Настройка файерволла в Дебиан 10

Автор Листик, 10 ноября 2019, 10:20:12

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Листик

Доброе время суток!

Прочитал, что в Дебиан 10 вместо iptables nftables.

Собственно, в Дебиан 9 я защитный экран включал просто:

ufw enable

Настроек по умолчанию мне хватало.

Так поступил и в новой системе, вроде бы все работает. Но ufw - это же просто инструмент для упрощенной работы с iptables, насколько я понимаю. Раз подсистема поменялась на nftables, то все ли я правильно сделал? Может, пришло время что-то улучшить?

Спасибо.




Gamliel

Цитата: Листик от 10 ноября 2019, 10:20:12Прочитал, что в Дебиан 10 вместо iptables nftables.
Я тоже заметил, что это декларируется. Поэтому был удивлён, обнаружив, что из коробки nftables не установлены. Обязательно установи́те пакет nftables (если ещё не). Изучать nftables по  man nft  IMHO дело неблагодарное; я изучал по официальной nftables wiki.

Цитата: Листик от 10 ноября 2019, 10:20:12ufw enable
Хотя UFW расшифровывается как Uncomplicated FireWall, невольно хочется расшифровать как Ubuntu FireWall. :) Шутки шутками, однако
apt-cache show ufw | grep Maintainer
намекает на правильность такой расшифровки.

Листик

Gamliel,

Тут вот попроще вроде бы информация изложена:

https://wiki.debian.org/nftables

А что, ubuntu теперь синоним некачественности?

Я после установки и запуска ufw проходил проверку безопасности на 2ip.ru Сказали, что норм. По сравнению с тем, что мне этот сайт выдал когда-то на Windows XP, конечно...небо и земля.

Gamliel

Цитата: Листик от 11 ноября 2019, 00:32:10Тут вот попроще вроде бы информация изложена:

https://wiki.debian.org/nftables
Там почти ничего не сказано. Это не книга, а предисловие к ней.

Цитата: Листик от 11 ноября 2019, 00:32:10А что, ubuntu теперь синоним некачественности?
Нет. В ноябре 2009 я начал использовать Ubuntu; примерно к 2019 почувствовал, что вырос из Ubuntu и, дождавшись выхода стабильного Buster'а, перешёл на Debian.

Цитата: Листик от 11 ноября 2019, 00:32:10Я после установки и запуска ufw проходил проверку безопасности на 2ip.ru Сказали, что норм. По сравнению с тем, что мне этот сайт выдал когда-то на Windows XP, конечно...небо и земля.
Да, UFW позволяет настроить файрволл. Но гибкости у него нет (Вы не пытались при его помощи, например, запретить входящий ping?); iptables и nftables позволяют настроить файрволл более гибко. Полагаю, UFW появился из-за сложности синтаксиса iptables, однако я не назвал бы синтаксис UFW лёгким. Да, описание существующих правил (то, которое выводится в ответ на  sudo ufw status) выглядит понятно, но каждый раз перед добавлением или изменением правил мне приходилось читать документацию. Редактировать правила nftables IMHO легче.

Ogis1975

Для настройки nftables можете использовать вот этот мануал (на английском)

http://forums.debian.net/viewtopic.php?f=16&t=143876

Gamliel

Цитата: Ogis1975 от 10 февраля 2020, 18:42:07Для настройки nftables можете использовать вот этот мануал (на английском)

http://forums.debian.net/viewtopic.php?f=16&t=143876
Там почти ничего не сказано. По сути там предлагается скопировать код, не понимая его смысла. Изучить nftables не так уж сложно (во всяком случае, базовую функциональность). Для этого неплохо подходит nftables wiki (тоже на английском).

Ogis1975

Цитата: Gamliel от 10 февраля 2020, 19:30:42Там почти ничего не сказано.
Ну как не сказано. Сказано же. Настройка для декстопа (базовая). ПК не отвечает на сканирование портов и пинги. Весь входящий трафик открытый (не запрещен, но можно запретить). Исходящий-запрещен. А так да, для более тщательной настройки (например для сервера), нужно штудировать вики. Но повторюсь, для простого юзера данного конфига хватит.

fdrl

ufw надстройка? ответ уже дали?

DedMoroz

Вот тоже задался вопросом о вменяемом фаерволле в Debian 10. Кто ответит на вопрос: есть ли сейчас вменяемый фаерволл на debian 10 УРОВНЯ ПРИЛОЖЕНИЙ! Я понимаю что есть монструозный консольный монстр Selinux для всяких правительственных организаций, который фаерволом-то не является. Это целая сложная система контроля доступа. Я спрашиваю есть ли в linux обычный фаерволл с GUI чтобы не просто дырки сверлить как в Gufw. А разрешать доступ в инет только для конкретных приложений, а остальным бан. Наподобие того что стоит у праrтически любой домохозяйки на винде? Чтобы обычный пользователь мог разрешать доступ в инет одному своему браузеру, а другому доступ в инет закрыть (это пример), а не просто открыть 443 порт и хай бы с ним, лезь туда кто хочет.
Debian11 Bullseye 5.10.0-16-amd64, zsh, Cinnamon 4, SSD, GPT, UEFI, LUKS.

LeonidVoyt

#9
Доброе время суток! Уважаемые знатоки, прошу помощи с настройкой nftables. После включения данного фреймворка на ноутбуке перестало работать wi-fi соединение в режиме точки доступа. Видимо нужно поправить конфигурацию правил nftables, но самому мне этого не осилить.
Привожу пример моего # cat /etc/nftables.conf в прикрепленном файле.
Операционная система: Debian GNU/Linux 10 KDE Plasma: 5.14.5 Intel® Core™ i3-2310M CPU @ 2.10GHz

LeonidVoyt

Цитата: Листик от 11 ноября 2019, 00:32:10Я после установки и запуска ufw проходил проверку безопасности на 2ip.ru Сказали, что норм.
Последовал вашему примеру, и решил протестировать работу брандмауэра на 2ip.ru с данными настройками nftables. Сказали, что норм. :D
Операционная система: Debian GNU/Linux 10 KDE Plasma: 5.14.5 Intel® Core™ i3-2310M CPU @ 2.10GHz