Debian: Какой брандмауэр?


10

Я должен установить брандмауэр на моем сервере (поэтому без X Server). Это дебиан Ленни. Если это возможно, я хочу избежать использования iptables. Есть ли более простой способ установить / настроить брандмауэр?

Ответы:


14

Во-первых, брандмауэр должен быть последним шагом для защиты сервера. Удалите все ненужное программное обеспечение и службы, обновите вашу систему последними доступными исправлениями безопасности и просмотрите файлы конфигурации.

Почему вы хотите избежать iptables?

«Потому что я новичок» не является настоящим оправданием. Брандмауэр «все в один клик защищен» не существует, и если программный продукт использует такой слоган, скорее всего, это просто программное обеспечение snakeoil.

Если у вас нет опыта работы с сетями, вам придется изучить это для настройки рабочего брандмауэра. :-)

Если вы не хотите сами создавать правила iptable, у вас есть два варианта:

  • настроить существующие скрипты, найденные в сети
  • используйте инструмент с графическим интерфейсом для самостоятельного создания правил

iptables - это ваш интерфейс к сетевому уровню ядра. Почти все решения для Linux будут зависеть от этого.

Здесь есть некоторые комментируемые примеры скриптов / учебники. Вы легко найдете больше с поиском Google .

Вот список инструментов GUI, которые вы можете использовать для создания ваших правил iptable:

Отличная книга о Linux-серверах и безопасности - «Построение безопасных серверов с Linux» от O'Reilly.

Не расстраивайтесь и извините за «жесткие» слова, но сервер в Интернете - это не игрушка, и вы будете нести за это ответственность.


1
спасибо за Ваш ответ. Я купил книгу об администрировании LInux, и я буду изучать iptable, но прежде чем я посмотрю на легкие цепочки или ufw.
Fego

10

Вы можете попробовать UFW . Хотя он был создан для Ubuntu Server, я считаю, что он также доступен в Debian. ( UPDATE : К сожалению, похоже , что он доступен только для сжатия и Sid согласно packages.debian.org , но все еще может быть стоит посмотреть.) В то время как я хотел бы сказать , что в конечном итоге вы хотите , чтобы перейти к написанию собственных iptable правил Я изначально нашел UFW очень простым в использовании и очень легко переходить с. Вот некоторые основные моменты:

  • Удобный синтаксис: ufw allow 22или ufw allow sshэто все, что требуется для разрешения входящего ssh-трафика, если ваша политика по умолчанию - DENY.

  • Легкая регистрация: ufw logging onвключит довольно разумную регистрацию. Приятная вещь в журналировании состоит в том, что по умолчанию он отбрасывает особенно шумные сервисы (порт 137?).

  • Возможность реализации сложных политик: на своей домашней машине я использую ufw и в настоящее время использую довольно сложную политику.

  • Возможность добавлять свои собственные правила iptable. Практически любая политика все еще может быть реализована с помощью ufw, даже если интерфейс по умолчанию не предоставляет механизм, потому что вы всегда можете добавить свои собственные правила.

  • Отличная документация: man ufwчасто это все, что вам нужно, чтобы решить какую-то проблему или ответить на какой-то вопрос - это здорово, если вы настраиваете брандмауэр в автономном режиме.

Это не брандмауэр «нажмите одну кнопку, и вы будете в безопасности». В конце концов , что это действительно является обеспечить простой в использовании синтаксиса правил создания, некоторые абстракции вокруг iptables-saveи iptables-restoreи приносят некоторые правила и практику , что новичок не может знать о умолчанию.


1
+1 ufw очень прост в использовании и после этого легко перейти на iptables, потому что уровень абстракции просто правильный (не слишком высокий, как у указателя и щелчка, и не слишком низкий из-за хороших значений по умолчанию).
Бартелеми


0

попробовать shorewall ... Я очень доволен этим и чувствую, что очень легко настроить все, что мне нужно. (Включая формирование трафика, NAT, DNAT и другие вещи).

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.