Fórum Ubuntu CZ/SK

Ostatní => Archiv => Téma založeno: David 16 Prosince 2006, 18:46:59

Název: Jak nastavit Firehol pro domácí desktop
Přispěvatel: David 16 Prosince 2006, 18:46:59

Mám počítač s veřejnou ip a rád bych měl správně nastavený Firewall.
Použil jsem Firehol, podle návodu "[HOWTO] - Jak nastavit Ubuntu 6.10 Edgy Eft po instalaci z CD"

Zjistil jsem ale, že mi v tomto nastavení blokuje procházení některých stránek. (např. jedna, která komunikovala přes port 1250, nebo toto fórum se nenačítalo celé - pořád to loadovalo, i když prakticky všechno jsem už viděl.)

Prošel jsem dost diskuzí kolem fireholu tady na ubuntu ale nenapadlo mě nic lepšího, než si přidat do konfiguráku fireholu toto:

Kód: [Vybrat]

server_tcpnevim_ports="tcp/1024:3000"
client_tcpnevim_ports="default"

client tcpnevim acceptTeď už ty stránky chodí bez problému. Rád bych ale věděl, jestli jsem si tímto povolením portů příliš nenarušil bezpečnost počítače?

Případně jak to udělat jinak, abych při běžném procházení stránek nemusel koukat do kern.log, co je blokované a následně to odblokovávat?

Přidávám ještě komplet konfigurák fireholu, kdybyste mi někdo doporučili jakékoli vylepšení, budu vděčný. Počítač mám na serfování po web strákách, ftp, pošta - pop a smtp. Žádné serverové služby na něm nepotřebuji.

Kód: [Vybrat]

#
# $Id: client-all.conf,v 1.2 2002/12/31 15:44:34 ktsaou Exp $
#
# This configuration file will allow all requests originating from the
# local machine to be send through all network interfaces.
#
# No requests are allowed to come from the network. The host will be
# completely stealthed! It will not respond to anything, and it will
# not be pingable, although it will be able to originate anything
# (even pings to other hosts).
#

version 5

# Accept all client traffic on any interface
#interface any world
#client all accept

DEFAULT_CLIENT_PORTS="1024:65535"

server_icq_ports="tcp/5190"
client_icq_ports="default"
server_tcpnevim_ports="tcp/1024:3000"
client_tcpnevim_ports="default"


interface ra0 internet
    policy drop
    protection strong 10/sec 10
    server ident reject with tcp-reset
#    server ssh    accept
#    server ping    accept
client icmp  accept
    client dhcp    accept
    client dns    accept
    client http    accept
    client https    accept
client smtp  accept
    client ftp    accept
    client ntp    accept
    client ssh    accept
    client icq    accept
    client jabber    accept
    client cups    accept
    client samba    accept
client ping accept
client tcpnevim accept
client pop3 accept

UNMATCHED_INPUT_POLICY="DROP"
UNMATCHED_OUTPUT_POLICY="DROP"
FIREHOL_LOG_LEVEL=4Předem děkuji.