Tűzfal

mooattyi

Üdv! Olvasgattam mostanában tűzfalakkal kapcsolatban, de valahogy nagyon nem látom át. Minden leírás a közepétől kezdi. Szóval: iptables: azt olvastam róla, hogy a kernelbe intergrált tűzfal gufw: erről azt olvastam, hogy ezzel lehet grafikusan állítani az iptables szabályait akkor minek kell az ufw? Minek kell, hogy az fusson, mint démon? Valahogy nekem nem áll össze a kép :) Valaki el tudná ezt magyarázni? Hogyan érdemes ezeket használni? Hogyan érdemes beállítani? ( pl. SSH-hoz)

Vadkutya

"iptables: azt olvastam róla, hogy a kernelbe intergrált tűzfal" Az a ló...aszt! Akkor mi a túró a Netfilter? Na... én meg úgy tudom, hogy azt configolod az Iptables -el! Csak hogy bonyolítsuk a kérdésedet:) "A Netfilter a Linux rendszermagjának hálózati csomagok feldolgozására szolgáló alrendszere. Beállítását az iptables paranccsal végezhetjük. "

mooattyi

Vadkutya"A csomagszűrő egy programrész a Linux kernelében, mely figyeli a csomagok fejlécét miközben azok keresztülhaladnak rajta, és eldönti az adott csomag további sorsát. Ennek a csomagszűrőnek a kezelő oldali alkalmazása az iptables, amely a csomagszűrő egyszerűbb beállításában segít." Gondolom a csomagszűrő=netfilter Akkor a netfilter a kernel szűrője. Akkor mi az az ufw? És minek, ha van netfilter? :)

Dr. Szöszi

mooattyiA netfilter szűr. Ha mongyák néki. Ha nem mongyák, nem szűr.

Vadkutya

mooattyiÉn úgy tudom, hogy mind az ufw, mind pedig a firestarter stb...egy grafikus kezelőfelület, amin keresztül könnyebb konfigolni az iptables-t. Tehát, hogy ne kelljen kézzel begépelni a szabályokat az iptables-be. Akkor szerintem ha úgy vesszük, amikor pl...az ufw-t konfigolod, tulajdonképpen a netfiltert állítod be, ami az iptables -ből veszi a szabályokat ! Na majd kijavítanak , ha nem jól tudom:) Amúgy a démonos kérdésed elég helyénvaló és ezen már én is gondolkodóba estem párszor:) Üdv...

Dr. Szöszi

Amit én gugláztam össze: A zubuntu betegesen vonzódik az egérhez szokott gépnyuvasztók seggének nyalásához. Azért, hogy szegénykéimnek ne kelljen kézzel (förtelem!) tűzfalszabályokat szerkeszteni az iptables által, megalkották a zbuntu tűszfal programot u-buntu f-ire w-all. ufw. (De hogy ne legyen ilyen átlátszó a dolog, Uncomplicated firewall a keresztségben nyert neve.) A g meg a grafikus kiegészítés, mert mindent az egerészésért.

mooattyi

Dr. Szösziáhá. Gyanús volt nekem az az Ú betű benne :D És akkor ez egy külön futó tűzfal? Vagy ez is az iptablest maszírozza? Gondolom külön tűzfal, mivel mint démon fut a gépen. Ez esetben 2 tűzfal is fut egyszerre?

szgyurcsak

Dr. SzösziAz én időmben még rengeteg ilyet láttam : http://upload.wikimedia.org/wikipedia/commons/2/23/Punch-card-cobol.jpg Én, örülök a fejlődésnek, és az egerészésnek. :)

Kimarite

A gufw az ufw GUI-s beállítója (GUI: grafikus) Az iptables-ről vannak leírások, keresőben, súgóban, tananyagban itt vagy a google-ban! A beállítások sok mindentől függnek néhány példa; hálózatban van-e a gép, milyen alkalmazásokat és hogyan szeretnél engedélyezni vagy letiltani, stb.. A rendszergazdák tanulják ezt pár évig ... de egyszerűbb konfigurációkra meg is lehet tanulni példák alapján - a keresőkből, és ha tudod, mit szeretnél. Mi nem tudjuk ezt helyetted, nem ismerjük a rendszered, alkalmazásaid sem. Nekünk ez aránytalanul nehezebb lenne. Kezd ott, hogy az ssh melyik porton kommunikál általában, ez az eleje a tudnivalóknak. De sok alkalmazás is használhatja még az ssh-t (például: https, távoli asztal, stb.), azok más szabályok.

siposg

KimariteJajjj ezt inkább ne: "használhatja még az ssh-t (például: https, távoli asztal, stb." Nagyon összekeverted ezeket. Az ssh az ssh, a https az ssl-be csomagolt http. Annyi hasonlóság van, hogy mindkettő valami titkosítás féle. Tűzfalnál meg igazából mindegy is, hogy micsoda. Van ip cím meg port, aztán lehet vele játszani. (Na jó, van ott még más is, de ilyenek után inkább most nem mennék bele.)

Dr. Szöszi

mooattyiKaphatsz pofonokat az anyóstól is, meg a lányától is. Mindkettő démon. Attól még ugyanúgy te viszed ki a szemetet.

mooattyi

Dr. Szöszieheh, ez jó :)

Dr. Szöszi

szgyurcsakÉn is ilyennel kezdtem. Azóta sem irtózom a parancssortól.

Kimarite

siposgEgen, igaz. (ssh >< ssl) :) Persze, hogy mindegy a tűzfalnál, de ez bőséges téma, nem lehet csak pár mondatban leírni, egy hüvelykujj csettintésel. Neki meg igazán mindegy (nekem is, mert még nem másztam bele). Az iptables szerkesztéséhez úgyis olvasgatnia kell, ha meg mondjuk a Firestarter-t használná, ahhoz is meg kel nézni a súgot ... sok ismerősöm úgy használ víruskeresőt, hogy telepíti és nem konfigurálja :) ... ez jutott most eszembe (például a nod-nál /eset/ ez nem előnyös). Nem kell "belemenned", de nem nekem kell segíteni, hanem neki ... én nem értek ehhez, még nagyon távol áll tőlem a téma.

Kimarite

siposgTe még a jobbik fajta felfogású "szerelő" lehetsz. Volt nálam egy gázszerelő, megbeszéltük telefonon, hogy bármi jó pénzért mindkét gázkonvektort felújítja. Ahelyett, hogy lett volna nála elég alkatrész (telefonon megbeszéltük, mi kellhet), leszúrt egy hiányzó kis műanyag mütyűr miatt, de fél óra csőtakarítási munkáért 7,000 forintot kért - ezt egyébként én is megtudtam volna csinálni, mert csináltam már (és, mert megmutatta egy szakszerelő barátom, aki közben külföldre távozott). Őt az egyik szomszédom ajánlotta. Azonban náluk is betelt a pohár. Kihívták, két lakásba egyszerre, 1,5 métert kellett gyalogolnia a másik ajtóig, persze, hogy két kiszállási díjat számlázott ki az egyáltalán nem filléres javításon felül (számítottak rá, hogy nem ezt teszi, mert évek óta ő jött ki akár az éves kötelező takarításokra, biztos megrendelői voltunk). Többet nem is hívták, nem is fogjuk, sosem. Így van ez. A balga emberekről ennyit. (/off)

mooattyi

Kimaritetőlem is, de szeretném ha közelebb állnék hozzá, mert érdekel :)

Kimarite

mooattyiazt a .... mindenit! :) Engem is érdekel, de egyelőre nem ez leginkább. De egyre inkább. :) Olvasgatok könyveket, melyekből van vagy 12-15. Képzeld el (meddig fog tartani elolvasni) ... mégha nem is ez érdekel, hanem a megoldás. :D

tatu

Szia A következő tartalmat én is a NET-en böngésztem.... A csomagszűrő egy programrész a Linux kernelében, mely figyeli a csomagok fejlécét miközben azok keresztülhaladnak rajta, és eldönti az adott csomag további sorsát. Ez lehet DROP, mely a csomag eldobását jelenti, (kidobja a csomagot, mintha sosem kapta volna meg), ACCEPT, mely a csomag elfogadását jelenti (magyarán hagyja a csomagot továbbhaladni), vagy valami más, bonyolultabb eljárás. Linux alatt a csomagszűrés a kernelbe van beépítve (vagy teljesen beleépítve, vagy betölthető modulként szerepel), és jópár trükköt képes bemutatni a csomagokon, de ettől még az alapvető funkciója a csomagok fejlécének figyelése és az aktuális csomag további sorsának eldöntése. Az iptables eszköz beszúr és töröl szabályokat a kernel csomagszűrő táblájából, a kernellel kommunikál, és utasítja azt a csomagszűrési szabályok alkalmazására. A Linux kernel tartalmazza a Netfilter alrendszert, amely a kiszolgálóra irányuló vagy azon átmenő hálózati forgalom sorsának befolyásolására vagy eldöntésére használható. Minden modern linuxos tűzfalmegoldás ezt a rendszert használja csomagszűrésre. A kernel csomagszűrő rendszere kevéssé lenne használható a kezelésére szolgáló, felhasználói térből használható felület nélkül. Amikor egy csomag eléri a kiszolgálóját, átkerül a Netfilter alrendszernek elfogadásra, módosításra vagy elutasításra, a felhasználói térből az iptables segítségével megadott szabályok alapján. Így ha jól ismeri, akkor egyedül az iptablesre van szükség a tűzfal kezelésére, de számos előtétprogram érhető el a feladat egyszerűsítésére. Az Ubuntu alapértelmezett tűzfalbeállító eszköze az ufw (Uncomplicated Firewall). Az iptables beállításának megkönnyítésére tervezett ufw felhasználóbarát módon teszi lehetővé IPv4 vagy IPv6 kiszolgálóalapú tűzfal létrehozását. Ez egy parancssoros program, így a legtöbb felhasználó valószínűleg az UFW beállítására szolgáló grafikus Gufw programot fogja előnyben részesíteni. http://sugo.ubuntu.hu/ http://www.szabilinux.hu/iptables/chapter3.html http://sugo.ubuntu.hu/10.10/html/serverguide/hu/firewall.html http://sugo.ubuntu.hu/9.10/html/keeping-safe/hu/firewall.html

mooattyi

tatuköszönöm szépen!

bitvadasz

tatu2: http://www.szabilinux.hu/iptables/index.html#toc3

Kimarite

tatuhttp://www.fs-security.com/ http://www.simonzone.com/software/guarddog/ És egy alap leírás: http://hogyan.org/tuzfal-tervezes-epites

mr.misterious

Az a baj, hogy sokan teljesen félreértik, mi és hogyan is működik egy tűzfal. Pláne, hogy több különböző típusuk van. 99% abban a hitben van, ha pl. mindent letilt, kivéve a 80-as portot meg az sshd-t átteszi a 22-es portról, akkor Ő már nagyon biztonságban van. A probléma az, hogyha már csak egyetlen portot is megnyitottál és azon nem ellenőrzöd, hogy milyen forgalom megy, akkor tulajdonképpen mindent kinyitottál. Ennek értelmében igazán csak az Application Proxy típusú tűzfalaknak van igazi védelmi hatása. Meg esetleg egy Intrusion Detection System-nek. Úgyhogy a Netfilter-IPtables sok esetben édeskevés.

tatu

mr.misteriousTeljesen egyetértek veled mr.misterious... De valahol el kell kezdeni ... és a legjobb mindig az alapoktól... Őrülök hogy szánsz időt a másik segítésére... üdv

Következő oldal »