Firewall a Ubuntu 8.10

[radondca]

Zdravim vsetkych. Asi budem vyzerat trosku blbo, ale akosi o firewall nic neniem a tak sa chcem spytat ako to je s firewalle v 8.10, nastavuje sa nieco ci sa spusta firewall automaticky, ci vlastne ako to je ?
Moc dakujem za vysvetlenie

[Vojtěch Trefný]

http://wiki.ubuntu.cz/Firewall

[radondca]

dakujem za link, ten som uz precital predtym, ale stale som z toho uplne mimo, stale neviem ci uz je nieco zapnute, ci si to treba este len zapat a asi treba to nejak nastavit, ide o to v ktorom tom prostredi a vlastne ako?/
Z tohoto som uplne blby:((((((
dik rado

[Vojtěch Trefný]

Aha, asi ten návod  trochu poupravím

Tedy ve výchozí instalaci je firewall zapnut a funguje silně restriktivně (zabezpečení je na dostatečné úrovni) a něco dělat musíte jen ve chvíli, kdy chcete něco měnit nebo nastavovat.

[radondca]

moc dakujem za vysvetlenie, uz snad mi to je teda jasne, cize nemusim nic menit v tejto chvili menit a nastavovat.

[truhlik]

Tedy ve výchozí instalaci je firewall zapnut a funguje silně restriktivně (zabezpečení je na dostatečné úrovni) a něco dělat musíte jen ve chvíli, kdy chcete něco měnit nebo nastavovat.

Ja se domnival, ze iptables neni nastaveno, dokonce me o tom i presvedcil vypis iptables -L z ciste instalace II. Takze i kdyz tam nemam nastavena zadna pravidla tak se mi nejaky provoz filtruje?

Kód: [Vybrat]

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination   


[umiyaki]

Aha, asi ten návod  trochu poupravím

Tedy ve výchozí instalaci je firewall zapnut a funguje silně restriktivně (zabezpečení je na dostatečné úrovni) a něco dělat musíte jen ve chvíli, kdy chcete něco měnit nebo nastavovat.

V Ubuntu 8.04.1 po instalaci příkaz

Kód: [Vybrat]

sudo ufw status vypisuje, že ufw není zapnutý a je nutné zadat příkaz

Kód: [Vybrat]

sudo ufw enable Jedná se pouze o status ufw nebo není funkční firewall (iptables), prostě nedochází k žádnému filtrování směrem dovnitř?

[PetrHerynk]

Já používám guarddog

[radondca]

no a teraz uz tomu vobec nerozumiem,  teda uz zas, lebo vlastne ako to teda je?
je nejaky firewall alebo nie?

[umiyaki]

no a teraz uz tomu vobec nerozumiem,  teda uz zas, lebo vlastne ako to teda je?
je nejaky firewall alebo nie?

No, já po instalaci zadám příkaz

Kód: [Vybrat]

sudo ufw enable a tím spustím ufw, což je jednoduchý konfigurační nástroj pro iptables.
Popis je na wiki http://wiki.ubuntu.cz/UFW. Existuje i grafická nádstavba GUFW http://wiki.ubuntu.cz/GUFW. Zadávání a mazání pravidel je jednoduché a zatím funguje spolehlivě...

Jen mám trošku podezření, jestli uvedený demon ufw trošku při startu systému nebojuje s prográmkem knockd pro port knocking, protože ten se mi nedaří automaticky spustit po startu.

[luisah]

no a teraz uz tomu vobec nerozumiem,  teda uz zas, lebo vlastne ako to teda je?
je nejaky firewall alebo nie?

Do teď žiju v tom, že iptables (to je vlastně ten základní firewall) je po instalaci neaktivní. Musí se tedy nějak aktivovat.
Pokud to tak je, tak stačí ho nějak aktivovat - tedy viz. příkazy výše:
sudo ufw enable
nebo
já používám jednoduchý firestarter - nainstaluje se, spustí se, projde se průvdoce a to je vše. To samé umožňuje grafická nadstavba ufw Gufw.

[Evžen Šubrt]

To by mě teda taky zajímalo, jak to s tím firewallem opravdu je. Již od dob EE žiju v přesvědčení, že je po instalaci aktivní s velmi konzervativní politikou. (Pamatuju se, jak jsem se trápil s povolením portů pro ET či Americas Army).

[xfce]

Snad to nevyzní špatně, ale to tápání v tomto threadu mě částečně potěšilo. Když jsem se totiž před nějakou dobou zajímal jak to s fw je a že mi nepřijde ideální, když je řečeno něco jako "fw je již v základu nastaven, tak se o to nestarejte" a že u Win aspoň vím, že jsou děravý, tak si tam dám třeba Kerio a nutí mě to si ho nastavit, tak jsem byl poslán do ....., ať si táhnu zpět k Windows.
No a teď koukám, že i lidé, u kterých bych minimálně podle počtu příspěvků očekával že budou vědět, vlastně taky tápou. Jenže na rozdíl od těch co mě tenkrát poslali do ..... to aspoň na rovinu řeknou, což je sympatické 

K věci: jak jsem to pochopil já, iptables (fw v linuxu) beží vždy, nic se zapínat nemusí a Ubuntu je v defaultu nastaveno tak, že odmítá veškerá příchozí spojení a povoluje veškerá odchozí. Jenže jsem si to nikdy neověřil  Potom co napsal truhlik, že po instalaci nejsou žádná pravidla (teď jsem koukal, taky v tom výpisu nic nemám), tak jsem přišel o jednu z "jistot", kterou jsem v souvislosti s bezpečností měl. ufw, gufw, firestarter atd jsou jen utilitky, které umožňují iptables pohodlněji nastavovat, tzn. to že je pouštíte nemá žádný vliv, pokud jimi žádná pravidla nevytvoříte (myšleno obecně, firestarter podle popisu má nějakého průvodce, takže jeho proklikáním vlastně ty pravidla vytvořím).
Opravdu by to chtělo, aby někdo znalý problematiky napsal jednoznačně jak to je s tím defaultním silně restriktivním fw, když iptables -L jak psal truhlik neukáže nic.

[radondca]

no ako vidim, a trocha ma to potesilo:), tak vlastne niesom uplne sam co je z toho uplne mimo a fakt nechapem co mam vlastne teraz spravit a hlavne co teda funguje a co nie. Keby teda fakt niekto znaly povedal nejake mudre slova a popripade napisal nejaky fakt dobry navod co spravit, pretoze tu bolo spomenutych viac aplikacii, ale to mi nepomohlo, lebo ja som vedcine tych nastaveni vobec nerozumel, cize aj ked y som cosi skusal, aj tak neviem co nastavit, lebo mi to vobec nic nehovori. Takze keby mal niekto torsku casu a povedal aj co kde nastavit, lebo ja neviem , moznosti je dost, ale kedze ja fakt neviem tak su mi moznosti na nic.
Takze moc dakujem vopred niekomu, kto to snad vysvetli aj pre mna blbeho

[PetrHerynk]

Játo samozřejmě také nevím, dám však na tvrzení p.Trefného, že iptables je nastaven defaultně při instalaci. Abych si byl 2x jist, nainstaloval jsem guarddog i přesto. V něm jsem povolil procedury, které používám. Mám ale občas problém, že mi guarddog přeruší přístup k netu. To se ale dá lehce napravit, že ho znovu nastavím a zase je vše OK. Tak se zařiď podle svého názoru sám.

[PetrHerynk]

Abych to doplnil, jedu chvíli pod KD4, chvíli pod Gnome, tam asi guarddog nefunguje. Věřím, že na mne nikdo neútočí, co by si také na důchodci vzal.

[xfce]

Tady nejde o to, jestli na počítači zrovna něco zajímavého máte nebo ne. Tady jde o princip. Vždy se tvrdilo, že windowsáci vůbec netuší, co se jim pod těma okýnkama děje, zatímco linuxáci mají vše pěkně pod kontrolou. No a jak se nám tu ukazuje, zatímco ve win mám fw povolující komunikaci jen mnou vybraným aplikacím na daných portech, tak u Ubuntu se ani nemůžeme shodnout, jestli fw po instalaci něco dělá nebo ne..
Na Ubuntu není ve výchozí instalaci ani žádný GUI program, který by fw uměl nastavovat - což já osobně u "BFU" distribuce považuji za chybu. Také jedna z úvodních vět na wiki, že firewall nepotřebujeme je trochu nešťastná a mate lidi, my ho potřebujeme, nepotřebujeme jen měnit jeho nastavení, pokud se tedy ukáže, že po instalaci funguje opravdu tak, jak se ve wiki tvrdí.

[luisah]

Tady nejde o to, jestli na počítači zrovna něco zajímavého máte nebo ne. Tady jde o princip. Vždy se tvrdilo, že windowsáci vůbec netuší, co se jim pod těma okýnkama děje, zatímco linuxáci mají vše pěkně pod kontrolou. No a jak se nám tu ukazuje, zatímco ve win mám fw povolující komunikaci jen mnou vybraným aplikacím na daných portech, tak u Ubuntu se ani nemůžeme shodnout, jestli fw po instalaci něco dělá nebo ne..
Na Ubuntu není ve výchozí instalaci ani žádný GUI program, který by fw uměl nastavovat - což já osobně u "BFU" distribuce považuji za chybu. Také jedna z úvodních vět na wiki, že firewall nepotřebujeme je trochu nešťastná a mate lidi, my ho potřebujeme, nepotřebujeme jen měnit jeho nastavení, pokud se tedy ukáže, že po instalaci funguje opravdu tak, jak se ve wiki tvrdí.

S tím, že v Ubuntu není nějaký udělátko pro nastavení hned po instalaci si myslím, že je chyba - naprostý souhlas.
Když si vememe např. mandrivu, opensuse, tam v ovládácím centru najdete možnost si nastavit firewall - nemusí se nic doinstalovávat.

[umiyaki]

Tady nejde o to, jestli na počítači zrovna něco zajímavého máte nebo ne. Tady jde o princip. Vždy se tvrdilo, že windowsáci vůbec netuší, co se jim pod těma okýnkama děje, zatímco linuxáci mají vše pěkně pod kontrolou. No a jak se nám tu ukazuje, zatímco ve win mám fw povolující komunikaci jen mnou vybraným aplikacím na daných portech, tak u Ubuntu se ani nemůžeme shodnout, jestli fw po instalaci něco dělá nebo ne..
Na Ubuntu není ve výchozí instalaci ani žádný GUI program, který by fw uměl nastavovat - což já osobně u "BFU" distribuce považuji za chybu. Také jedna z úvodních vět na wiki, že firewall nepotřebujeme je trochu nešťastná a mate lidi, my ho potřebujeme, nepotřebujeme jen měnit jeho nastavení, pokud se tedy ukáže, že po instalaci funguje opravdu tak, jak se ve wiki tvrdí.

No, dnes budu nově instalovat jeden notebook, tak pokud nezapomenu, zkusím z druhého pc proskenovat porty zda jsou open, closed nebo stealth a potom znovu po aktivaci ufw. Je pravda, že jsem se dočetl, že po instalací není aktivní právě ufw, ale o tom zda je v tu chvíli aktivní blokování přímo na základě iptables tam není nic.

No, o fw ve windows raději pomlčet. Neznám přímo fw ve vistách, ale v XP si dělal tak trošku co chtěl. Každá MS-kamoš aplikace si otevřela příslušný portík sama a člověk v tom měl chaos docela dost. Nastavení toku směrem ven nebylo možné vůbec.

Pravdou je, že věta "Potřebuji firewall?  Otázka je to celkem složitá a také by měla být lépe položená, ale jednoduchá odpověď zní - pokud neprovozujete server, tak ne.", je nesmysl.

1. Popírá ji hned následující tvrzení, že ubuntu firewall ihned po instalaci obsahuje a tím je právě iptables
2. Myslím si, že pro notebook, a s ním související připojování na různé neznámé bezdrátové sítě, je firewall docela potřebný.

Dále věta "Ve výchozím nastavení je Iptables nastaveno velmi konzervativně a zakazuje veškerý příchozí přenos - váš počítač je tedy dostatečně chráněn a dodatečná nastavení nejspíš nebudete potřebovat." zase, pokud je pravdivá, řeší celou tuto diskuzi. Otázkou je, jak při případné editaci tuto provedeme. Zásah přímo do iptables (což asi ne každý dá) a nebo pomocí některého s uvedených prográmků...

[PetrHerynk]

Já s vámi souhlasím, myslím si jen, že mne snad guarddog resp. iptables chrání. Snad ano.

[umiyaki]

Tady nejde o to, jestli na počítači zrovna něco zajímavého máte nebo ne. Tady jde o princip. Vždy se tvrdilo, že windowsáci vůbec netuší, co se jim pod těma okýnkama děje, zatímco linuxáci mají vše pěkně pod kontrolou. No a jak se nám tu ukazuje, zatímco ve win mám fw povolující komunikaci jen mnou vybraným aplikacím na daných portech, tak u Ubuntu se ani nemůžeme shodnout, jestli fw po instalaci něco dělá nebo ne..
Na Ubuntu není ve výchozí instalaci ani žádný GUI program, který by fw uměl nastavovat - což já osobně u "BFU" distribuce považuji za chybu. Také jedna z úvodních vět na wiki, že firewall nepotřebujeme je trochu nešťastná a mate lidi, my ho potřebujeme, nepotřebujeme jen měnit jeho nastavení, pokud se tedy ukáže, že po instalaci funguje opravdu tak, jak se ve wiki tvrdí.

S tím, že v Ubuntu není nějaký udělátko pro nastavení hned po instalaci si myslím, že je chyba - naprostý souhlas.
Když si vememe např. mandrivu, opensuse, tam v ovládácím centru najdete možnost si nastavit firewall - nemusí se nic doinstalovávat.

ufw je tam hned :-) Stačí aktivovat... Většinou ten kdo instaluje OS (Lin, Win) je natolik technicky zdatný, že zvládne i nastavení firewalu.

[Spock lone wolf]

Abych to doplnil, jedu chvíli pod KD4, chvíli pod Gnome, tam asi guarddog nefunguje. Věřím, že na mne nikdo neútočí, co by si také na důchodci vzal.

Ani tak vzal, jako spíš přidal. A pak už je jen krůček k tomu mít tu další zombie stroj na rozesílání spamu / k provádění útoků ap.
Neříkám že je to váš případ, ale přístup nemám co ztratit (ve formě dokumentů ap.) => útočník o mě nebude mít zájem tady vůbec neplatí.

[umiyaki]

Abych to doplnil, jedu chvíli pod KD4, chvíli pod Gnome, tam asi guarddog nefunguje. Věřím, že na mne nikdo neútočí, co by si také na důchodci vzal.

Ani tak vzal, jako spíš přidal. A pak už je jen krůček k tomu mít tu další zombie stroj na rozesílání spamu / k provádění útoků ap.
Neříkám že je to váš případ, ale přístup nemám co ztratit (ve formě dokumentů ap.) => útočník o mě nebude mít zájem tady vůbec neplatí.

Instalace potom

Kód: [Vybrat]

sudo ufw enable, jednou za týden scan pc (rootkity) a pokud nejsem banka, každej se na lámání do mého počítače vykašle...

btw: žádný systém není nedobytný ...

[luisah]

Na Ubuntu není ve výchozí instalaci ani žádný GUI program, který by fw uměl nastavovat - což já osobně u "BFU" distribuce považuji za chybu.

S tím, že v Ubuntu není nějaký udělátko pro nastavení hned po instalaci si myslím, že je chyba - naprostý souhlas.
Když si vememe např. mandrivu, opensuse, tam v ovládácím centru najdete možnost si nastavit firewall - nemusí se nic doinstalovávat.

ufw je tam hned :-) Stačí aktivovat... Většinou ten kdo instaluje OS (Lin, Win) je natolik technicky zdatný, že zvládne i nastavení firewalu.

Samozřejmě. Tady šlo o GUI udělátko. To ve výchozí instalaci není.

[PetrHerynk]

Díky, hotovo.