Debian: Firewall yang mana?

10

Saya harus menginstal firewall di server saya (tanpa X Server). Itu adalah debian lenny. Jika memungkinkan, saya ingin menghindari penggunaan iptables. Apakah ada cara yang lebih mudah untuk menginstal / mengkonfigurasi firewall?

fego
sumber

Jawaban:

14

Pada awalnya, firewall harus menjadi langkah terakhir untuk mengamankan server. Hapus semua perangkat lunak dan layanan yang tidak diperlukan, perbarui sistem Anda dengan tambalan keamanan terbaru yang tersedia dan tinjau file konfigurasi Anda.

Mengapa Anda ingin menghindari iptables?

"Karena aku seorang pemula" bukanlah alasan sebenarnya. Firewall "satu klik segalanya aman" tidak ada, dan jika produk perangkat lunak menggunakan slogan seperti itu, kemungkinan besar itu hanya perangkat lunak snakeoil.

Jika Anda tidak berpengalaman dalam dasar-dasar jaringan, Anda harus mempelajari ini untuk mengkonfigurasi firewall yang berfungsi. :-)

Jika Anda tidak ingin membuat aturan iptable sendiri, Anda memiliki dua opsi:

  • sesuaikan skrip yang ada yang ditemukan di internet
  • gunakan alat GUI untuk membuat aturan sendiri

iptables adalah antarmuka Anda ke lapisan jaringan kernel. Hampir setiap solusi untuk linux akan bergantung padanya.

Berikut adalah beberapa contoh script / tutorial yang dikomentari . Anda akan dengan mudah menemukan lebih banyak dengan pencarian google .

Berikut adalah daftar alat GUI yang dapat Anda gunakan untuk membuat aturan iptable Anda:

Buku bagus tentang server dan keamanan linux adalah "Membangun Server Aman dengan Linux" dari O'Reilly.

Jangan berkecil hati dan menyesal untuk kata-kata "sulit", tetapi server di internet bukanlah mainan dan Anda akan memiliki beberapa tanggung jawab untuk ini.

echox
sumber
1
Terima kasih atas jawaban anda. Saya membeli buku tentang administrasi LInux, dan saya akan belajar iptable, tetapi sebelum saya akan melihat rantai mudah atau ufw.
fego
10

Anda mungkin mempertimbangkan mencoba ufw . Sementara itu dibuat untuk Server Ubuntu, saya percaya bahwa itu juga tersedia di Debian. ( UPDATE : Sayangnya, sepertinya itu hanya tersedia untuk memeras dan SID menurut packages.debian.org , tapi mungkin masih layak melihat.) Sementara saya akan mengatakan bahwa Anda akhirnya ingin pindah ke menulis aturan iptable Anda sendiri , Saya awalnya menemukan ufw sangat mudah digunakan dan sangat mudah untuk transisi. Berikut ini beberapa hal penting:

  • Sintaks Convienient: ufw allow 22atau ufw allow sshsemua yang diperlukan untuk mengizinkan lalu lintas masuk ssh jika kebijakan default Anda DENY.

  • Logging Mudah: ufw logging onakan mengaktifkan logging cukup masuk akal. Yang menyenangkan tentang pencatatan adalah bahwa secara default ia menjatuhkan layanan yang sangat berisik (port 137 siapapun?).

  • Kemampuan untuk menerapkan kebijakan yang rumit: Di mesin rumah saya, saya menggunakan ufw dan saat ini menjalankan kebijakan yang cukup rumit.

  • Kemampuan untuk menambahkan aturan iptable Anda sendiri. Hampir semua kebijakan masih dapat diimplementasikan dengan ufw bahkan jika antarmuka default tidak menyediakan mekanisme karena Anda selalu dapat menambahkan aturan Anda sendiri.

  • Dokumentasi Hebat: man ufwsering kali semua yang Anda butuhkan untuk menyelesaikan beberapa masalah atau menjawab beberapa pertanyaan - yang sangat bagus jika Anda mengatur firewall Anda saat offline.

Ini bukan firewall "klik satu tombol dan Anda akan aman". Pada akhir hari apa itu benar-benar adalah memberikan mudah digunakan sintaks aturan-penciptaan, beberapa abstraksi sekitar iptables-savedan iptables-restoredan membawa beberapa aturan default dan praktek yang newbie mungkin tidak tahu tentang.

Steven D
sumber
1
+1 ufw sangat mudah digunakan dan mudah untuk transisi ke iptables setelah itu karena tingkat abstraksinya tepat (tidak terlalu tinggi seperti point-and-klik, dan tidak terlalu rendah karena default bagus).
Barthelemy
0

Saya merekomendasikan fireholpaket.

Peter Eisentraut
sumber
sepertinya sangat menarik! Thks
fego
0

coba di shorewall ... Saya cukup senang dengan itu dan saya merasa sangat mudah untuk mengkonfigurasi apa pun yang saya butuhkan. (Termasuk pembentukan traffic, NAT, DNAT, dan hal-hal lain).


sumber