Fórum Ubuntu CZ/SK
Ubuntu pro osobní počítače => Internet a sítě => Téma založeno: iX 23 Května 2011, 16:04:01
-
Jde nějak na Linuxu nastavit firewall pro konkrétní aplikace?
Když třeba mám zakázáno vše a povoleno jen to, co chci, jak potom povolit jen pro KTorrent všechno odevšad na libovolnym portu a a libovolným rozhraní?
-
co vim neexistuje v linuxu jednoduchy zpusob jak vytvaret pravidla na urovni aplikace
duvodu je vice, hlavni filtr v jadre (iptables) vytvareni takovych pravidel neumoznuje, a dale je temer nemozne zarucit, ze napr. KTorrent je skutecne KTorrent a ne KTorrent.malware
ufw v ubuntu ma jakesi nastaveni podle aplikaci (viz man ufw, ufw app), ale to definuje jen porty a ip rozsahy dle potreb konkretni aplikace bez toho, ze by se pravidlo uplatnovalo pouze pro ni
na druhou stranu ufw ve vychozim nastaveni (allow outgoing, deny incoming) poskytuje zakladni a relativne bezpecnou filtraci, protoze povoluje jen "ESTABLISHED" incoming spojeni, coz pri pouzivani torrent klientu (u me transmission) staci - jen mizive procento prichozich spojeni je odmitnuto
/that said/ bych take byl radsi kdyby takova moznost v linuxu byla
-
Jo, už aby to nekdo napravil... ;D
Jinak je zajímavy - divny, že v Kubuntu 11.04 jsem měl ufw defaultne vypnutý (čistá instalace) - a všechno procházelo ::).
-
Nesla by nejaka podobna konstrukce napriklad ve fireholu?
server ktorrent accept
-
Jo, už aby to nekdo napravil... ;D
Jinak je zajímavy - divny, že v Kubuntu 11.04 jsem měl ufw defaultne vypnutý (čistá instalace) - a všechno procházelo ::).
tomu nerozumim :-\
-
Ještě bych chtěl vyřešit toto: Příchozí spojení bitorrentu přes teredo. Log ufw mám plný tohoto - viz níže, a žádné příchozí spojení v KTorentu. Když ufw vypnu, jede to - plno teredích (ipv6) příchozích spojení v logu ktorentu.
May 24 18:19:45 aa kernel: [ 1157.419846] [UFW BLOCK] IN=teredo OUT= MAC= SRC=2001:0000:5ef5:79fd:10b7:103e:a83f:5f09 DST=2001:0000:98aa:064c:14b2:3333:b2cf:77ca LEN=40 TC=0 HOPLIMIT=21 FLOWLBL=0 PROTO=59
May 24 18:19:45 aa kernel: [ 1157.619125] [UFW BLOCK] IN=teredo OUT= MAC= SRC=2001:0000:5ef5:79fd:38e6:3c1a:a54b:3311 DST=2001:0000:98aa:064c:14b2:3333:b2cf:77ca LEN=40 TC=0 HOPLIMIT=21 FLOWLBL=0 PROTO=59
May 24 18:20:05 aa kernel: [ 1177.346269] [UFW BLOCK] IN=teredo OUT= MAC= SRC=2001:0000:5ef5:73b8:3884:1735:2baf:b6fd DST=2001:0000:98aa:064c:14b2:3333:b2cf:77ca LEN=40 TC=0 HOPLIMIT=21 FLOWLBL=0 PROTO=59
Přes ufw tento protokol - 59 - nejde vůbec zadat-povolit, ufw zná jen tcp a udp!
Nastavení ufw:
ee@aa:~$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
Do Akce Od
-- ---- --
6881 ALLOW IN Anywhere
6881 ALLOW IN Anywhere (v6)
ee@aa:~$
A ip6tables:
ee@aa:~$ sudo ip6tables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ufw6-before-logging-input all ::/0 ::/0
ufw6-before-input all ::/0 ::/0
ufw6-after-input all ::/0 ::/0
ufw6-after-logging-input all ::/0 ::/0
ufw6-reject-input all ::/0 ::/0
ufw6-track-input all ::/0 ::/0
Chain FORWARD (policy DROP)
target prot opt source destination
ufw6-before-logging-forward all ::/0 ::/0
ufw6-before-forward all ::/0 ::/0
ufw6-after-forward all ::/0 ::/0
ufw6-after-logging-forward all ::/0 ::/0
ufw6-reject-forward all ::/0 ::/0
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ufw6-before-logging-output all ::/0 ::/0
ufw6-before-output all ::/0 ::/0
ufw6-after-output all ::/0 ::/0
ufw6-after-logging-output all ::/0 ::/0
ufw6-reject-output all ::/0 ::/0
ufw6-track-output all ::/0 ::/0
Chain ufw6-after-forward (1 references)
target prot opt source destination
Chain ufw6-after-input (1 references)
target prot opt source destination
ufw6-skip-to-policy-input udp ::/0 ::/0 udp dpt:137
ufw6-skip-to-policy-input udp ::/0 ::/0 udp dpt:138
ufw6-skip-to-policy-input tcp ::/0 ::/0 tcp dpt:139
ufw6-skip-to-policy-input tcp ::/0 ::/0 tcp dpt:445
ufw6-skip-to-policy-input udp ::/0 ::/0 udp dpt:67
ufw6-skip-to-policy-input udp ::/0 ::/0 udp dpt:68
Chain ufw6-after-logging-forward (1 references)
target prot opt source destination
LOG all ::/0 ::/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix `[UFW BLOCK] '
Chain ufw6-after-logging-input (1 references)
target prot opt source destination
LOG all ::/0 ::/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix `[UFW BLOCK] '
Chain ufw6-after-logging-output (1 references)
target prot opt source destination
Chain ufw6-after-output (1 references)
target prot opt source destination
Chain ufw6-before-forward (1 references)
target prot opt source destination
DROP all ::/0 ::/0 rt type:0
ufw6-user-forward all ::/0 ::/0
Chain ufw6-before-input (1 references)
target prot opt source destination
ACCEPT all ::/0 ::/0
DROP all ::/0 ::/0 rt type:0
ACCEPT icmpv6 ::/0 ::/0 ipv6-icmp type 135 HL match HL == 255
ACCEPT icmpv6 ::/0 ::/0 ipv6-icmp type 136 HL match HL == 255
ACCEPT icmpv6 ::/0 ::/0 ipv6-icmp type 133 HL match HL == 255
ACCEPT icmpv6 ::/0 ::/0 ipv6-icmp type 134 HL match HL == 255
ACCEPT all ::/0 ::/0 state RELATED,ESTABLISHED
ACCEPT icmpv6 fe80::/10 ::/0 ipv6-icmp type 129
ufw6-logging-deny all ::/0 ::/0 state INVALID
DROP all ::/0 ::/0 state INVALID
ACCEPT icmpv6 ::/0 ::/0 ipv6-icmp type 1
ACCEPT icmpv6 ::/0 ::/0 ipv6-icmp type 2
ACCEPT icmpv6 ::/0 ::/0 ipv6-icmp type 3
ACCEPT icmpv6 ::/0 ::/0 ipv6-icmp type 4
ACCEPT icmpv6 ::/0 ::/0 ipv6-icmp type 128
ACCEPT udp ::/0 ::/0 udp spt:67 dpt:68
ACCEPT udp ::/0 ff02::fb/128 udp dpt:5353
ufw6-user-input all ::/0 ::/0
Chain ufw6-before-logging-forward (1 references)
target prot opt source destination
Chain ufw6-before-logging-input (1 references)
target prot opt source destination
Chain ufw6-before-logging-output (1 references)
target prot opt source destination
Chain ufw6-before-output (1 references)
target prot opt source destination
ACCEPT all ::/0 ::/0
DROP all ::/0 ::/0 rt type:0
ACCEPT icmpv6 ::/0 ::/0 ipv6-icmp type 135 HL match HL == 255
ACCEPT icmpv6 ::/0 ::/0 ipv6-icmp type 136 HL match HL == 255
ACCEPT all ::/0 ::/0 state RELATED,ESTABLISHED
ufw6-user-output all ::/0 ::/0
Chain ufw6-logging-allow (0 references)
target prot opt source destination
LOG all ::/0 ::/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix `[UFW ALLOW] '
Chain ufw6-logging-deny (1 references)
target prot opt source destination
RETURN all ::/0 ::/0 state INVALID limit: avg 3/min burst 10
LOG all ::/0 ::/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix `[UFW BLOCK] '
Chain ufw6-reject-forward (1 references)
target prot opt source destination
Chain ufw6-reject-input (1 references)
target prot opt source destination
Chain ufw6-reject-output (1 references)
target prot opt source destination
Chain ufw6-skip-to-policy-forward (0 references)
target prot opt source destination
DROP all ::/0 ::/0
Chain ufw6-skip-to-policy-input (6 references)
target prot opt source destination
DROP all ::/0 ::/0
Chain ufw6-skip-to-policy-output (0 references)
target prot opt source destination
ACCEPT all ::/0 ::/0
Chain ufw6-track-input (1 references)
target prot opt source destination
Chain ufw6-track-output (1 references)
target prot opt source destination
ACCEPT tcp ::/0 ::/0 state NEW
ACCEPT udp ::/0 ::/0 state NEW
Chain ufw6-user-forward (1 references)
target prot opt source destination
Chain ufw6-user-input (1 references)
target prot opt source destination
ACCEPT tcp ::/0 ::/0 tcp dpt:6881
ACCEPT udp ::/0 ::/0 udp dpt:6881
Chain ufw6-user-limit (0 references)
target prot opt source destination
Chain ufw6-user-limit-accept (0 references)
target prot opt source destination
Chain ufw6-user-logging-forward (0 references)
target prot opt source destination
Chain ufw6-user-logging-input (0 references)
target prot opt source destination
Chain ufw6-user-logging-output (0 references)
target prot opt source destination
Chain ufw6-user-output (1 references)
target prot opt source destination
ee@aa:~$
-
sudo apt-get install gufw a tam ti to hneď ponúkne možnosť, ktorú hladáš.
-
Joj... Naneštěstí s instalací gufw je třeba nainstalovat asi půlku Gnome...fuj! Do tohoto jít nechci... :o
Ale díky že aspoň vím, že to asi pujde.
On ten gufw je přece jenom taky jenom nádstavba pro ufw, jako je ufw nádstavba pro iptables, že?
Jestli ten gufw nááhodou máš nainstalený, nemohl bys prosím tě v něm todle povolit, a vhodit sem výpis iptables? (A pak to zase zakázat).
-
Jáááj KDEčkar :D
-
Sorry za to fuj.. :D
Ale nemoh' jsem si pomoct ;D
-
Už jsem na to přišel! : ;D ;D
sudo ip6tables -I INPUT -p 59 -j ACCEPT
sudo ip6tables -I INPUT -p 129 -j ACCEPT
Důležité bylo toto zadat až po tom, co je ip6tables nastaveno pomocí ufw; a taky to "-I", místo obvyklého "-A", - aby se pravidlo provedlo hned na začátku, než jsou tyto pakety poslány do dalších sekcí ip6tables, kde jsou nakonec jako "invalid" sešrotovány...
Asi z ufw přejdu rovnou na ip(6)tables, ufw je až příliš jednoduchý (uncomplicated firewall ;)), iptables už trochu začínám chápat...
Takže teď mi už do ktorrentu jdou i příchozí spojení, i když jsem za NATem! ;D ;D