Odpowiedzi:
Na początku zapora ogniowa powinna być ostatnim krokiem do zabezpieczenia serwera. Usuń wszystkie niepotrzebne oprogramowanie i usługi, zaktualizuj system za pomocą najnowszych dostępnych poprawek zabezpieczeń i przejrzyj pliki konfiguracyjne.
Dlaczego chcesz unikać iptables?
„Ponieważ jestem nowicjuszem” nie jest prawdziwą wymówką. Zapora sieciowa „jedno kliknięcie wszystko bezpieczne” nie istnieje, a jeśli oprogramowanie używa takiego hasła, prawdopodobnie jest to oprogramowanie typu snakeoil.
Jeśli nie masz doświadczenia w podstawach sieciowych, musisz się tego nauczyć, aby skonfigurować działającą zaporę. :-)
Jeśli nie chcesz samodzielnie tworzyć reguł iptable, masz dwie opcje:
iptables to interfejs do warstwy sieciowej jądra. Od tego będzie zależeć prawie każde rozwiązanie dla systemu Linux.
Tutaj są niektóre skomentował przykładowe skrypty / tutoriale. Łatwo znajdziesz więcej dzięki wyszukiwarce Google .
Oto lista narzędzi GUI, których można użyć do utworzenia reguł iptable:
Świetną książką o serwerach Linux i bezpieczeństwie jest „Budowanie bezpiecznych serwerów z Linuksem” od O'Reilly.
Nie zniechęcaj się i przepraszaj za „twarde” słowa, ale serwer w Internecie nie jest zabawką i będziesz za to odpowiedzialny.
Możesz rozważyć wypróbowanie ufw . Chociaż został stworzony dla Ubuntu Server, uważam, że jest on również dostępny w Debianie. ( AKTUALIZACJA : Niestety wygląda na to, że jest dostępna tylko do ściśnięcia i sid zgodnie z packages.debian.org , ale nadal warto się temu przyjrzeć.) Powiedziałbym, że ostatecznie chcesz przejść do pisania własnych iptable reguł , Początkowo uważałem ufw za bardzo łatwy w użyciu i bardzo łatwy do przejścia z. Oto kilka najważniejszych informacji:
Wygodna składnia: ufw allow 22
lub ufw allow ssh
to wszystko, co jest wymagane, aby zezwolić na przychodzący ruch ssh, jeśli domyślną zasadą jest ODMOWA.
Łatwe logowanie: ufw logging on
włączy dość rozsądne logowanie. Zaletą logowania jest to, że domyślnie upuszcza szczególnie hałaśliwe usługi (czy ktoś ma port 137?).
Możliwość wdrażania skomplikowanych zasad: na komputerze domowym używam ufw i obecnie prowadzę dość skomplikowane zasady.
Możliwość dodawania własnych iptable reguł. Prawie każda polityka może być nadal zaimplementowana z ufw, nawet jeśli domyślny interfejs nie zapewnia mechanizmu, ponieważ zawsze możesz dodawać własne reguły.
Świetna dokumentacja: man ufw
często wszystko, czego potrzebujesz, aby rozwiązać jakiś problem lub odpowiedzieć na pytanie - co jest świetne, jeśli konfigurujesz zaporę w trybie offline.
To nie jest zapora sieciowa „kliknij jeden przycisk, a będziesz bezpieczny”. Pod koniec dnia, co naprawdę robi jest zapewnić łatwy w użyciu składni regułach tworzenia, trochę abstrakcji wokół iptables-save
i iptables-restore
i przynosi pewne zasady i praktyki, które początkujący mogą nie wiedzieć o domyślne.
spróbuj na brzegu ... Jestem z tego całkiem zadowolony i uważam, że bardzo łatwo jest skonfigurować wszystko, czego potrzebuję. (W tym kształtowanie ruchu, NAT, DNAT i inne rzeczy).