Firewall v Ubuntu 8.04 Hardy Heron

[LS]

Nevsiml jsem si ze by to bylo nekde obzvlast zduraznovano, ale rozhodne pozitivne hodnotim zarazeni firewallu ufw (Uncomplicated Firewall) do zakladni instalace Ubuntu 8.04 Hardy Heron. Jiz mene pozitivne hodnotim to, ze firewall je sice nainstalovany, ale nespousti se automaticky se startem systemu . Tento stav si muzete overit prikazem

Kód: [Vybrat]

sudo ufw statusPo rucnim "nahozeni" prikazem

Kód: [Vybrat]

sudo ufw enablese firewall okamzite aktivuje a nastavi automaticke spousteni s kazdym dalsim startem systemu. Vychozi konfigurace firewallu povoluje veskera odchozi spojeni a naopak blokuje veskera pruchozi a prichozi spojeni.

Podrobny vypis nastavenych filtru ziskate prikazem

Kód: [Vybrat]

sudo iptables -L
Casem se jiste objevi ruzne dalsi upravy a vylepseni tento zakladni konfirurace, v kazdem pripade musim vyvojare pochvalit za zarazeni firewallu, jen nechapu proc je sice nainstalovany, ale vypnuty.

[8472]

hm, cital som o tom ze tam bude nieco taketo, ale mna by skor zaujimalo, ci ufw je len nejaka "nadstavba" , resp. management nastroj pre iptables nahradzajuci povedzme firestarter, alebo to celkovo nahradza iptables?

[LS]

Samozrejme je to jenom skript pro konfiguraci iptables. Jedna se o nastroj vyvinuty specialne pro Ubuntu.

[8472]

aha, super, no, tak si tiez pockam na viac info k tomu, som na to celkom zveadvy

[TIBOR]

To ma zaujima. Co to presnejsie je. Je to nejaka graf. nadstavba? Ak nie bude stale funkcne nastavovanie cez fiirestarter?

[LS]

Neni to zadna graficka nadstavba, konfiguruje se z prikazoveho radku. Dokud ufw rucne neaktivujete, je sice nainstalovany, ale nic nedela. Muzete tedy v klidu pouzivat dale Firestarter nebo FireHOL apod.

[nodrive]

jen nechapu proc je sice nainstalovany, ale vypnuty.

Ubuntu currently does not have an integrated firewall in its base installation. The tools that are available to create a firewall are largely based on GUI applications and/or designed for advanced users. Additionally, existing tools also do not provide package integration so that when a network daemon is installed, users have to determine on their own how to integrate the application with the firewall.

https://wiki.ubuntu.com/UbuntuFirewall

[nodrive]

A mohl bych někoho poprosit o výpis

Kód: [Vybrat]

sudo iptables-save ve výchozím stavu po zapnutí ufw? Dík!

[nezik]

Kód: [Vybrat]

nezik@notes:~$ sudo iptables-save
# Generated by iptables-save v1.3.8 on Fri Apr 25 19:12:29 2008
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-output - [0:0]
:ufw-not-local - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-output - [0:0]
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A ufw-after-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK FORWARD]: "
-A ufw-after-forward -j RETURN
-A ufw-after-input -p udp -m udp --dport 137 -j RETURN
-A ufw-after-input -p udp -m udp --dport 138 -j RETURN
-A ufw-after-input -p tcp -m tcp --dport 139 -j RETURN
-A ufw-after-input -p tcp -m tcp --dport 445 -j RETURN
-A ufw-after-input -p udp -m udp --dport 67 -j RETURN
-A ufw-after-input -p udp -m udp --dport 68 -j RETURN
-A ufw-after-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK INPUT]: "
-A ufw-after-input -j RETURN
-A ufw-after-output -j RETURN
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-forward -j RETURN
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -s 224.0.0.0/240.0.0.0 -j ACCEPT
-A ufw-before-input -d 224.0.0.0/240.0.0.0 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-input -j RETURN
-A ufw-before-output -i lo -j ACCEPT
-A ufw-before-output -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -p udp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-before-output -j RETURN
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK NOT-TO-ME]: "
-A ufw-not-local -j DROP
-A ufw-user-forward -j RETURN
-A ufw-user-input -j RETURN
-A ufw-user-output -j RETURN
COMMIT
# Completed on Fri Apr 25 19:12:29 2008


[c4pp4]

Řek bych, že je dobře, že je výchozí nastavení na vypnuto. Jsem s tímhle řešením moc spokojenej, jednodušší a rychlejší už to snad ani nemůže bejt
Pokud by někdo sháněl postup jak shodit odezvu tak tady je:

sudo nano -w /etc/ufw/before.rules

v následujícím řádku změnit ACCEPT na DROP:

   -A ufw-before-input -p icmp --icmp-type echo-request -j DROP

[auswood]

Myslíte že tak jak je nastavený firewall UFW stačí že je to tak opravdu bezpečné? Ještě jsem se chtěl zeptat jak i veškerou odchozí komunikaci zakázat a povolit jen používanou? A poslední otázka když potřebuji jeden port pro stahování přes tranmission povolit i přichozí komunikaci tímto příkazem

Kód: [Vybrat]

sudo ufw allow 51222/tcp není to moc velké nebezpečné? Na stahování jsem to povolil a po jsem ten port hned zakázal.

[c4pp4]

Myslíte že tak jak je nastavený firewall UFW stačí že je to tak opravdu bezpečné? Ještě jsem se chtěl zeptat jak i veškerou odchozí komunikaci zakázat a povolit jen používanou? A poslední otázka když potřebuji jeden port pro stahování přes tranmission povolit i přichozí komunikaci tímto příkazem

Kód: [Vybrat]

sudo ufw allow 51222/tcp není to moc velké nebezpečné? Na stahování jsem to povolil a po jsem ten port hned zakázal.

UFW je ve výchozím nastavení vypnutý, po zapnutí je povolena veškerá odchozí komunikace, veškerá příchozí je zakázána. Pokud nemáte skutečný důvod zakazovat odchozí komunikaci, tak to nedělejte. Transmission používá jako výchozí port 51413 (aspoň v případě mé instalace), pokud jste si ho nezměnil na vámi uvedený port 51222. Podle mě to žádné nebezpečí není. Daleko obezřetnější byste měl být při otvírání prvních 1023 portů pro příchozí komunikaci, což jsou tzv. servisní porty: http, ftp atd. Abych to shrnul, pokud nemáte pro příchozí komunikaci povolené porty z prvních 1023 a navíc máte zakázanou odezvu (můj příspěvek výše), tak jste na internetu, dalo by se říci, neviditelný

[auswood]

Díky

[auswood]

Ještě něco jak se nastavuje je na této stránce http://www.ubuntugeek.com/ufw-uncomplicated-firewall-for-ubuntu-hardy.html

[jamaica]

Není pro tohle grafický prostředí?

[auswood]

Není ale není potřeba vždyť to není složité. Příkazy jsou jednoduché. Příchozí komunikaci kterou chceš povolit stačí jen povolit příkazem a je to. Můžeš povolit port který potřebuješ. Odchozí komunikace je povolena všechna takže ti pošlape vše hned stačí ufw jen zapnout viz. příspěvek výše. U mě se jedná jen o port na transmission (torrenty) v základu by se na tebe nikdo nedostal protože veškerá příchozí komunikace je zakázaná. Ufw je super je v základní instalaci nic jiného už instalovat nepotřebujete.

[dingo]

ako povolim v ufw prichadzajucu a odchadzajucu komunikaciu pre LAN??? (pocitacie v sieti su prepojene cez router a nemaju pevne IP).....lebo ked mam zapnuty firewall tak mi nepovoli pristup na siet, ani ostatnym PC na moj PC

[RadovanF]

Dobrý den,
já mám problém s tím, že mi ufw po restartu počítače znova nenabíhá.

Kód: [Vybrat]

$ sudo ufw enable
Firewall started and enabled on system startup
restart počítače...

Kód: [Vybrat]

$ sudo ufw status
Firewall not loaded

$ sudo ufw enable
Firewall started and enabled on system startup

$ sudo ufw status
Firewall loaded

To                         Action  From
--                         ------  ----
22:tcp                     ALLOW   Anywhere
22:udp                     ALLOW   Anywhere
80:tcp                     ALLOW   Anywhere
obsah /etc/ufw/ufw.conf:

Kód: [Vybrat]

# /etc/ufw/ufw.conf
#

# set to yes to start on boot
ENABLED=yes
Netušíte, čím by to mohlo být? Díky předem.

[nodrive]

4nezik. Ještě jeden dík.

Netušíte, čím by to mohlo být?

A je v /etc/init.d?

[jakoty]

Není pro tohle grafický prostředí?

Skus pozriet http://code.google.com/p/gui-ufw/ .

[RadovanF]

A je v /etc/init.d?

Ano je. Je totozny se souborem  /etc/init.d/ufw na jinem pc (stejny OS), kde ufw po restartu "nabiha".

[nezik]

Grafické prostředí pro UFW je na Launchpadu.

[pivik]

Grafické prostředí pro UFW je na Launchpadu.

zkoušel ho už někdo?

[nezik]

já jo, je to jednoduchý a funkční.