Вопросы
Войти

Как настроить простой межсетевой экран на Ubuntu?

klew

Может кто-нибудь дать несколько простых шагов с примерами конфигурации, как настроить простой межсетевой экран на Ubuntu (только через консоль)? Только ssh, HTTP и HTTPS, доступ должен быть разрешен.

linux
ubuntu
firewall
9 Ответов
Nerdfest

судо по умолчанию НПВ отрицать

судо НПВ разрешить http

судо НПВ разрешении https

судо НПВ позволяют СШ

судо НПВ включить

Mikeage

Использовать этот скрипт.

Просто решите, если вы хотите разрешить входящие ICMP (ping) или нет.

# Clear any existing firewall stuff before we start
iptables --flush
iptables -t nat --flush
iptables -t mangle --flush

# As the default policies, drop all incoming traffic but allow all
# outgoing traffic.  This will allow us to make outgoing connections
# from any port, but will only allow incoming connections on the ports
# specified below.
iptables --policy INPUT DROP
iptables --policy OUTPUT ACCEPT

# Allow all incoming traffic if it is coming from the local loopback device
iptables -A INPUT -i lo -j ACCEPT

# Accept all incoming traffic associated with an established
# connection, or a "related" connection
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow incoming connections
# SSH
iptables -A INPUT -p tcp -i eth0 --dport 22 -m state --state NEW -j ACCEPT
# HTTP
iptables -A INPUT -p tcp -i eth0 --dport 80 -m state --state NEW -j ACCEPT
# HTTPS
iptables -A INPUT -p tcp -i eth0 --dport 443 -m state --state NEW -j ACCEPT

# Allow icmp input so that people can ping us
iptables -A INPUT -p icmp -j ACCEPT

# Reject all other incoming packets
iptables -A INPUT -j REJECT
Hamish Downer

Как отметил в комментарии на другой ответ, вы не хотите потерять свои связи, прежде чем разрешить SSH-порт. Из man-страницы:

"ПУЛЬТ ДИСТАНЦИОННОГО УПРАВЛЕНИЯ

При запуске НПВ включить или стартового сооружения через его инициализации, сооружения сбрасывать цепи. Это необходимо для того, сооружения могут поддерживать в согласованном состоянии, но он может удалить существующие подключения (например по SSH). НПВ поддерживает добавление правил Перед включением брандмауэра, так что администраторы могут делать:

ufw allow proto tcp from any to any port 22

перед запуском НПВ включить. Правила все равно будет слита, но SSH-порт будет открыт после включения брандмауэра. Обратите внимание, что после сооружения включена, НПВ не сбросят цепи, когда добавление или удаление правил (но при изменении правил или изменении политики по умолчанию)".

Так вот-это подход, который использует скрипт, чтобы установить его. Вы вышли, когда вы запустите этот скрипт, но запустить его потом вы можете снова войти в систему через SSH.

Поместите следующие строки в скрипт и вызывать его start-firewall.sh

#!/bin/sh
ufw allow ssh
ufw enable
ufw default deny
ufw allow http
ufw allow https

А затем сделайте его исполняемым и запустите его, выполнив

$ chmod + x start-firewall.sh
$ sudo ./start-firewall.sh

Чтобы узнать больше, читайте страницы .

spoulson

Если вам ознакомиться со сценариями iptablesвы будете иметь полный контроль над всеми функциями брандмауэра. Это далеко не так дружелюбны, как "Воспламеняющая взглядом", но это можно сделать в консоли с nano/vi Редакторы. Проверить это учебник ориентирована на Убунту.

JP Richardson

Quicktables помог мне выучить правила iptables. Просто запустить скрипт и он будет генерировать в iptables скрипт для вас... тогда вы можете открыть его и посмотреть, связанных команд, созданных на вопросы, он спросил о тебе. Это отличный образовательный ресурс.

К сожалению, она больше не поддерживается.

http://qtables.radom.org/

Zoredache

Мне очень нравится использовать пакет).

Для создания правил установки понравившейся вам потребуется отредактировать файл /и т. д./По умолчанию/firehol и изменения START_FIREHOL=да

И вы хотите сделать ваш /etc/firehol/firehol.conf будет выглядеть как это.

version 5

interface any IfAll
    client any AnyClient accept
    server "ssh http https" accept
    # Accept everything from trusted networks
    server anystateless AllInside accept src "10.3.27.0/24"

Одна из больших вещей о firehol-это команда 'попробовать'. Вы можете корректировать свой файл конфигурации и сделать firehol попробовать, если вы где подключены через SSH, и то, о чем вы изменили убил свой доступ к сети, то firehol будет отменить изменения. Чтобы изменения действительно вступят в силу, вы должны сказать, совершал.

Artyom Sokolov

Я бы предпочел Директория. Это легко установить, но одновременно гибкий.

hyperboreean

Может быть, вы должны взглянуть на lartc.org

spoulson

sudo apt-get install firestarter

Тогда посмотри в Система-администрирование меню.