Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.
Vaše pomoc je stále potřeba!

Autor Téma: Firewall a Ubuntu 8.10  (Přečteno 9469 krát)

Sešívaný

  • Stálý člen
  • **
  • Příspěvků: 667
    • Osobní stránky
Re: Firewall a UBUNTU 8.10
« Odpověď #25 kdy: 03 Prosince 2008, 20:04:26 »
Firewall po instalaci aktivovaný NENÍ!!!
Stačí se podívat do výpisu iptables. Tvrzení, že Ubuntu v základu blokuje veškerá spojení dovnitř a naopak povoluje všechna ven, tak trochu postrádá logiku. A jak byste asi komunikovali s okolím, když by fungovala komunikace jen jedním směrem?
Po instalaci iptables neblokují vůbec nic, zkuste si potom spustit příkaz "sudo ufw default deny" a uvidíte, kolik služeb přestane najednou fungovat.

Jinak jako gui je nyní doporučováno Gufw, což je víceméně obdoba Firestarteru.

Ravensun

  • Aktivní člen
  • *
  • Příspěvků: 405
  • LL - jako Linux lama :o)
    • Linux a MSI M655 notebook
Re: Firewall a UBUNTU 8.10
« Odpověď #26 kdy: 03 Prosince 2008, 20:17:45 »
Já teda nevím jak vy, ale to že někdo zvládne nainstalovat ubuntu ještě neznamená, že dokáže dobře nastavit firewall.
Osobně mám zkušenost, že vždy když jsem se snažil nastavit firewall nebo jej nějak upravit pro "lepší" bezpečnost,
tak jsem si to tak rozházel, že mi nešlo ani nic instalovat (teď mluvím o zkušenosti z Windows a firewall).
Nemyslím si, že každý zná a chápe pravidla v sítích, protokoly, porty atd...
 :-\
Sabayon Gnome-Shell,  MSI M655 AMD Turion64 2GHz, 2x512DDR, ATI X1600 256MB DDR3, PATA, webcam sn9c201, cardreader oz711mp1, bluetooth, wifi ralink rt2500, 
Ubuntu 12.04  64bit, Desktop Intel Pentium D 3,4GHz 800MHz FSB, 2x2GB RAM DDR2, MSI N560GTX-Ti Hawk,
http://maps.google.com/maps?f=q&hl=cs&geocode=&q=http:%2F%2Fufaak.wz.cz%2Fubuntu%2Fubuntu.php&ie=UTF8&z=5  -  Mapa ubunťáků

Sešívaný

  • Stálý člen
  • **
  • Příspěvků: 667
    • Osobní stránky
Re: Firewall a UBUNTU 8.10
« Odpověď #27 kdy: 03 Prosince 2008, 20:42:29 »
Já teda nevím jak vy, ale to že někdo zvládne nainstalovat ubuntu ještě neznamená, že dokáže dobře nastavit firewall.
Osobně mám zkušenost, že vždy když jsem se snažil nastavit firewall nebo jej nějak upravit pro "lepší" bezpečnost,
tak jsem si to tak rozházel, že mi nešlo ani nic instalovat (teď mluvím o zkušenosti z Windows a firewall).
Nemyslím si, že každý zná a chápe pravidla v sítích, protokoly, porty atd...
 :-\

Jestli reagujete na mě, tak já jsem jen uváděl věci na pravou míru.
To, že není firewall v Ubuntu defaultně zapnutý má svůj význam. Člověk to totiž na běžném linuxovém desktopu opravdu nutně nepotřebuje. Je třeba si uvědomit, že v drtivé většině případů už za nějakým firewallem jste (firewall vašeho ISP, firewall ve vašem domácím routeru atd.). Tím, že někdo firewall aktivuje a příliš problematice nerozumí, začne se utápět v problémech, kdy mu nefunguje to nebo to. Linux nemá nic jako dynamické nastavování pravidel, kdy člověku vyskočí okno, že daná aplikace chce jít na internet, jestli se jí to má povolit. Pokud nevíte, po kterých portech daná aplikace komunikuje, tak jste nahraný. Proto si stojím za tím, že běžný uživatel, který je alespoň za jedním firewallem a jeho počítač tak nemá vystrčený holý zadek do internetu, firewall v Ubuntu nepotřebuje.

TIBOR

  • Závislák
  • ***
  • Příspěvků: 6535
  • Som uzivatel linuxovej distribucie, som linuxak?
Re: Firewall a UBUNTU 8.10
« Odpověď #28 kdy: 03 Prosince 2008, 20:57:47 »
Ono to take zlozite nieje. Napriklad firestarter ked nainstalujes prejdes wizardom ktori ta pekne prevedie nastavenim a potom doladujes.
Mas na vyber bud zakazanie vsetkeho(restrictive by default, whitelist traffic) alebo povolenie vsetkeho(restrictive by default, blacklist traffic).
http://gmage.gigacast.sk/images/unregistered/firestarter1_228499b553.png
ak ti nieco nejde, jednoducho zapnes firestarter. Prepnes sa na events a tam sa ti zobrazi aky port sa pokusa ist von.
http://gmage.gigacast.sk/images/unregistered/firestarter2_1bd69c7df3.png
a ty uz len dole v allow service pridas port.
http://gmage.gigacast.sk/images/unregistered/firestarter3_f2bff08078.png
Samozrejme je to trochu skratene a je tam aj viac moznosti nastavenia.

Este doplnim ze som skusal aj ten gufw a tam mi nefungovalo ani to celkove zakazanie a povolenie prevadzky. Nech som nastavol cokolvek vzdy vsetko preslo. Tak neviem ci to bolo nieco medzi stolickou ...
« Poslední změna: 03 Prosince 2008, 21:01:31 od TIBOR »
HP Laptop 17-ca1xxx Ubuntu Mate 24.04 FF 64bit.
Asus X751LB-TY014H Ubuntu Mate 20.04.1 FF 64bit.
Linus, Lajnas, Línus, Luínus, Lajnus a je mi naozaj jedno, ako ľudia vyslovujú moje meno. Ale "Linux" je vždy "Linux". LINUS TORVALDS, tvorca Linuxového jadra.(V dokumente Revolution OS)

radondca

  • Návštěvník
  • Příspěvků: 25
Re: Firewall a UBUNTU 8.10
« Odpověď #29 kdy: 03 Prosince 2008, 21:03:03 »
no ako vidim rozputal som tu zaujmavu debatu na zaujmavu temu, ale akosi som sa v tom vsetkom utopil, uz zas, a tak vlastne neviem aky je z toho vsetkeho result??????????
A na druhej strane som clovek, ktory zvladol nainstalovat UBUNTU uz dokonca 2x a to mi nepride ziadne umenie, je to len klikanie bez rozmyslania, ale veru nastavit FIREWALL veru neviem, lebo mi akosi nic nehovoria IP adresia veci so sietami spolocne, ja proste poznam tak WWW.nazovstranky.sk a to je tak asi vsetko a snad hovorim aj za inych uzivatelov amaterov, ze tato debata je super a isto mudra, ale co tteda vlastne mam spravit a ako to mam spravit?????? A prosim nejako lahko aj pre mna a ked to pochopim potom aj ja a zvladnem to tak to potom bude aj navod pre vsetkych ostatnych.
Dakujem za pomoc

xfce

  • Návštěvník
  • Příspěvků: 82
Re: Firewall a UBUNTU 8.10
« Odpověď #30 kdy: 04 Prosince 2008, 01:20:38 »
Firewall po instalaci aktivovaný NENÍ!!!
Ok, ono to podle výpisu iptables -L tak vypadalo, ale potom je na wiki uvedený nesmysl, který spoustu lidí zmátl: "Ve výchozím nastavení je Iptables nastaveno velmi konzervativně a zakazuje veškerý příchozí přenos - váš počítač je tedy dostatečně chráněn a dodatečná nastavení nejspíš nebudete potřebovat."
Tvrzení, že Ubuntu v základu blokuje veškerá spojení dovnitř a naopak povoluje všechna ven, tak trochu postrádá logiku. A jak byste asi komunikovali s okolím, když by fungovala komunikace jen jedním směrem?
Pokud to bylo na mě (podobnou větu jsem použil) tak každý asi chápe, že byla myšlena navazovaná spojení, což je uplně něco jiného, než že by nemohly proudit dovnitř žádné pakety (tzn. odpovědi na spojení navázané směrem ven). Jediné co by nešlo, že by nikdo nemohl navázat spojení z jiného počítače na náš, na čemž by nebylo nic divného, protože pokud pominu domácí síť, tak z internetu to stejně většinou nejde díky našim PC schovaným za NATem adsl routeru, takže to není žádná překážka v normálním fungování. Ale naopak, když vezmu NB a připojím se wifinou na nádraží, je to výrazná ochrana (teda byla by, kdyby fw opravdu bylo v základu nastaveno).
Po instalaci iptables neblokují vůbec nic, zkuste si potom spustit příkaz "sudo ufw default deny" a uvidíte, kolik služeb přestane najednou fungovat.
Nezkoušel jsem, ale pokud bloknu jen eth0, nemělo by přestat fungovat prakticky nic. Jediné, co mi maximálně nepůjde, je přístup z vedlejšího počítače na sdílené složky, ale to je snad logické. Na desktopu doma málokdo provozuje veřejně přístupný web/ftp/mysql/.. takže pochybuji, že nějakou změnu po aktivaci fw zaznamená. A kdo provozuje, bude si umět příslušný port povolit, stejně bude muset nejspíše udělat port forward a svém routeru, takže o tom tak jako tak musí něco vědět.
Jinak jako gui je nyní doporučováno Gufw, což je víceméně obdoba Firestarteru.
Tuto aplikaci jsem zkoušel a je možná až moc jednoduchá, člověk v tom skoro nic nenastaví. Firestarter mi přijde podle screenů lepší volba (neměl jsem dnes čas se na to podívat "na živo").

Závěr: chtělo by to opravit wiki a výrazně upozornit, co udělat, aby fw běžel. Je to přesně přístup Microsoftu před X lety, který mu všichni linuxáci vyčítali: "povolíme radši všechno, aby uživatel neremcal, že mu něco nefunguje - bezpečnost až na posledním místě". Přitom drtivá většina uživatelů by politikou zákazu příchozích spojení nebyla nijak dotčena, u NB připojujících se na různé pofidérní wifi sítě spíše naopak a pro těch pár, co si potřebují rozjet nějakou službu nebo sdílení by byl návod (klidně ikonka na ploše), jak to povolit (aspoň by přesně věděli, co si povolili a že vše ostatní je zakázáno). Rozhodně lepší, když 1% lidí něco nepůjde, než aby 99% lidí mělo absolutně nezabezpečené počítače a navíc bez jejich vědomí. Jsem tímto zjištěním dost zklamán, MS přístup k bezpečnosti v bledě modrém  :-[
« Poslední změna: 04 Prosince 2008, 01:23:44 od xfce »

Henrynr

  • Aktivní člen
  • *
  • Příspěvků: 366
Re: Firewall a UBUNTU 8.10
« Odpověď #31 kdy: 04 Prosince 2008, 09:52:11 »
Moje zkušenost je taková, že Firewall (iptables) po instalaci JE spuštěn, ale VEŠKERÁ komunikace je povolena. Tedy pro správnou funkci FW je tento potřeba nastavit. Například Firestarterem v mém případě.
Doma i v práci Linux Mint 17

TIBOR

  • Závislák
  • ***
  • Příspěvků: 6535
  • Som uzivatel linuxovej distribucie, som linuxak?
Re: Firewall a UBUNTU 8.10
« Odpověď #32 kdy: 04 Prosince 2008, 10:10:04 »
Teda ale pozeram ze tu odzneli snad vsetky varianty nastavenia firewallu. Takto to dopadne ked sa nezapoji nettezzaumana aby nastolil poriadok v tomto chaose. :-)
HP Laptop 17-ca1xxx Ubuntu Mate 24.04 FF 64bit.
Asus X751LB-TY014H Ubuntu Mate 20.04.1 FF 64bit.
Linus, Lajnas, Línus, Luínus, Lajnus a je mi naozaj jedno, ako ľudia vyslovujú moje meno. Ale "Linux" je vždy "Linux". LINUS TORVALDS, tvorca Linuxového jadra.(V dokumente Revolution OS)

aloisam

  • Host
Re: Firewall a UBUNTU 8.10
« Odpověď #33 kdy: 04 Prosince 2008, 11:31:54 »
no lidi, jako lamu, mě výsledek týhle debaty taky zajímá... proto ten příspěvek, líp se mně to bude sledovat :)
btw jsem si nechal oskenovat porty a všechny jsou prej zavřený. bez jakýhokoliv mýho zásahu..
tak honem pište ať vím jak to dopadne! :D

luisah

  • Závislák
  • ***
  • Příspěvků: 3704
Re: Firewall a UBUNTU 8.10
« Odpověď #34 kdy: 04 Prosince 2008, 12:06:52 »
Zaregistrujte se, hlasujte a přečtěte si i články pod návrhy - některé jsou zajímavé a týkají se přímo naší debaty.
http://brainstorm.ubuntu.com/idea/3704/
http://brainstorm.ubuntu.com/idea/1282/
http://brainstorm.ubuntu.com/idea/861/
http://brainstorm.ubuntu.com/idea/10314/
http://brainstorm.ubuntu.com/idea/8987/

Evžen Šubrt

  • Závislák
  • ***
  • Příspěvků: 2218
    • EuGenio's Lair
Re: Firewall a UBUNTU 8.10
« Odpověď #35 kdy: 04 Prosince 2008, 12:16:07 »
Zaregistrujte se, hlasujte a přečtěte si i články pod návrhy - některé jsou zajímavé a týkají se přímo naší debaty.
...
Zajímavé návrhy a ještě zajímavější diskuze pod nimi. Docela mne překvapil počet "kreténů" razících hesla "tohle je blbost, protože já to nepotřebuju" a "něco podobného je ve windows, proto je to kravina".
Athlon X2 6000+, MB ASUS M2R32-MVP, 6GB RAM, ATI Radeon HD7850 1GB, 1GB SSHD + 250GB HDD, Ubuntu 13.10 Saucy Salamander 64bit

luisah

  • Závislák
  • ***
  • Příspěvků: 3704
Re: Firewall a UBUNTU 8.10
« Odpověď #36 kdy: 04 Prosince 2008, 12:18:33 »
Zaregistrujte se, hlasujte a přečtěte si i články pod návrhy - některé jsou zajímavé a týkají se přímo naší debaty.
...
Zajímavé návrhy a ještě zajímavější diskuze pod nimi. Docela mne překvapil počet "kreténů" razících hesla "tohle je blbost, protože já to nepotřebuju" a "něco podobného je ve windows, proto je to kravina".
Tak zrovna tyhle věci jsem se snažil nečíst. Jsou to přesně ty kre..ni co o nich psal na začátku theardu xfce - prostě no comment

truhlik

  • Závislák
  • ***
  • Příspěvků: 1626
Re: Firewall a UBUNTU 8.10
« Odpověď #37 kdy: 04 Prosince 2008, 14:00:52 »
no lidi, jako lamu, mě výsledek týhle debaty taky zajímá... proto ten příspěvek, líp se mně to bude sledovat :)
btw jsem si nechal oskenovat porty a všechny jsou prej zavřený. bez jakýhokoliv mýho zásahu..
tak honem pište ať vím jak to dopadne! :D
Vypis si iptables -L a budes vedet jestli mas nastavenej firewall nebo ne. Zavreny porty mas proto, ze nemas program co by je otevrel respektive nemas server, kterej na nakym portu posloucha. Pripadne si za NATem. (zalezi odkud si to skenoval, jestli z lokalu nebo z venku) To je kategorie sama pro sebe. Nainstaluj openssh-server zapni a uvidis jestli ti bude poslouchat, respektive ti poslouchat bude, zalezi jen jestli to neco nebude blokovat.
http://wiki.ubuntu.cz/P%C5%99ipojen%C3%AD%20disku
http://www.linuxsoft.cz/article.php?id_article=1351
http://www.root.cz/clanky/klonovani-obrazu-a-dva-monitory-v-linuxu
Citace: Otakar
Červi jsou moc milá zvířátka, zvláště když má jejich chovatel výhrady proti chování tučňáků

aloisam

  • Host
Re: Firewall a UBUNTU 8.10
« Odpověď #38 kdy: 04 Prosince 2008, 15:50:57 »
iptables -L nevypsalo nic, tak jsem doinstaloval GUFW a klikl na povolit, čímž se zákazaly příchozí přenosy. Que simple.. ale otázka zůstává pořád ta stejná z úvodu, je to nutný? když neprovozuju žádný ftp ani nic podobnýho? protože jestli je nutný tohle udělat, je s podivem, že to není by default, nebo že teda alespoň není korektní zmínka na wiki..

umiyaki

  • Aktivní člen
  • *
  • Příspěvků: 194
Re: Firewall a UBUNTU 8.10
« Odpověď #39 kdy: 05 Prosince 2008, 11:11:19 »
Firewall po instalaci aktivovaný NENÍ!!!
Stačí se podívat do výpisu iptables. Tvrzení, že Ubuntu v základu blokuje veškerá spojení dovnitř a naopak povoluje všechna ven, tak trochu postrádá logiku. A jak byste asi komunikovali s okolím, když by fungovala komunikace jen jedním směrem?
Po instalaci iptables neblokují vůbec nic, zkuste si potom spustit příkaz "sudo ufw default deny" a uvidíte, kolik služeb přestane najednou fungovat.

Jinak jako gui je nyní doporučováno Gufw, což je víceméně obdoba Firestarteru.


Ono totiž záleží, z které strany komunikaci začneš ... Pokud máš firewall tzv. zavřený z venku a otevřený zevnitř ven a pokud pošleš požadavek na zobrazení třeba googlu, samozřejmě Ti server odpoví a data se dostanou až do tvého prohlížeše a zobrazí se stránka googlu. Pokud sedíš v kavárně a chceš se připojit ke svému počítači přes port 22 (SSL), port zůstane uzavřen... :-)
"Prvním stupněm debility je pocit geniality."
Notebook HP 530 - Ubuntu 10.04; PC P4 2.8GHz - Ubuntu 10.04

umiyaki

  • Aktivní člen
  • *
  • Příspěvků: 194
Re: Firewall a UBUNTU 8.10
« Odpověď #40 kdy: 05 Prosince 2008, 11:19:37 »
Já teda nevím jak vy, ale to že někdo zvládne nainstalovat ubuntu ještě neznamená, že dokáže dobře nastavit firewall.
Osobně mám zkušenost, že vždy když jsem se snažil nastavit firewall nebo jej nějak upravit pro "lepší" bezpečnost,
tak jsem si to tak rozházel, že mi nešlo ani nic instalovat (teď mluvím o zkušenosti z Windows a firewall).
Nemyslím si, že každý zná a chápe pravidla v sítích, protokoly, porty atd...
 :-\

V tomto případě jsem myslel uživatele, který ví co je to firewall (obecně), dokáže si najít wiki a tam použít některé z doporučených "uděláte" pro základní nastavení iptables.
Kdo si chce zlepšit skills, nastuduje si jak to vlastně do podrobna funguje ... a nebo si počká na Diablo III  8)
"Prvním stupněm debility je pocit geniality."
Notebook HP 530 - Ubuntu 10.04; PC P4 2.8GHz - Ubuntu 10.04

arrange

  • Závislák
  • ***
  • Příspěvků: 4031
  • "jdu s hlavou vztyčenou..."
Re: Firewall a UBUNTU 8.10
« Odpověď #41 kdy: 05 Prosince 2008, 12:51:59 »
Takže pokusím se to laicky shrnout, prosím, abyste mě případně opravili.

Po čisté instalaci není v Ubuntu aktivní žádný firewall.

Na druhou stranu systém nemá ve výchozím stavu žádné otevřené porty, narozdíl od např. Windows. Je to možné zkontrolovat např. pomocí online port scanneru (http://www.t1shopper.com/tools/port-scanner/# - kliknout na "Check all" a pak "Scan ports" nebo http://nmap-online.com/ - zaškrtnout "I agree" a kliknout na "Scan now!"). Problém je, že pokud jste za NAT serverem, bude scanner testovat ten server, a ne váš počítač. Další možnost je zkontrolovat po zadání příkazu
Kód: [Vybrat]
sudo netstat -l -p --protocol=inet jestli obsahuje porty ve stavu LISTEN. U mě to například vypadá takto:
Kód: [Vybrat]
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 localhost:ipp           *:*                     LISTEN      4709/cupsd     
tcp        0      0 localhost:smtp          *:*                     LISTEN      5309/exim4     
udp        0      0 *:bootpc                *:*                                 5493/dhclient   
udp        0      0 *:mdns                  *:*                                 4671/avahi-daemon:
udp        0      0 *:44011                 *:*                                 4671/avahi-daemon:
což by mělo být v pořádku, protože mám zapnuty 2 služby na svém počítači (localhost), a to cupsd (tiskárna) a exim4 (posílání zpráv přes smtp protokol). Nejlepší asi bude z jiného počítače oscanovat svůj pomocí nmap (http://nmap.org/), to ale nechám povolanějším.

V Ubuntu je nainstalovaný filtr paketů (iptables), který je možný použít jako firewall, pro začátečníka nejlépe pomocí ufw nebo gufw. Firestarter se nedoporučuje, protože poslední stabilní verze je z r. 2005.

Pro aktivaci základního firewallu stačí zadat příkaz
Kód: [Vybrat]
sudo ufw enable To je vše. Tím se filtry v iptables změní tak, že (zjednodušeně) počítač nepřijímá nevyžádané pakety. Tj. základní programy (i pro práci s Internetem) fungují, nevyžádané pokusy o spojení s počítačem jsou zahozeny. Toto nastavení je vhodné pro běžný počítač a práci na něm, ale ne pro servery, sdílení apod., kde musíte daná spojení explicitně povolit.  Pokud chcete zjistit, jak firewall pracuje, je možno povolit logování
Kód: [Vybrat]
sudo ufw logging on a sledovat záznamy v syslogu, např. pomocí
Kód: [Vybrat]
sudo grep UFW /var/log/* Stav svého firewallu zjistíte pomocí
Kód: [Vybrat]
sudo ufw status Pokud je ve stavu "loaded", znamená to, že je aktivní, dále jsou uvedena případná další pravidla, která jste zadali. Další možnosti konfigurace firewallu pomocí (g)ufw najdete na wiki http://wiki.ubuntu.cz/UFW a http://wiki.ubuntu.cz/GUFW.
http://www.openstreetmap.org - mapy celého světa "wiki style"

Evžen Šubrt

  • Závislák
  • ***
  • Příspěvků: 2218
    • EuGenio's Lair
Re: Firewall a UBUNTU 8.10
« Odpověď #42 kdy: 05 Prosince 2008, 12:59:36 »
Takže pokusím se to laicky shrnout, prosím, abyste mě případně opravili.
Tady jde jenom o vyjasnění pojmů. iptables jsou vlastně firewall, po instalaci jsou nastaveny na celkem rozumnou politiku. Cokoli dalšího (ufw, firestarter, již zastaralý firehol) je pouze udělátko na nastavování iptables.
Athlon X2 6000+, MB ASUS M2R32-MVP, 6GB RAM, ATI Radeon HD7850 1GB, 1GB SSHD + 250GB HDD, Ubuntu 13.10 Saucy Salamander 64bit

nettezzaumana

  • Host
Re: Firewall a UBUNTU 8.10
« Odpověď #43 kdy: 05 Prosince 2008, 13:04:09 »
Takže pokusím se to laicky shrnout, prosím, abyste mě případně opravili.
Tady jde jenom o vyjasnění pojmů. iptables jsou vlastně firewall, po instalaci jsou nastaveny na celkem rozumnou politiku. Cokoli dalšího (ufw, firestarter, již zastaralý firehol) je pouze udělátko na nastavování iptables.
NO !!

http://en.wikipedia.org/wiki/Iptables
http://en.wikipedia.org/wiki/Firewall

arrange

  • Závislák
  • ***
  • Příspěvků: 4031
  • "jdu s hlavou vztyčenou..."
Re: Firewall a UBUNTU 8.10
« Odpověď #44 kdy: 05 Prosince 2008, 13:43:38 »
Tady jde jenom o vyjasnění pojmů. iptables jsou vlastně firewall, po instalaci jsou nastaveny na celkem rozumnou politiku. Cokoli dalšího (ufw, firestarter, již zastaralý firehol) je pouze udělátko na nastavování iptables.

Jaký je přesně rozdíl mezi "packet filter" a "firewall" asi není celkem důležité, ale nerozumím tomu, co to znamená ta konzervativní politika iptables. Když si dám výpis sudo iptables -L po instalaci
Kód: [Vybrat]
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination   
tak zde laicky nevidím nastavená žádná pravidla. Pokud dám sudo ufw enable, pak po výpisu iptables vidím
Kód: [Vybrat]
Chain INPUT (policy DROP)
target     prot opt source               destination         
ufw-before-input  all  --  anywhere             anywhere           
ufw-after-input  all  --  anywhere             anywhere           

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ufw-before-forward  all  --  anywhere             anywhere           
ufw-after-forward  all  --  anywhere             anywhere           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ufw-before-output  all  --  anywhere             anywhere           
ufw-after-output  all  --  anywhere             anywhere           

Chain ufw-after-forward (1 references)
target     prot opt source               destination         
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 10 LOG level warning prefix `[UFW BLOCK FORWARD]: '
RETURN     all  --  anywhere             anywhere           

Chain ufw-after-input (1 references)
target     prot opt source               destination         
RETURN     udp  --  anywhere             anywhere            udp dpt:netbios-ns
RETURN     udp  --  anywhere             anywhere            udp dpt:netbios-dgm
RETURN     tcp  --  anywhere             anywhere            tcp dpt:netbios-ssn
RETURN     tcp  --  anywhere             anywhere            tcp dpt:microsoft-ds
RETURN     udp  --  anywhere             anywhere            udp dpt:bootps
RETURN     udp  --  anywhere             anywhere            udp dpt:bootpc
RETURN     all  --  anywhere             anywhere            ADDRTYPE match dst-type BROADCAST
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 10 LOG level warning prefix `[UFW BLOCK INPUT]: '
RETURN     all  --  anywhere             anywhere           

Chain ufw-after-output (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere           

Chain ufw-before-forward (1 references)
target     prot opt source               destination         
ufw-user-forward  all  --  anywhere             anywhere           
RETURN     all  --  anywhere             anywhere           

Chain ufw-before-input (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere            ctstate RELATED,ESTABLISHED
DROP       all  --  anywhere             anywhere            ctstate INVALID
ACCEPT     icmp --  anywhere             anywhere            icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere            icmp source-quench
ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere            icmp parameter-problem
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     udp  --  anywhere             anywhere            udp spt:bootps dpt:bootpc
ufw-not-local  all  --  anywhere             anywhere           
ACCEPT     all  --  BASE-ADDRESS.MCAST.NET/4  anywhere           
ACCEPT     all  --  anywhere             BASE-ADDRESS.MCAST.NET/4
ufw-user-input  all  --  anywhere             anywhere           
RETURN     all  --  anywhere             anywhere           

Chain ufw-before-output (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     tcp  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED
ACCEPT     udp  --  anywhere             anywhere            state NEW,RELATED,ESTABLISHED
ufw-user-output  all  --  anywhere             anywhere           
RETURN     all  --  anywhere             anywhere           

Chain ufw-not-local (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere            ADDRTYPE match dst-type LOCAL
RETURN     all  --  anywhere             anywhere            ADDRTYPE match dst-type MULTICAST
RETURN     all  --  anywhere             anywhere            ADDRTYPE match dst-type BROADCAST
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 10 LOG level warning prefix `[UFW BLOCK NOT-TO-ME]: '
DROP       all  --  anywhere             anywhere           

Chain ufw-user-forward (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere           

Chain ufw-user-input (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere           

Chain ufw-user-limit (0 references)
target     prot opt source               destination         
LOG        all  --  anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning prefix `[UFW LIMIT]: '
REJECT     all  --  anywhere             anywhere            reject-with icmp-port-unreachable

Chain ufw-user-limit-accept (0 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere           

Chain ufw-user-output (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere     
takže teprve tady jsem schopen vysledovat nějaké filtrování, tzn. "politiku". Jaká je tedy konkrétně ta politika iptables po naistalování?
http://www.openstreetmap.org - mapy celého světa "wiki style"

nettezzaumana

  • Host
Re: Firewall a UBUNTU 8.10
« Odpověď #45 kdy: 05 Prosince 2008, 16:01:47 »

xfce

  • Návštěvník
  • Příspěvků: 82
Re: Firewall a UBUNTU 8.10
« Odpověď #46 kdy: 05 Prosince 2008, 16:45:37 »
iptables ... po instalaci jsou nastaveny na celkem rozumnou politiku.
Tohle jsme se právě shodli, že neplatí. Po instalaci iptables sice běží, ale nejsou definovaná žádná pravidla, takže nedělá nic (respektive všechny 3 chainy (INPUT/FORWARD/OUTPUT) mají default policy ACCEPT, takže vše povoleno). Teprve po vytvoření nějakých pravidel, např. pomocí těch udělátek (ufw, gufw, firestarter, ...) začnou iptables vlastně něco "dělat". Co jsem koukal na výpis od arrange, vypadá to, že pravidla vytvořená pomocí sudo ufw enable umožňují sdílení souborů a odpovědi na icmp pakety, jinak spojení z venčí zahazují. Ale nezkoumal jsem to moc a do iptables nevidím.

Závěry vidím 2:
1) na wiki je chyba, mělo by se to přepsat a přidat doporučení na vytvoření pravidel pro fw
2) Ubuntu přistupuje k bezpečnosti stejně přezíravě jako WinXP a hřeší jen na to, že uživatelům stejně neběží žádná služba, na kterou by se dalo připojit. Jenže pak stačí, aby si někdo nainstaloval webserver, na něm ladil neveřejný obsah a už ho vystavuje světu, aniž by o tom věděl. Totéž s jakoukoliv jinou službou, co si pro svojí potřebu rozjede. To se mi vůbec nelíbí a doufám, že to velmi rychle přehodnotí. V mém okolí je hlavním důvodem přechodu na Linux důvěra v jeho bezpečnost a pokud tato bude narušena, může to znamenat celkem problém.

arrange

  • Závislák
  • ***
  • Příspěvků: 4031
  • "jdu s hlavou vztyčenou..."
Re: Firewall a UBUNTU 8.10
« Odpověď #47 kdy: 09 Prosince 2008, 11:56:59 »
Jen pro zajímavost: zkoušel jsem si přes nmap z jiného počítače namapovat porty na mém počítači při vypnutém firewallu (ufw disabled). TCP správně našlo jen jeden otevřený port, ale nerozpoznalo službu (Transmission), takže plná spokojenost. UDP test našel toto:
Kód: [Vybrat]
988 closed ports
PORT      STATE         SERVICE    VERSION
68/udp    open|filtered dhcpc
631/udp   open|filtered ipp
772/udp   open|filtered cycleserv
21813/udp  open|filtered radacct
5353/udp  open|filtered zeroconf
5500/udp  open|filtered securid
20279/udp open|filtered unknown
21784/udp open|filtered unknown
23608/udp open|filtered unknown
26872/udp open|filtered unknown
27015/udp open|filtered halflife
37444/udp open|filtered unknown
Není mi úplně jasné, co to znamená, ale mělo by to být OK, protože dle man nmap
Kód: [Vybrat]
open|filtered
           Nmap places ports in this state when it is unable to determine
           whether a port is open or filtered. This occurs for scan types in
           which open ports give no response. The lack of response could also
           mean that a packet filter dropped the probe or any response it
           elicited. So Nmap does not know for sure whether the port is open
           or being filtered. The UDP, IP protocol, FIN, null, and Xmas scans
           classify ports this way.
čili že port je jaksi otevřený, ale k nepotřebě :)
Jo, a Ubuntu 8.10 identifikoval jako
Kód: [Vybrat]
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.17 - 2.6.25
http://www.openstreetmap.org - mapy celého světa "wiki style"

TOMMO_4

  • Aktivní člen
  • *
  • Příspěvků: 112
Re: Firewall a UBUNTU 8.10
« Odpověď #48 kdy: 06 Května 2009, 05:44:51 »
Tady nejde o to, jestli na počítači zrovna něco zajímavého máte nebo ne. Tady jde o princip. Vždy se tvrdilo, že windowsáci vůbec netuší, co se jim pod těma okýnkama děje, zatímco linuxáci mají vše pěkně pod kontrolou. No a jak se nám tu ukazuje, zatímco ve win mám fw povolující komunikaci jen mnou vybraným aplikacím na daných portech, tak u Ubuntu se ani nemůžeme shodnout, jestli fw po instalaci něco dělá nebo ne..
Na Ubuntu není ve výchozí instalaci ani žádný GUI program, který by fw uměl nastavovat - což já osobně u "BFU" distribuce považuji za chybu. Také jedna z úvodních vět na wiki, že firewall nepotřebujeme je trochu nešťastná a mate lidi, my ho potřebujeme, nepotřebujeme jen měnit jeho nastavení, pokud se tedy ukáže, že po instalaci funguje opravdu tak, jak se ve wiki tvrdí.

Zdravím, no já zas ještě nejsem tak znalý, ale mě spíš než o princip jde o to, že jakmile mi můj systém někdo ovládne(jakože třeba nějaký hacker) může ho použít pro presměrování, a pak (beru to hodně zlehčeně)když bude chtít nahackovat banku a udělá to přes vaši mašinu, tak komando vpadne k vám, což by bylo pak nemilé vysvětlovat že já svoje linux-ky opravdu k hackování nepoužívám. (PS: nevym, jestli se to tak opravdu používá, ale tak sem to kdysi pochopil jak jsem kdysi studoval, různé hackerské techniky)
to že mi někdo kouká co mám v kompu, no to at si klidně dělá, nic zajímavého by stejně nenašel...teda když neberu ty hesla k mému inet-bankovnictví...  ;)
ubuntu 9.04

TOMMO_4

  • Aktivní člen
  • *
  • Příspěvků: 112
Re: Firewall a UBUNTU 8.10
« Odpověď #49 kdy: 06 Května 2009, 06:00:14 »

btw: žádný systém není nedobytný ...

to je sice pravda, ale tak co nejvíce to hackerům stížit by mela být "morální povinnost" každého at už má v PC důležité dokumenty nebo je nemá.
ubuntu 9.04

 

Provoz zaštiťuje spolek OpenAlt.