Debian: Która zapora ogniowa?

10

Muszę zainstalować zaporę ogniową na moim serwerze (więc bez X Server). To jest Debian Lenny. Jeśli to możliwe, chcę uniknąć używania iptables. Czy jest łatwiejszy sposób na zainstalowanie / skonfigurowanie zapory?

security  debian  firewall  headless 
fego
źródło

Odpowiedzi:

14

Na początku zapora ogniowa powinna być ostatnim krokiem do zabezpieczenia serwera. Usuń wszystkie niepotrzebne oprogramowanie i usługi, zaktualizuj system za pomocą najnowszych dostępnych poprawek zabezpieczeń i przejrzyj pliki konfiguracyjne.

Dlaczego chcesz unikać iptables?

„Ponieważ jestem nowicjuszem” nie jest prawdziwą wymówką. Zapora sieciowa „jedno kliknięcie wszystko bezpieczne” nie istnieje, a jeśli oprogramowanie używa takiego hasła, prawdopodobnie jest to oprogramowanie typu snakeoil.

Jeśli nie masz doświadczenia w podstawach sieciowych, musisz się tego nauczyć, aby skonfigurować działającą zaporę. :-)

Jeśli nie chcesz samodzielnie tworzyć reguł iptable, masz dwie opcje:

  • dostosuj istniejące skrypty znalezione w sieci
  • użyj narzędzia GUI, aby samodzielnie utworzyć reguły

iptables to interfejs do warstwy sieciowej jądra. Od tego będzie zależeć prawie każde rozwiązanie dla systemu Linux.

Tutajniektóre skomentował przykładowe skrypty / tutoriale. Łatwo znajdziesz więcej dzięki wyszukiwarce Google .

Oto lista narzędzi GUI, których można użyć do utworzenia reguł iptable:

Świetną książką o serwerach Linux i bezpieczeństwie jest „Budowanie bezpiecznych serwerów z Linuksem” od O'Reilly.

Nie zniechęcaj się i przepraszaj za „twarde” słowa, ale serwer w Internecie nie jest zabawką i będziesz za to odpowiedzialny.

echox
źródło
1
dzięki za odpowiedź. Kupiłem książkę o administracji LInux i będę studiował iptable, ale zanim przejrzę do łatwych łańcuchów lub ufw.
fego
10

Możesz rozważyć wypróbowanie ufw . Chociaż został stworzony dla Ubuntu Server, uważam, że jest on również dostępny w Debianie. ( AKTUALIZACJA : Niestety wygląda na to, że jest dostępna tylko do ściśnięcia i sid zgodnie z packages.debian.org , ale nadal warto się temu przyjrzeć.) Powiedziałbym, że ostatecznie chcesz przejść do pisania własnych iptable reguł , Początkowo uważałem ufw za bardzo łatwy w użyciu i bardzo łatwy do przejścia z. Oto kilka najważniejszych informacji:

  • Wygodna składnia: ufw allow 22lub ufw allow sshto wszystko, co jest wymagane, aby zezwolić na przychodzący ruch ssh, jeśli domyślną zasadą jest ODMOWA.

  • Łatwe logowanie: ufw logging onwłączy dość rozsądne logowanie. Zaletą logowania jest to, że domyślnie upuszcza szczególnie hałaśliwe usługi (czy ktoś ma port 137?).

  • Możliwość wdrażania skomplikowanych zasad: na komputerze domowym używam ufw i obecnie prowadzę dość skomplikowane zasady.

  • Możliwość dodawania własnych iptable reguł. Prawie każda polityka może być nadal zaimplementowana z ufw, nawet jeśli domyślny interfejs nie zapewnia mechanizmu, ponieważ zawsze możesz dodawać własne reguły.

  • Świetna dokumentacja: man ufwczęsto wszystko, czego potrzebujesz, aby rozwiązać jakiś problem lub odpowiedzieć na pytanie - co jest świetne, jeśli konfigurujesz zaporę w trybie offline.

To nie jest zapora sieciowa „kliknij jeden przycisk, a będziesz bezpieczny”. Pod koniec dnia, co naprawdę robi jest zapewnić łatwy w użyciu składni regułach tworzenia, trochę abstrakcji wokół iptables-savei iptables-restorei przynosi pewne zasady i praktyki, które początkujący mogą nie wiedzieć o domyślne.

Steven D.
źródło
1
+1 ufw jest bardzo łatwy w użyciu i po tym można łatwo przejść do iptables, ponieważ poziom abstrakcji jest w sam raz (nie jest zbyt wysoki jak wskaż i kliknij i nie jest zbyt niski ze względu na ładne wartości domyślne).
Barthelemy
0

spróbuj na brzegu ... Jestem z tego całkiem zadowolony i uważam, że bardzo łatwo jest skonfigurować wszystko, czego potrzebuję. (W tym kształtowanie ruchu, NAT, DNAT i inne rzeczy).

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.