Debian: ไฟร์วอลล์ใด

10

ฉันต้องติดตั้งไฟร์วอลล์บนเซิร์ฟเวอร์ของฉัน (ดังนั้นโดยไม่มี X Server) มันเป็นเงินเดเบียน iptablesถ้ามันเป็นไปได้ที่ผมต้องการที่จะหลีกเลี่ยงการใช้ของ มีวิธีที่ง่ายกว่าในการติดตั้ง / กำหนดค่าไฟร์วอลล์หรือไม่

security  debian  firewall  headless 
fego
แหล่งที่มา

คำตอบ:

14

ตอนแรกไฟร์วอลล์ควรเป็นขั้นตอนสุดท้ายในการรักษาความปลอดภัยเซิร์ฟเวอร์ ลบซอฟต์แวร์และบริการทั้งหมดที่ไม่จำเป็นออกอัพเดตระบบของคุณด้วยแพตช์รักษาความปลอดภัยล่าสุดที่มีอยู่และตรวจสอบไฟล์กำหนดค่าของคุณ

ทำไมคุณต้องการหลีกเลี่ยง iptables

"เพราะฉันเป็นมือใหม่" ไม่ใช่ข้อแก้ตัวที่แท้จริง ไฟร์วอลล์ "คลิกเดียวทุกอย่างปลอดภัย" ไม่มีอยู่และหากผลิตภัณฑ์ซอฟต์แวร์ใช้สโลแกนดังกล่าวน่าจะเป็นเพียงซอฟต์แวร์ชอท

หากคุณไม่เคยมีประสบการณ์เกี่ยวกับพื้นฐานเครือข่ายคุณจะต้องเรียนรู้สิ่งนี้เพื่อกำหนดค่าไฟร์วอลล์ที่ใช้งานได้ :-)

หากคุณไม่ต้องการสร้างกฎ iptable ด้วยตนเองคุณมีสองตัวเลือก:

  • ปรับแต่งสคริปต์ที่มีอยู่ที่พบในเน็ต
  • ใช้เครื่องมือ GUI เพื่อสร้างกฎด้วยตัวคุณเอง

iptables เป็นอินเตอร์เฟสของคุณไปยังเลเยอร์เครือข่ายของเคอร์เนล เกือบทุกโซลูชันสำหรับ linux จะขึ้นอยู่กับมัน

ที่นี่มีบางความเห็นตัวอย่างสคริปต์ tutorials / คุณสามารถจะพบมากขึ้นด้วยการค้นหาของ Google

นี่คือรายการของเครื่องมือ GUI ที่คุณสามารถใช้เพื่อสร้างกฎ iptable ของคุณ:

หนังสือยอดเยี่ยมเกี่ยวกับเซิร์ฟเวอร์และความปลอดภัยของ linux คือ"การสร้างเซิร์ฟเวอร์ที่ปลอดภัยด้วย Linux"จาก O'Reilly

อย่าท้อแท้และเสียใจกับคำว่า "ยาก" แต่เซิร์ฟเวอร์บนอินเทอร์เน็ตไม่ใช่ของเล่นและคุณจะต้องรับผิดชอบต่อสิ่งนี้

echox
แหล่งที่มา
1
ขอบคุณสำหรับคำตอบ. ฉันซื้อหนังสือเกี่ยวกับการบริหารงานของ LInux และฉันจะศึกษา iptable แต่ก่อนที่ฉันจะดูเชนง่าย ๆ หรือ ufw
fego
10

คุณอาจพิจารณาพยายามufw ในขณะที่มันถูกสร้างขึ้นสำหรับเซิร์ฟเวอร์ Ubuntu ฉันเชื่อว่ามันยังมีอยู่ใน Debian ( อัปเดต : น่าเสียดายที่ดูเหมือนว่าจะใช้ได้เฉพาะกับบีบและ sid ตามpackages.debian.orgแต่มันก็อาจจะคุ้มค่าที่จะดู) ในขณะที่ฉันจะบอกว่าในที่สุดคุณต้องการย้ายไปเขียนกฎ iptable ของคุณเอง ตอนแรกฉันพบว่า ufw ใช้งานง่ายมากและง่ายต่อการเปลี่ยนจาก นี่คือไฮไลท์บางส่วน:

  • ไวยากรณ์ Convienient: ufw allow 22หรือufw allow sshทั้งหมดที่จำเป็นเพื่ออนุญาตการรับส่งข้อมูลขาเข้า ssh หากนโยบายเริ่มต้นของคุณคือ DENY

  • Easy Logging: ufw logging onจะเปิดใช้การบันทึกที่สมเหตุสมผล สิ่งที่ดีเกี่ยวกับการบันทึกคือโดยค่าเริ่มต้นมันจะลดลงบริการที่มีเสียงดัง (พอร์ต 137 ใคร?)

  • ความสามารถในการใช้นโยบายที่ซับซ้อน: บนเครื่องที่บ้านของฉันฉันใช้ ufw และกำลังใช้นโยบายที่ค่อนข้างซับซ้อน

  • ความสามารถในการเพิ่มกฎ iptable ของคุณเอง นโยบายใด ๆ ที่ยังคงสามารถนำมาใช้กับ ufw ได้แม้ว่าอินเทอร์เฟซเริ่มต้นจะไม่มีกลไกเพราะคุณสามารถเพิ่มกฎของคุณเองได้เสมอ

  • Great Documentation: man ufwบ่อยครั้งที่คุณต้องแก้ปัญหาหรือตอบคำถาม - ซึ่งดีมากถ้าคุณตั้งค่าไฟร์วอลล์เมื่อออฟไลน์

นี่ไม่ใช่ "คลิกปุ่มเดียวและคุณจะปลอดภัย" ไฟร์วอลล์ ในตอนท้ายของวันที่สิ่งที่มันจริงๆไม่สามารถให้ง่ายต่อการใช้ไวยากรณ์กฎการสร้างสิ่งที่เป็นนามธรรมบางรอบiptables-saveและiptables-restoreและนำกฎเริ่มต้นบางอย่างและการปฏิบัติที่เป็นมือใหม่อาจไม่ทราบเกี่ยวกับ

สตีเวนดี
แหล่งที่มา
1
+1 ufw ใช้งานง่ายมากและง่ายต่อการเปลี่ยนเป็น iptables หลังจากนั้นเนื่องจากระดับ abstraction นั้นถูกต้อง (ไม่สูงเกินไปเช่นจุดและคลิกและไม่ต่ำเกินไปเนื่องจากค่าเริ่มต้นที่ดี)
บาร์เธเลมี
0

ลองไปที่หน้าจอ ... ฉันมีความสุขกับมันและฉันรู้สึกว่ามันง่ายมากที่จะกำหนดค่าสิ่งที่ฉันต้องการ (รวมถึงการปรับการจราจร NAT, DNAT และสิ่งอื่น ๆ )

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.