 -j ACCEPT
-A TCP -p tcp --dport 990 -j ACCEPT

# Allows SSH connections
# THE -dport NUMBER IS THE SAME ONE YOU SET UP IN THE SSHD_CONFIG FILE
-A TCP -p tcp --dport 22 -j ACCEPT

-A UDP -p udp --dport 53 -j ACCEPT
COMMIT

/etc/iptables/iptables.rules

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]

:TCP - [0:0]
:UDP - [0:0]

## LOGDROP chain
:LOGDROP - [0:0]

-A LOGDROP -m limit --limit 5/min --limit-burst 10 -j LOG
#--log-level debug --log-prefix "ip4_invalid "
#-A LOGDROP -j AUDIT --type drop
-A LOGDROP -j DROP
# Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn`t use lo0
-A INPUT -i lo -j ACCEPT
#-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT

# Accepts all established inbound connections
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
## log AND drop packets that hit this rule:
-A INPUT -m conntrack --ctstate INVALID -j LOGDROP
-A INPUT -m conntrack --ctstate INVALID -j DROP

-A INPUT -p icmp -m icmp --icmp-type echo-request -m conntrack --ctstate NEW -j ACCEPT

-A INPUT -p udp -m conntrack --ctstate NEW -j UDP
-A INPUT -p tcp --syn -m conntrack --ctstate NEW -j TCP

-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -j REJECT --reject-with tcp-reset

#-A INPUT -j REJECT --reject-with icmp-proto-unreachable
-A INPUT -j REJECT --reject-with icmp-admin-prohibited
# Allows HTTP and HTTPS connections from anywhere (the normal ports for websites)
-A TCP -p tcp --dport 80 -j ACCEPT
-A TCP -p tcp --dport 443 -j ACCEPT

# Allows FTP and FTPS connections
-A TCP -p tcp --dport 21 -j ACCEPT
-A TCP -p tcp --dport 990 -j ACCEPT

# Allows SSH connections
# THE -dport NUMBER IS THE SAME ONE YOU SET UP IN THE SSHD_CONFIG FILE
-A TCP -p tcp --dport 22 -j ACCEPT

-A UDP -p udp --dport 53 -j ACCEPT
COMMIT

это сборка из разных источников, хочу включить ее всвой инсталлятор, но недостаточно в этом разбираюсь.

Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874