Autor Téma: Jak nastavit firewall Firestarter (Přečteno 7115 krát)

kris · « **kdy:** 27 Března 2006, 20:26:21 »

Ahoj,potřeboval bych od někoho poradit jak tento firewall nastavit.Má nastaveno hned na začátku nějké zakázané porty a tek,nebo se to musí nadefinovat?A jak?Moc se v tom nevyznám.

Jendall · « **Odpověď #1 kdy:** 27 Března 2006, 21:28:28 »

Ahoj, ten firestarter je jen GUI, ktere ovlada iptables....aspon myslim a defaultne propousti veskery provoz ven a zakazuje veskery provoz dovnitr ...takze pro normalni internetovani nemusis nastavovat .... pak je tam jeste nastaveni ICMP, to je take defaultne zakazane. Pokud mas verejnou IP, daji se povolit nejake porty pripadne prichozi spojeni z urcite IP pokud ti to k necemu bude.

LS · « **Odpověď #2 kdy:** 28 Srpna 2006, 15:33:16 »

V zakladnim nastaveni firestarter blokuje veskery provoz zvenku a naopak propousti veskery provoz ven. Osobne mam i odchozi provoz nastaveny jako "Restrictive by default" a propoustim pouze to co potrebuji (DNS, DHCP, HTTP, HTTPS, SSH).

Firestarter sam o sobe vlastne neni firewall, je to jenom graficke rozhrani pro paketovy filtr iptables, ktery je standardne nainstalovany hned po instalaci Ubuntu (alespon v DD to tak je). Iptables se skladaji ze dvou casti, jedna je primo v jadre a druha jsou userspace nastroje. Obe casti jsou standarne v Ubuntu obsazeny.

Po instalace Firestarteru jej spustte (nachazi se v Applications -> Internet), automaticky by se mel spustit pruvodce (Wizzard). Pokud se pruvodce nespusti, lze jej rucne spustit volbou Firewall -> Run Wizzard. Zvolte sitove rozhrani, ktere ma byt firewallem chraneno, pokud pouzivate DHCP pro nastaveni site pak zaskrtnete IP address is assigned via DHCP. Na posledni strance konfiguracniho pruvodce samozrejme zaskrtnete Start firewall now.

Na karte Policy pak muzete povolit prichozi spojeni bud s konkretni adresou nebo na konkretnim portu, u odchoziho spojeni lze zvolit bud liberalnejsi pristup s defaultne povolenym vseskerym odchozim provozem a pouze zakazovat spojeni ke konkretnim strojum nebo na konkretni porty, nebo naopak prisnejsi pristup, kdy je zakazan veskery odchozi provoz a naopak explicitne povolujete odchozi spojeni ke konkretnim strojum nebo na konkretnich portech. Po ulozeni muzete ukoncit Firestarter.

Firestarter vytvori skript ktery se automaticky spoust se startem pocitace, takze firewall je aktivni ihned po startu systemu. Neni tedy nutne spoustet kazdemu uzivateli graficke rozhrani Firestarteru, toto rozhrani je pouze urcene pro zmenu konfigurace!

Funkcnost prave nainstalovaneho firewallu si muzete vyzkouset na nekterem z online dostupnych testu zabezpeceni:
http://www.hackerwatch.org/probe/
https://www.grc.com/x/ne.dll?bh0bkyd2
http://www.auditmypc.com/
http://scan.sygate.com/
http://www.pcflank.com/about.htm

XomboX · « **Odpověď #3 kdy:** 30 Srpna 2006, 11:46:12 »

A jdou ve Firestarteru povolit urcite aplikace?

Treba gwget a azureus? A jak mam povolit svoji LAN? Abych se dostal i na ostani pocitace v siti?
Zkousel jsem ruzna nastaveni, porad mi to nejde. Taxem ho musel odinstalovat.
Prosim, poradte, rad ho pak znovu nainstaluju.DIk

LS · « **Odpověď #4 kdy:** 30 Srpna 2006, 11:50:15 »

Citace: XomboX

A jdou ve Firestarteru povolit urcite aplikace?

Ne, ale to neni omezeni Firestarteru ale iptables. Prectete si neco o fungovani iptables treba zde: http://www.root.cz/serialy/vse-o-iptables/

Filtrovani se provadi na zaklade udaju uvedenych v hlavicce kazdeho paketu (port, zdrojova a cilova IP adresa). Muzete tedy zakazat (nebo povolit) pristup ke konkretnimu serveru nebo na urcitych portech (nebo kombinaci obojiho), nemuzete ale nastavit aby treba Firefox mel pristup k portu 80 zatimco pro wget by tento port byl blokovany. (Ve skutecnosti vsechno jde, ale to uz je nad ramec moznosti iptables, takove veci se pak resi sloziteji. Sam jsem se snazil zablokovat v nasi siti pouzivani nekterych programu (p2p, skype) ktere vyuzivaji standardni porty, moc jsem neuspel).

Neni duvod, proc by nemelo fungovat pripojeni k lokalni siti. Otazka je, co presne si pod timto pojmem predstavujete.

XomboX · « **Odpověď #5 kdy:** 30 Srpna 2006, 11:55:46 »

Kdyz mam zaplej firestarter tak ve sve lokalni siti nevidim zadne pocitace. Kdyz ho vypnu jsou tam vsechny, muzu kopirovat soubory atd.

OK, dekuji za odkaz. Podivam se tam.

Uz jsem se tam kouknul. Ufff, neexistuje nejaky jednodussi zpusob? Nejaky firewall, kde bych akorat zaskrnul povoleny programy a bylo by to. Jsem zmlsany z winxp

LS · « **Odpověď #6 kdy:** 30 Srpna 2006, 12:11:30 »

Co to znamena "videt okolni pocitace"? Je tim mysleny pristup ke sdilenym adresarum na techto pocitacich? V tom pripade je potreba povolit odchozi i prichozi spojeni na portech 137-139 a 445. U prichozich spojeni doporucuji nastavit limit na IP rozsah vasi lokalni site. V konfiguraci Firestarteru mate tuto moznost prednastavenou jako sluzbu Samba (SMB).

XomboX · « **Odpověď #7 kdy:** 30 Srpna 2006, 14:29:26 »

Ano, presne tohle potrebuji. A mela by pak i jit sdilena tiskarna, pac ta je taky pres SAMBU. Dekuji, vyzkousim.

LS · « **Odpověď #8 kdy:** 30 Srpna 2006, 14:47:27 »

Pustte si prikaz

Kód: [Vybrat]

tail -f /var/log/kern.loga sledujte, co vsechno iptables blokuji. Ve vypisu se zobrazi kazdy paket, ktery neprojde vcetne vsech podrobnosti.

XomboX · « **Odpověď #9 kdy:** 30 Srpna 2006, 19:07:40 »

Uz mi to beha. Dekuji a nezlobte se kvuli memu laickemu vyjadrovani.

LS · « **Odpověď #10 kdy:** 30 Srpna 2006, 21:55:38 »

Firestarter sice spousti iptables hned po startu, ale kdyz behem startu neni sit dostupna (napriklad wifi), skript se nespusti. Pokud pouzivate wifi pripojeni, je potreba firestarter spustit az po pripojeni k bezratove siti.

XomboX · « **Odpověď #11 kdy:** 30 Srpna 2006, 22:06:36 »

Aha. Ano, pouzivam wifi. Tak to byl asi ten zakopanej pes.

LS · « **Odpověď #12 kdy:** 30 Srpna 2006, 22:51:35 »

Mozna by se hodilo vysvetlit, proc se tak deje.

Firestarter ma konfiguraci ulozenou v souboru /etc/firestarter/configuration. Tenhle soubor neobsahuje primo konfiguraci iptables, ale na zaklade tohoto konfiguracniho souboru firestarter pri svem spusteni vygeneruje a nastavi pravidla pro iptables. Pokud pri startu Firestarteru nebezi rozhrani ktere ma byt chraneno firewallem, Firestarter rovnou skonci, pravidla pro iptables nevygeneruji a firewall se tudiz nespusti.

Pritom iptables je naprosto jedno, jestli rozhrani, pro ktere nastavujete pravidla, v okamziku definovani techto pravidel bezi nebo ne. Kdyz si napisete vlastni skript pro konfiguraci iptables, muzete ho spustit nezavisle na tom, zda k eth0 je zrovna pripojeny sitovy kabel nebo jestli bezdratova karta na eth1 je jiz prihlasena do site nebo neni.

Dalsi neprijemna vlastnost Firestarteru je nemoznost ochrany vice rozhrani najednou (na notebooku nekdy prepinam mezi ethernetem a wifi), tato moznost se ale snad chysta do pristi verze Firestarteru.
A new version of Firestarter is in development. It will bring many requested features such as support for multiple external and internal network interfaces, robust inbound blacklisting and easy disabling of custom rules.

No a pak je tu jeste dnes uz legendarni bug Firestarteru (dosud neopraveny), kdy se pro zobrazeni napovedy spousti defaultni prohlizec (vetsinou tedy Firefox) s pravy uzivatele, ktery spousti Firestarter - tedy s pravy roota. To je velmi nebezpecne.

Jak je videt, Firestarter rozhodne neni dokonaly, pro zacatecniky je ale velmi jednoduse ovladatelny a prehledne konfigurovatelny. Pro pevne pripojeni pres ethernet ani nevadi jeho problemy s ochranou vice rozhrani soucasne nebo nutnost aby rozhrani bylo v momentu startu Firestarteru aktivni.