Как настроить фаервол в Linux

Если вы пользуетесь операционной системой Linux (к примеру Ubuntu) или собираетесь на неё перейти, то неплохим стимулом было бы воспользоваться встроенными по-умолчанию возможностями безопасности этой системы. Linux системы практически не чувствительны ко всем вирусам для Windows или Mac OS систем, кроме того проект GNU сам по себе гарантирует подлинность программного обеспечения. Однако даже самый продвинутый пользователь знает что полностью защищённых систем не существует, поэтому рассмотрим способ как улучшить безопасность вашей Linux системы с помощью небольших манипуляций в настройках фаервола.

Традиционным фаерволом для Linux систем выступает терминально-настраиваемый IPTables. Непосредственно полученный от Unix этот инструмент очень мощный в своём классе и одновременно достаточно сложный в настройке для начинающего пользователя. Но к сожалению все настройки (правила) IPTables введённые с консоли не сохраняются при следующем запуске системы, поэтому необходимо настроить (править) специальный скрипт, где они будут храниться и применяться при старте фаервола. Но на много проще начинающему пользователю будет разобраться и использовать UFW (Uncomplicated FireWall). UFW — это так же терминально-настраиваемый фаервол, но с более простым синтаксисом команд. В отличии от железного IPTables он запускается при старте с уже настроенными правилами и обеспечивает уровень защиты не хуже чем IPTables. Так же обойти использование командной строки для настройки фаервола возможно с помощью gUFW — это его графический интерфейс.

Установка

В Ubuntu все что необходимо, это воспользоваться командой в терминале (или найти gUFW в Центре приложений):

sudo apt-get install gufw

Настройка

Запустите приложение gUFW и вы увидите следующее маленькое серое окошко.

Чтобы настроить правила gUFW должен быть запущен с правами супер-пользователя, что означает что в терминале необходимо воспользоваться командой:

sudo gufw

Если вы запустили программу с меню приложений, то необходимо кликнуть по кнопке с значком замка в правом нижнем углу окна и ввести пароль чтобы дать приложению соответствующие права.

Теперь можно вносить изменения в настройки фаервола.

Первое что необходимо — это активировать фаервол кликнув по кнопке после слова «Статус» (Status). Далее необходимо выбрать действия для для входящего (incoming) и исходящего (outgoing) трафика. По-умолчанию входящий трафик запрещён, а исходящий — авторизируется, то есть проверяется. Это конечно же надёжные настройки, но в Linux вы можете достичь большего контроля над проходящим через ваш компьютер трафиком. Данная конфигурация будет резать весь неизвестный входящий трафик, но она никак не задерживает любой исходящий трафик. Поэтому если, к примеру, ваш компьютер уже заражён каким-то шпионским или вредоносным ПО, то оно сможет беспрепятственно пройти через фаервол в сеть. В этом случае UFW не остановит его при попытке выйти в Интернет и передать злоумышленнику какие-то ваши личные данные.

В таком случае можно применить радикальные меры: запретит весь входящий и исходящий трафик.

С этого момента вы увидите что отключили себя полностью от Интернета. Поскольку запретив все, вы также запретили весь веб-трафик который шёл из/в вашу систему. Но поскольку в таком фаерволе нет особого смысла, то мы воспользуемся правилами чтобы разрешить те приложения, которые нам нужны или к которым у нас есть доверие. Добавить новое правило очень просто. Достаточно просто нажать на значок «+» который находится в левом нижнем углу окна. Аналогично, значок «-» удаляет выбранное правило.

Теперь кликните на значок «+». Вы увидите новое окно с тремя вкладками.

Первая вкладка «Предустановленные» (Preconfigured) служит для создания правил для определённых или специфических задач, таких как Skype или Transmission. Это самый простой и быстрый способ создания правила: выберите то приложение или службу, которой вы пользуетесь из списка, затем разрешите (Аllow) для неё входящий (incoming) или исходящий (outgoing) трафик и правило автоматически сформируется и добавиться в список.

К примеру, если вы захотите разрешить входящие соединения для Skype, то gUFW создаст правило для входящих соединений  (ALLOW IN) из любого места в сети (Anywhere) для порта 443 с использованием протокола TCP.

Это самый простой способ создания правил, но он не полный и не предоставляет всех возможных настроек. Существуют такие ситуации которые  нельзя разрешить без вкладки «Простые» (Simple).

Эта вкладка не очень сложна в использовании. Все что необходимо для того чтобы добавить правило — это выбрать между входящим (incoming) или исходящим (outgoing) соединением, используемый протокол (TCP, UDP или TCP&UDP), а также ввести нужный порт. Теперь рассмотрим список основных портов, которые нужно оставить открытыми чтобы продолжать пользоваться основными сервисами Интернета и сети.

Список основных портов

Исходящие соединения:

  • 80/tcp HTTP (для веб-браузеров)
  • 53/udp DNS (для обновления и получения доменных имен)
  • 443/tcp HTTPS (защищённый HTTP)
  • 21/tcp FTP (протокол передачи файлов)
  • 465/tcp SMTP (отправка emails)
  • 25/tcp Insecure SMTP (незащищённый SMTP)
  • 22/tcp SSH (защищённое соединение компьютер-компьютер)
  • 993/tcp&udp IMAP (получение emails)
  • 143/tcp&udp Insecure IMAP (незащищённый IMAP)
  • 9418/tcp GIT (version control system)

Входящие соединения:

  • 993/tcp&udp IMAP (получение emails)
  • 143/tcp&udp Insecure IMAP (незащищённый IMAP)
  • 110/tcp POP3 (старый способ получения emails)
  • 22/tcp SSH (защищённое соединение компьютер-компьютер)
  • 9418/tcp GIT (version control system)

Этот список конечно же не полный, только начальный. Поэтому если у вас после включения фаервола некоторые приложения или службы не могут получить доступ в интернет или в сеть, то ищите информацию о том какой протокол и порт использует эта программа, чтобы добавить её в правила.

Некоторые службы, такие как IMAP, требуют и исходящего, и входящего соединения для нормальной работы. А в некоторых случаях шифрованные соединения требуют других портов.

На вкладке «Расширенные» (Advanced) к всем предыдущим настройкам добавляется возможность ввести IP-адреса и порты хостов откуда и куда может устанавливаться данное соединение.

Заключение

Теперь вы сможете контролировать свой фаервол и быть уверенным в собственной безопасности. Под завершение, UFW необходимо добавить как службу стартующую при загрузке. Для этого воспользуйтесь следующей командой:

sudo update-rc.d ufw defaults

И в других дистрибутивах, таких как Archlinux, необходимо править файл /etc/rc.conf. Конечно же лучше всего добавить службу UFW в загрузку перед загрузкой других служб, которые устанавливают соединения (к примеру таких как wicd или network-manager).

Если вы пользуетесь каким-то другим фаерволом или возможно можете порекомендовать ещё какие-то полезные и нужные правила — пишите, всем будет интересно узнать.

Оцените эту статью: 1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд6 Звезд7 Звезд8 Звезд9 Звезд10 Звезд (10 голосов, среднее: 8,10)
Загрузка...

1 Комментарий

  1. Гость.

    Спасибо большое!

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Выполните действие! (обязательно) Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.