Файервол на десктопе,как настраивать и надо ли?

Привет арчеводы !Мучает уже вот несколько месяцев вопрос по безопасности системы,в частности при подключении к интернету , от интернет атак.Так вот вопрос, следует ли беспокоиться и настраивать файервол на десктопе или же можно жить и без него? Читал что для этого дела нужно настраивать iptables(может что-то еще), но так я его и не осилил( ,может кто-нибудь поделится соображениями по этому поводу,как вы настраиваете,выстраиваете защиту при подключению к интернету. Я этого сколько не пытался постичь так и не понял,если не затруднит объясните или ткните носом на статью с чего начать и на целесообразность настройки.Я обычный юзер,которому нравится линукс, но вот это что-то не могу понять,заранее спасибо за ответ.
Non progredi - est regredi
antiron
Так вот вопрос, следует ли беспокоиться и настраивать файервол на десктопе
Думаю не следует
Да пребудет с нами Сила...!
CPU Intel Core i9 10900-KF/RAM DDR4 128 Gb/NVidia GForce GTX 1080 Ti Turbo 11Gb/SSD M2 512 Gb/HDD Seagate SATA3 2 Tb/HDD Toshiba 3Tb/HDD Toshiba 6Tb
http://rusrailsim.org
Конечно, нужен) а вот где это другой вопрос...
Самое просто оптимальное и повсюду применяемое ставится между lan и wan запретив все входящие из wan а потом открыв только необходимое.
Ошибки в тексте-неповторимый стиль автора©
Безопасность от чего?
shpinog
Безопасность от чего?
От всего,что бывает при подключении интернет провода к компьютеру.
Non progredi - est regredi
antiron, задаваясь подобным вопросом, почитывал кое-что о фронтэндах iptables и, признаться, так и не понял зачем мне файрволл. С Вашего позволения (для непонятливых) я переформулирую вопрос: объясните, пожалуйста, мне, полному лаптю в сетях, смысл сабжа в отсутствии локалки и наличии одной сетевой карты, в которую воткнут шнурок от провайдера.
iptables можно использовать и так

-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state INVALID -j DROP
к примеру
даже при единственной сетевой карте и отсутствии локалки
вполне себя оправдывает

 Chain INPUT (policy ACCEPT 542K packets, 75M bytes)
 pkts bytes target     prot opt in     out     source               destination
 3163  131K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID
  43M 2483M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT 72M packets, 95G bytes)
 pkts bytes target     prot opt in     out     source               destination
 2265  647K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID
Gnome 2 >> Unity >> KDE 4 >> Openbox >> Awesome >> Xmonad
GitHub , BitBuket
Haron_Prime, а можно то же самое, только на пальцах: от каких бед спасет в данном случае файрволл?
Aivar
Haron_Prime, а можно то же самое, только на пальцах: от каких бед спасет в данном случае файрволл?

Например наглядно покажет какой процесс или приложение лезет в интернет...
в тему о защите.
вот тут набросал несколько конфигов
если кто разбирается может что посоветовать на сколько это необходимо?
/etc/sysctl.d/net.conf
# Отключаем IP-форвардинг
net.ipv4.ip_forward = 0

# Активируем защиту от IP-спуфинга.
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# Устраняем ARP Flux Problem
net.ipv4.conf.all.arp_filter = 1
net.ipv4.conf.default.arp_filter = 1

# Запрещаем маршрутизацию от источника.
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

net.ipv6.conf.all.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0

# Отключение приема перенаправлений
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0

net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0

net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0

# Защита против неправильных сообщений об ошибках
net.ipv4.icmp_ignore_bogus_error_responses = 1

# Не отвечаем на ICMP ECHO запросы, переданные широковещательными пакетами
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Можно вообще не отвечать на ICMP ECHO запросы (сервер не будет пинговаться)
# net.ipv4.icmp_echo_ignore_all = 1
net.ipv4.tcp_syncookies = 1

# Разрешаем повторное использование TIME-WAIT сокетов в случаях, если протокол считает это безопасным.
net.ipv4.tcp_tw_reuse = 1

# Разрешаем динамическое изменение размера окна TCP стека
net.ipv4.tcp_window_scaling = 1

# Защищаемся от TIME_WAIT атак.
net.ipv4.tcp_rfc1337 = 1
/etc/iptables/ip6tables.rules
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]

:TCP - [0:0]
:UDP - [0:0]

## LOGDROP chain
:LOGDROP - [0:0]

-A LOGDROP -m limit --limit 5/min --limit-burst 10 -j LOG
#--log-level debug --log-prefix "ip6_invalid "
#-A LOGDROP -j AUDIT --type drop
-A LOGDROP -j DROP
# Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn`t use lo0
-A INPUT -i lo -j ACCEPT
#-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT

# Accepts all established inbound connections
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
## log AND drop packets that hit this rule:
-A INPUT -m conntrack --ctstate INVALID -j LOGDROP
-A INPUT -m conntrack --ctstate INVALID -j DROP

-A INPUT -p icmpv6 -m icmp6 --icmpv6-type echo-request -m conntrack --ctstate NEW -j ACCEPT

-A INPUT -p udp -m conntrack --ctstate NEW -j UDP
-A INPUT -p tcp --syn -m conntrack --ctstate NEW -j TCP

-A INPUT -p udp -j REJECT --reject-with icmp6-port-unreachable
-A INPUT -p tcp -j REJECT --reject-with tcp-reset

#-A INPUT -j REJECT --reject-with icmp6-proto-unreachable
-A INPUT -j REJECT --reject-with icmp6-adm-prohibited
# Allows HTTP and HTTPS connections from anywhere (the normal ports for websites)
-A TCP -p tcp --dport 80 -j ACCEPT
-A TCP -p tcp --dport 443 -j ACCEPT

# Allows FTP and FTPS connections
-A TCP -p tcp --dport 21 -j ACCEPT
-A TCP -p tcp --dport 990 -j ACCEPT

# Allows SSH connections
# THE -dport NUMBER IS THE SAME ONE YOU SET UP IN THE SSHD_CONFIG FILE
-A TCP -p tcp --dport 22 -j ACCEPT

-A UDP -p udp --dport 53 -j ACCEPT
COMMIT
/etc/iptables/iptables.rules
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]

:TCP - [0:0]
:UDP - [0:0]

## LOGDROP chain
:LOGDROP - [0:0]

-A LOGDROP -m limit --limit 5/min --limit-burst 10 -j LOG
#--log-level debug --log-prefix "ip4_invalid "
#-A LOGDROP -j AUDIT --type drop
-A LOGDROP -j DROP
# Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn`t use lo0
-A INPUT -i lo -j ACCEPT
#-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT

# Accepts all established inbound connections
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
## log AND drop packets that hit this rule:
-A INPUT -m conntrack --ctstate INVALID -j LOGDROP
-A INPUT -m conntrack --ctstate INVALID -j DROP

-A INPUT -p icmp -m icmp --icmp-type echo-request -m conntrack --ctstate NEW -j ACCEPT

-A INPUT -p udp -m conntrack --ctstate NEW -j UDP
-A INPUT -p tcp --syn -m conntrack --ctstate NEW -j TCP

-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -j REJECT --reject-with tcp-reset

#-A INPUT -j REJECT --reject-with icmp-proto-unreachable
-A INPUT -j REJECT --reject-with icmp-admin-prohibited
# Allows HTTP and HTTPS connections from anywhere (the normal ports for websites)
-A TCP -p tcp --dport 80 -j ACCEPT
-A TCP -p tcp --dport 443 -j ACCEPT

# Allows FTP and FTPS connections
-A TCP -p tcp --dport 21 -j ACCEPT
-A TCP -p tcp --dport 990 -j ACCEPT

# Allows SSH connections
# THE -dport NUMBER IS THE SAME ONE YOU SET UP IN THE SSHD_CONFIG FILE
-A TCP -p tcp --dport 22 -j ACCEPT

-A UDP -p udp --dport 53 -j ACCEPT
COMMIT

это сборка из разных источников, хочу включить ее всвой инсталлятор, но недостаточно в этом разбираюсь.
Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874
 
Зарегистрироваться или войдите чтобы оставить сообщение.