GoldenLine
Zaloguj się
Marcin Kałużny

Marcin Kałużny Informatyk / Service
desk / Wsparcie
techniczne
pracowników

Temat: Firewall na debianie. Co, jak, z czym i dlaczego?

Witam szanownych forumowiczów.
Mam prośbę, czy mógłby mi ktoś naświetlić sprawę firewall'i pod debianem? Czy muszę instalować jakieś oddzielne programy czy wystarczy konfiguracja iptables?
Jestem zielony w temacie więc proszę łopatologicznie :)
Z góry dziękuję za pomoc.
Pozdrawiam.

Marcin
Link do wypowiedziLink

konto usunięte

Temat: Firewall na debianie. Co, jak, z czym i dlaczego?

Hej,
zależy co ten firewall ma robić. Najprostszy firewall to konfiguracja iptables z ew modułami ładowanymi do kernela.
Pozdrawiam,
Bogdan
Link do wypowiedziLink
Marcin Kałużny

Marcin Kałużny Informatyk / Service
desk / Wsparcie
techniczne
pracowników

Temat: Firewall na debianie. Co, jak, z czym i dlaczego?

Ano być firewallem na serwerze udostępniającym połączenie ze światem około 50 komputerom stojącym za nim.
Link do wypowiedziLink

konto usunięte

Temat: Firewall na debianie. Co, jak, z czym i dlaczego?

najpierw jeden temat : jakie wybrac distro
potem drugi temat : jaki zrobic firewall na debianie.

Google podaje tysiace stron jak to zrobic.

z innego tematu : google tez pokazuje jak uruchomic program Platnik pod wine.

tylko czasami nie rob wszystko na jednej maszynie.
Firewall + platnik (co za tym idzie jakies srodowisko graficzne).

Moze byc pomyslac o vmware.
jedna maszyna - firewall
druga - windows z platnikiem
trzecia - umilanie sobie zycia grami typu Solitare
Link do wypowiedziLink
Marcin Kałużny

Marcin Kałużny Informatyk / Service
desk / Wsparcie
techniczne
pracowników

Temat: Firewall na debianie. Co, jak, z czym i dlaczego?

Rafale założyłem ten temat bo traktuje o czym innym niż tamten chociaż nie ukrywam, że przy okazji też poruszyłem w tamtym temacie problem firewalla licząc na szerszy odzew. Mam napięty termin i nie mogę zbyt długo czekać na odpowiedzi.
A google...Tak google wie wszystko tylko, że trzeba wiedzieć co z tego wszystkiego jest dobre, a co nie.

Nie zamierzam robić wszystkiego na jednej maszynie.

Chodzi mi o firewalla na serwer jak już wspomniałem wyżej.
Link do wypowiedziLink

konto usunięte

Temat: Firewall na debianie. Co, jak, z czym i dlaczego?

O ile dobrze zrozumiałem chcesz postawić router, który będzie realizował funcję NAT?
Jeśli tak, to zacznij od najprostszych reguł, domyślnie zabroń wszystkiego (na interfejsie loopback dopuść wszystko:)), wpisz regułę "natującą", aby komputery mogły próbować łączyć się światem, patrz w logi i stopniowo wierć dziury w firewallu. Będziesz miał kontrolę nad regułami a sam stopniowo wpadniesz na nowe pomysłu. Może to nie idealna rada, ale ja tak zaczynałem. Obecnie duuużo czytam o kolejkowaniu ruchu, choć jak widzisz utknałem na routingu do tunelu:(
A jak pisał Rafał, przykładów firewalli w sieci jest około mnóstwo.
Ale może jakiś bardziej doświadczony forumowicz niż ja, bardziej pomoże.
Link do wypowiedziLink
Marcin Kałużny

Marcin Kałużny Informatyk / Service
desk / Wsparcie
techniczne
pracowników

Temat: Firewall na debianie. Co, jak, z czym i dlaczego?

Widzisz Bogdan sprawa jest o tyle śmieszna, że ja tego nie robię praktycznie tylko teoretycznie - tylko piszę :)
Wiem, że dużo więcej nauczył bym się gdybym uruchomił Debiana i próbował się bawić z tym wszystkim i jestem pewien, że mnie to czeka, ale nie teraz.
Piszę pracę, mam bardzo mało czasu (z różnych względów, przez własną głupotę również...) i najbardziej chciałbym nazwy programu z podanymi kilkoma + i -, resztę doczytam sam.
Póki co zdążyłem się zorientować w tych iptables właśnie i komplecie skryptów shorewall służących do konfiguracji tychże, a reszta pozostaje dla mnie czarną magią :)
Link do wypowiedziLink
Albert C.

Albert C. Admin od wszystkiego
:)

Temat: Firewall na debianie. Co, jak, z czym i dlaczego?

Witam

Prosty firewall oparty o iptables może wyglądać tak:

iptables -P INPUT DROP ( blokujesz wszystko co wychodzi z serwera)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ( przepuszczamy polaczenia nazwiazane)

Jezeli to ma byc router czyli udostepnia internetu innym komputerom w sieci to ważny jest tutaj łańcuch forward
iptables -A FORWARD -j ACCEPT ( cały łanuch FORWARD jest akceptowany)

pozostaje ustawić jedynie dosteęp do internetu
iptables -A POSTROUTING -t nat -s nasza_siec_lokalna/24 -j MASQUERADE lub
iptables -A POSTROUTING -t nat -s nasza_siec_lokalna -d ! nasza_siec_lokalna -j SNAT --to zazwyczaj_ip_WAN_routera

na koniec przekazywanie pakietów na routerze:

echo "1" > /proc/sys/net/ipv4/ip_forward
Link do wypowiedziLink

konto usunięte

Temat: Firewall na debianie. Co, jak, z czym i dlaczego?

Jeśli ma to być maszyna, która robi tylko za firewall, to może należałoby pomyśleć o jakiejś dystrybucji typowo firewall'owej?
np. IPCop?
http://www.ipcop.org/

Pozdrawiam
Link do wypowiedziLink

konto usunięte

Temat: Firewall na debianie. Co, jak, z czym i dlaczego?

Piotrze - po wyborze odpowiedniego systemu polecam uzyć iptables jako domyślnego firewalla.

Aby było łatwiej i ciekawiej od strony 'projektowej' istnieja gotowe pakiety/projekty/aplikacje - jak to zwał tak to zwał, np. shorewall lub linux firewall (moduł webmina) zamieniający bezduszne i mało komu mówiące frazy /input/output/filter na jasne i czytelne reguły.

W praktyce shorewall i webmin będą nakładkami na iptables pozwalając uzyskać jasny i czytelny organizacyjne firewall.

Oczywiście dyskusja ' to jest lepsze, to jest gorsze, a ja słyszałem że to dobre/złe) to dyskusja na oddzielny wątek.
Link do wypowiedziLink
Przemysław Adam K.

Przemysław Adam K. H2O7

Temat: Firewall na debianie. Co, jak, z czym i dlaczego?

Marcinie, w moim odczuciu będziesz zmuszony przerobić to na Debianie, gdyż w innym wypadku oddasz pracę z niesprawdzonymi regułami, które mogą być błednie napisane lub/i opisane. Najlepszym rozwiązaniem będzie jeśli sam pododajesz wpisy do iptables. Dzięki temu nie będziesz miał problemu z wyjaśnieniem ich w swojej pracy oraz zainwestujesz w siebie;)
W sieci jest dużo materiałów więc google Ci pomoże. Zapewniam, że jeśli wyklikasz w GUI konfigurację to później nie będziesz w stanie opisać co do czego służy i zagubisz się w gąszczu reguł.

http://pl.wikipedia.org/wiki/Iptables
http://zsk.wsti.pl/publikacje/iptables_przystepnie.htm

Mam nadzieję, że przedstawiłem jasno zalety i wady w/w rozwiązań:)
Link do wypowiedziLink

konto usunięte

Temat: Firewall na debianie. Co, jak, z czym i dlaczego?

tez zdecydowania polecam shorewalla
Link do wypowiedziLink

konto usunięte

Temat: Firewall na debianie. Co, jak, z czym i dlaczego?

sciagnij shorewall

prosta konfiguracja
ustawiasz w plikach a on generuje dla ciebie reguły iptables.

ale jesli nie znasz składni iptables to lepiej zacznij od recznego napisania skryptu firewalla z regułkami
Link do wypowiedziLink
Marcin Kałużny

Marcin Kałużny Informatyk / Service
desk / Wsparcie
techniczne
pracowników

Temat: Firewall na debianie. Co, jak, z czym i dlaczego?

Witam,
dzięki za dużo odpowiedzi. Tak jak radzicie zacząłem zgłębiać tajniki shorewalla.
Co do reguł - póki co nie muszę, a co ważniejsze i gorsze - nie mam czasu żeby zająć się tym praktycznie. Poza tym celem mojej pracy nie jest opisanie reguł firewalla od deski do deski tylko wypisanie zalet i wad takiego linux'owego firewalla w porównaniu do jakichś windowsowych rozwiązań.
I tu mam kolejne pytanie do Was - do jakiego "windowsowego" firewalla można porównać tego wbudowanego w Linux'a (mam na myśli iptables)???
Można to w ogóle do czegoś porównać? Jeśli nie to dlaczego?
Link do wypowiedziLink

konto usunięte

Temat: Firewall na debianie. Co, jak, z czym i dlaczego?

Marcin Kałużny:
Witam,
dzięki za dużo odpowiedzi. Tak jak radzicie zacząłem zgłębiać tajniki shorewalla.
Co do reguł - póki co nie muszę, a co ważniejsze i gorsze - nie mam czasu żeby zająć się tym praktycznie. Poza tym celem mojej pracy nie jest opisanie reguł firewalla od deski do deski tylko wypisanie zalet i wad takiego linux'owego firewalla w porównaniu do jakichś windowsowych rozwiązań.
I tu mam kolejne pytanie do Was - do jakiego "windowsowego" firewalla można porównać tego wbudowanego w Linux'a (mam na myśli iptables)???
Można to w ogóle do czegoś porównać? Jeśli nie to dlaczego?
Do żadnego /windowsowego/.
Link do wypowiedziLink
K G

K G

Temat: Firewall na debianie. Co, jak, z czym i dlaczego?

Marcin Kałużny:
Witam,
dzięki za dużo odpowiedzi. Tak jak radzicie zacząłem zgłębiać tajniki shorewalla.
Co do reguł - póki co nie muszę, a co ważniejsze i gorsze - nie mam czasu żeby zająć się tym praktycznie. Poza tym celem mojej pracy nie jest opisanie reguł firewalla od deski do deski tylko wypisanie zalet i wad takiego linux'owego firewalla w porównaniu do jakichś windowsowych rozwiązań.
I tu mam kolejne pytanie do Was - do jakiego "windowsowego" firewalla można porównać tego wbudowanego w Linux'a (mam na myśli iptables)???
Można to w ogóle do czegoś porównać? Jeśli nie to dlaczego?

W windowsie chyba jest jeden firewall, ale nie umiem na jego temat powiedzieć więcej niż to, że jest.

Po co zgłebiasz shorewall, skoro chcesz porównywać iptables?

Jak na mój gust, to z wiedzą jesteś w plecy dobrych parę lat. Wiedzą wynikającą z eksperymentów, grzebania w manualach, HOWTO i Google'u. Czarno widzę napisanie pracy w "krótkim" czasie, ale trzymam kciuki!

Jak chodzi o Linuksa, firewall jest jeden i nazywa się netfilter, jest zaszyty w jądrze systemu. iptables, ipchains, czy shorewall to narzędzia do konfigurowania go dostępne w zależności od wersji systemu, a także działające na różnym poziomie abstrakcji. Więcej znajdziesz w Google'u!

Każdy firewall jest tak dobry, jak ktoś kto go konfiguruje! To się tyczy ogólnie bezpieczeństwa w IT. Ta zasada, nie koniecznie tak brzmiąca, dobrze nadaje się na motto, Twojej pracy.

O inne firewalle proponuję pytać gdzie indziej... ja nie znam (na szczęście nie muszę)!

--
Karol T. Gajowniczek
Link do wypowiedziLink

konto usunięte

Temat: Firewall na debianie. Co, jak, z czym i dlaczego?

I tu mam kolejne pytanie do Was - do jakiego "windowsowego" firewalla można porównać tego wbudowanego w Linux'a (mam na myśli iptables)???
Można to w ogóle do czegoś porównać? Jeśli nie to dlaczego?

Jego czesci mozna porownac ewentualnie do tego co dostajemy z Windows Vista, gdzie mozna juz dosc konkretnie filtrowac ruch w obu kierunkach. Wczesniejsze wersje potrafily filtrowac jedynie ruch przychodzacy. To w systemach konsumenckich. W zastosowaniach serwerowych odpowiednikiem bylby ISA Server.

http://www.microsoft.com/downloads/details.aspx?Family...

http://www.microsoft.com/isaserver/default.mspx

Jednakze zaden, znany mnie, firewall pod Windows nie daje tak wielkich mozliwosci kontroli i modyfikacji ruchu w sieci.
Link do wypowiedziLink
Łukasz R.

Łukasz R. Senior Security
Engineer at AtoS
Poland

Temat: Firewall na debianie. Co, jak, z czym i dlaczego?

Jak nie masz czasu to instaluj IPCOP-a, o ile tylko sadzisz, ze nie warto Ci odkrywac na nowo Ameryki a raczej bedziesz bazowac na czyms gotowym. Poszukaj jakiegos kursu typu nuggets i opanuj iptables w stopniu podstawowym (nie tylko napisanie skryptu, ale i operacje na aktualnie dzialajacych regulach).
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Dlaczego Akurat...




Wyślij zaproszenie do
Anuluj