Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Przegląd GUI do iptables

Witam,

Po zakończeniu pierwszego kwartału blogowania spłodziłem łzawą notkę, w której między innymi zapytałem czytelników o propozycje tematów. Pojawiła się aż jedna - Firewalle. Przyznam szczerze, że tuż po przesiadce na Pingwina nieco odmienne podejście do tego typu programów powodowało u mnie drobną konfuzję. Szmat czasu upłynął, tematu nikt inny nie poruszył, więc postanowiłem w końcu go zrealizować.

Firewall a Linux

Firewall to dosłownie "zapora ogniowa", zaś opisowo - oprogramowanie do zarządzania i blokowania na żądanie ruchu między komputerem a Internetem. Jego zadaniem jest uniemożliwienie dostępu z zewnątrz (oraz niechcianego z wewnątrz) przy jednoczesnym niekolidowaniu z dostępem do Sieci z danej maszyny.

Wszyscy wiemy zapewne, że systemy spod znaku pingwina są mniej narażone na zainfekowanie od komercyjnej konkurencji. Po części jest to wynik mniejszego udziału w rynku, co przekłada się na mniejszą liczbę zagrożeń.

Stare porzekadło mówi jednak, że przezorny zawsze zabezpieczony. O ile pakiety antywirusowe pod Linuksem są rzadko używane przez indywidualnych użytkowników (względnie tylko do skanowania pamięci przenośnych używanych poza domem), o tyle dobry firewall nie zaszkodzi.

Większość prostych w obsłudze dystrybucji dołącza narzędzie iptables, które steruje filtrem pakietów i działa na zasadzie podobnej do windowsowych firewalli. Jest to naprawdę potężne narzędzie, sęk w tym że - jak wiele rozwiązań linuksowych - nie zawsze przyjazne użytkownikom. Nie wszystkie dystrybucje dokładają bowiem nakładki graficzne pozwalające łatwo i wygodnie zarządzać iptables.

Nakładki na iptables podzieliłem na 3 kategorie, całkowicie subiektywnie.

Casual

Najprostszą i najbardziej znaną nakładką jest Gufw. Niewątpliwą zaletą tego programu jest prostota i pełna lokalizacja. Nawet średnio rozgarnięty użytkownik poradzi sobie z jego obsługą.

Warto zaznaczyć, że Gufw to Gnomowa nakładka na konsolowe UFW, dostępne w Ubuntu narzędzie do konfiguracji iptables. Może się to wydawać nieco pokręcone, ale użytkownicy dystrybucji *buntu muszą tylko pobrać Gufw, gdyż UFW mają domyślnie zainstalowane.

Normal

Kaźdy miecz jest obosieczny, a prostota Gufw poza zaletą jest także wadą. Program nie oferuje wielu funkcji i dla entuzjastów oprogramowania może się okazać niewystarczający.

Ciekawą aplikacją wypełniającą tę lukę jest KMyFirewall . Posiada nawet dwa tryby interfejsu, jeden dla nowicjuszy i drugi, rozszerzony. Do obsługi tego pierwszego nie trzeba specjalistycznej wiedzy, wystarczy odrobina samozaparcia. Nie zapomniano również o kreatorze konfiguracji przy pierwszym uruchomieniu. W zamian za nieco większy czas poświęcony na rozpracowywanie interfejsu zyskujemy dużo większą kontrolę nad zaporą w porównaniu do Gufw.

Do segmentu pośredniego można też zaliczyć program Firestarter. Swego czasu był on bardzo popularny, jednak nie jest rozwijany od kilku lat. W moim przypadku namieszał też nieco w systemie (może niektórych to zaskoczy, ale nie piszę o niczym czego nie zbadam osobiście) - konkretnie blokował wszystkie połączenia wychodzące raz na kilka startów komputera.

Zamiast Firestartera zdecydowanie bardziej polecam GuardDog. Nie jest on trudniejszy w obsłudze od KMyFirewall, a nie wymaga dociągania bibliotek KDE dla użytkowników innych środowisk. Posiada też fenomenalną ikonkę w menu ;)

Hardcore

Dla prawdziwie żądnych firewallowych wrażeń dobrym programem jest Firewall Builder. Strona projektu wyraźnie zaznacza prostotę obsługi i trzeba przyznać, że podstawowe operacje da się przeprowadzić bez trudu. Do kategorii hardcore zaliczyłem ten program z powodu ogromnej konfigurowalności i liczby opcji. Umożliwia on nawet konfigurację wielu wersji iptables zainstalowanych na jednej maszynie.

Kiedy nie masz firewalla, wiedz, że Diabeł się Tobą interesuje

Bezpieczeństwo rzecz ważna i naprawdę polecam posiadanie włączonego i skonfigurowanego iptables użytkownikom Linuksa. Świat Open Source ma to do siebie, że powstaje wiele mniej znanych projektów, więc możliwe że nie sprawdziłem jakiejś ciekawej nakładki na to konsolowe narzędzie. W takim przypadku zapraszam do Komentarzy ;)

To tyle na dziś, stay tuned :)
 

Komentarze

0 nowych
Jaahquubel_   12 #1 01.10.2011 00:04

Fajnie podszedłeś do tematu firewalli. Trochę zaskakująco.
Fakt faktem, poza Gufw i Firestarterem, reszty nie znałem.

Czekam na kontynuację tematyki.

Kranken   2 #2 01.10.2011 08:39

Kiedy zobaczyłem ten artykuł, pomyślałem sobie, może by tak udało się zarządzać zdalnym Firewallem (tylko konsola) przez GUI. A tu na końcu Firewall Builder - dawno zapomniana pozycja :)

Dzięki wielkie, świetny artykuł.

command-dos   17 #3 01.10.2011 09:14

Fajnie, nie wiedziałem, że tyle tego jest. Iptables dla mnie, to temat tabu - nigdy nie miałem ochoty konfigurować tego "od środka". Do tej pory używałem firestarter'a - jest tam fajna funkcja udostępniania połączenia internetowego. Czy pozostałe, opisane tutaj też posiadają taką funkcję?

  #4 01.10.2011 10:39

Ja jednak pozostanę przy konfiguracji "z łapy", to jednak prostsze i jednak szybsze. ;) A co do automagicznych nakładek Jaahquubel_ , to dla dystrybucji debianopochodnych apt-cache search iptables gui, a dla wszystkich google.... Jednak gratuluję pomysłu na artykuł. W skrócie napisane to, co każdemu może się przydać. Tak dalej!

  #5 01.10.2011 10:44

"firewall" to sciana przeciwogniowa (stosowana np w kotlowniach) a nie jakas sciana ognia. To taka sama pomylka jak z firefoxem, to zaden lisek tylko panda czerwona. ehh amatorzy

  #6 01.10.2011 12:37

ja mam pytanie - jeśli jakaś aplikacja chce się połączyć z netem to czy dostajemy jakąś informację o tym zdarzeniu np. z zapytaniem czy chcemy jej na to pozwolić, czy nie, czy pozwolić zawsze, czy zawsze zabronić, ewentualnie stworzyć regułę ? czy muszę zgadywać, że aplikacja próbowała się połączyć i się nie udało, wiec muszę stworzyć odpowiednią regułę i jeszcze raz próbować ?

Druedain   13 #7 01.10.2011 20:07

Niestety KMyFirewall już od 3 lat nie jest rozwijany. Z tego co widzę Guarddog również.

eth0   4 #8 02.10.2011 12:02

Nie korzystam w ogóle z żadnego GUI do iptables, bo raz, że na serwerze nie ma to sensu, dwa znam na tyle dobrze iptables, że radzę sobie i na serwerze i na desktopie z poziomu konsoli. Raz w pracy się spotkałem, że firewall był utworzony za pomocą jakiegoś GUI w php do zarządzania całym serwerem, w tym iptables, ja go nie znałem, i moje polecenia dopisane z palca znikały po restarcie...Wole skrypty, łatwiej mi tym zarządzać i dostosowywać do swoich potrzeb.

Kranken   2 #9 02.10.2011 12:41

eth0, a czego używasz do monitorowania na serwerze statystyk sieciowych, wysył, obciążenie interfejsu, itp?

eth0   4 #10 02.10.2011 13:19

Kiedyś używałem Zennos, napisany w pythonie, po skonfigurowaniu snmp masz możliwość monitorowania chyba wszystkiego co tylko się da, później przerzuciłem się na Nagios, jest lżejszy i mimo wszystko łatwiej mi się nim zarządza niż Zennos, a do dokładnych statystyk sieciowych stosuje ntop. Kiedyś napisałem też zestaw skryptów w bashu, które monitorują podstawowe parametry serwerów jak zajętość dysków, średnie obciążenie (load average), wybrane procesy, informacja wysyłana na email za pomocą ssmtp. A jak chce tak na szybko coś podejrzeć to używam :
-iftop
-iptop
-iptraf

Iptraf dla przykładu znajomemu pokazuje na żywo zużycie transferu dla wan1, wan2, wan3, gdzie każdy interfejs wan to inny operator DSL:) Dzięki temu można obserwować jak vyatta rozkłada ruch pomiędzy poszczególne interfejsy.

  #11 03.10.2011 08:30

Moge sie mylic ale pamietam ze nawet jak mialem wylaczone iptables to wszystkie porty i tak byly zamkniete. Szkoda tylko ze za pomoca iptables nie da sie kontrolowac ruchu sieciowego per aplikacje a nie per system. Na razie jedynym wyjsciem na taka kontrole jest selinux.

eth0   4 #12 03.10.2011 13:00

@standard

To co piszesz raczej jest niemożliwe, iptables -L pokazuje Ci aktualne ustawienia filtra sieciowego i polityki poszczególnych łańcuchów, więc jak wszystko miałeś na accept,to faktycznie tak jak by zapory nie było, ale Ty pewnie miałeś łańcuch INPUT na denny, a OUTPUT i FORWARD właśnie na accept . Co do kontrolowania ruchu sieciowego per aplikacje i selinux to chyba mylisz pojęcia, selinux stworzono po to, aby programy działały z tak minimalnymi uprawnieniami jak to tylko możliwe, i nie bardzo rozumiem co do tego ma iptables? Iptables ma potężne możliwości i swoje zadanie moim zdaniem wykonuje dobrze. Nie wiem czy miałeś okazje pisać w oparciu o iptables skrypt zapory sieciowej, ale ja robiłem to nie raz w różnych scenariuszach, fakt nie jest tak wygodny jak np.: to co spotykamy w urządzeniach cisco asa 50xx i programie do zarządzania nimi ASDM, no ale też sobie zrobisz w iptables ACL (chociaż nie tak wygodnie jak w cisco), równie skutecznie ograniczysz różne ataki na Twój serwer, masz jeszcze "wspomagacze", czyli programy takie jak snort, które odwalają masę czarnej roboty. I od tego momentu już widzisz, kto Cie skanuje, flooduje pakietami itd... Moim skromnym zdaniem nie znasz na tyle dobrze samego linuksa, jak i iptables, dlatego nie jesteś świadomy co on potrafi, a czego nie. Jeszcze zapoznaj się z komendą netstat, żebyś wiedział na jakich portach nasłuchują dane programy.

Druedain   13 #13 03.10.2011 16:07

@mixer23 Po angielsku nie masz fireproofwall tylko firewall. Kiedyś zainteresowany sprawą znalazłem, że w budownictwie stosuje się nazwę ściana ogniowa, która ma uniemożliwiać przenoszenie się ognia z jednego palącego się budynku na następne. W obu przypadkach znaczenie dosłowne jest wzięte z budownictwa i w obu przypadkach znaczenie dosłowne jest przeciwne z tym co faktycznie dostajemy.

Druedain   13 #14 03.10.2011 16:08

…W obu przypadkach, czyli w przypadku języka angielskiego i polskiego.

  #15 15.10.2015 22:36

no to mam trzepaki jak ktoś chce