Οδηγός ρύθμισης Iptables (Firewall)

[bullgr]

Οι πόρτες από default είναι ανοιχτές... Η ρύθμιση του iptables χρειάζεται μόνο όταν θέλουμε firewall... Εάν δεν θέλουμε firewall δεν πειράζουμε τίποτα και όλες οι πόρτες παραμένουν ανοιχτές...

[baker]

Οι πόρτες από default είναι ανοιχτές... Η ρύθμιση του iptables χρειάζεται μόνο όταν θέλουμε firewall... Εάν δεν θέλουμε firewall δεν πειράζουμε τίποτα και όλες οι πόρτες παραμένουν ανοιχτές...

μα στον οδηγο σου λες:

Το iptables είναι το firewall του Linux. Υπάρχει σε κάθε εγκατάσταση του ubuntu με προεπιλογή να είναι κλειστά τα εξερχόμενα ports.
Εάν όμως θέλετε να ανοίξετε κάποια ports αναγκαστικά θα πρέπει να ασχοληθείτε με τη δομή του iptables.

[bullgr]

Τον οδηγό τον δημιούργησα με τις εμπειρίες που είχα με τον Ubuntu Server 6.06... Σε αυτή τη έκδοση ΟΛΕΣ ΟΙ ΠΟΡΤΕΣ ΗΤΑΝ ΚΛΕΙΣΤΕΣ ΑΠΟ DEFAULT (ένα googling μπορεί να στο επιβεβαιώσει αυτό)...

Από την έκδοση 8.04 και μετά πλέον όλες οι πόρτες είναι ανοιχτές από default...

Τι να κάνουμε, η ανάπτυξη του ubuntu είναι ραγδαία και οι αλλαγές γίνονται εν ρίπη οφθαλμού... Άντε να τα προλαβαίνεις όλα...

Το ίδιο έπαθα και με τον οδηγό αυτόν: viewtopic.php?f=9&t=552
Τον έκανα με την τότε τρέχουσα έκδοση 1.6 που για να δουλέψουν τα host network & usb ήθελε κάποια "φακιρικά"... Μετά από λίγο καιρό όμως κυκλοφόρησε η έκδοση 2.0 η οποία αναιρούσε όλα τα "φακιρικά" και γινόντουσαν όλα αυτόματα.

Τι να κάνουμε, τα λεγόμενά μας δεν μπορούν να είναι διαχρονικά (εκτός και αν αρχίσουμε να ασχολούμαστε με την ποίηση )... Κάτι που υποστηρίζεις τώρα, μπορεί να στο αναιρέσει η επόμενη έκδοση ενός προγράμματος ή της νέας έκδοσης ubuntu...

[digibill]

Off topic:
Στο χώρο του linux καλό είναι να συμβουλεύουμε τους χρήστες να χρησιμοποιούν τον δύσκολο δρόμο από τον εύκολο... Γιατί με τον δύσκολο δρόμο θα αποκτήσουν πολύτιμες και ανεκτίμητες γνώσεις.

Off topic:
Μήπως όμως έτσι απλά τους πελαγώνουμε ακόμη περισσότερο? Τι να το κάνει, κάποιος που δοκιμάζει κάτι σε linux και προέρχεται από windows, να κάτσει να μάθει iptables όταν απλά θέλει να ρυθμίσει το firewall στο σύστημά ΤΟΥ, όχι σε μια οποιαδήποτε διανομή! Ας μην ξεχνάμε ότι το ubuntu ακριβώς γι' αυτό μεγάλωσε απότομα: έφερε το linux στο ευρύ κοινό, πιάνοντας τον «εύκολο δρόμο»!

[baker]

Τώρα είναι κατανοητό...
Άλλη μια ερώτηση: Έστω ότι ακολουθώ τον οδηγό σου και απαντώ ναι μόνο πχ στο Allow ping ενώ στο υπόλοιπα απαντώ όχι.
Λογικά το ping port θα παραμείνει ανοικτό (όπως και ήταν) και θα κλείσουν τα υπόλοιπα...
Τι θα γίνει όμως με τα ports που δεν με ρωτά το script, θα παραμείνουν ανοικτά; (όπως ήταν) ή θα κλείσουν όλα μα όλα τα ports εκτός του ping?

[bullgr]

Μήπως όμως έτσι απλά τους πελαγώνουμε ακόμη περισσότερο? Τι να το κάνει, κάποιος που δοκιμάζει κάτι σε linux και προέρχεται από windows, να κάτσει να μάθει iptables όταν απλά θέλει να ρυθμίσει το firewall στο σύστημά ΤΟΥ, όχι σε μια οποιαδήποτε διανομή! Ας μην ξεχνάμε ότι το ubuntu ακριβώς γι' αυτό μεγάλωσε απότομα: έφερε το linux στο ευρύ κοινό, πιάνοντας τον «εύκολο δρόμο»!

Ξαναλέω ότι ο οδηγός συνίσταται για ΜΗ γραφικά περιβάλλοντα εργασίας όπως ο ubuntu server... Δεν νομίζω ότι ένας νέος χρήστης και ειδικά προερχόμενος (το 99% άλλωστε) από windows να κάτσει να στήσει ubuntu server.

Απλώς όταν γίνεις με τον καιρό geek και γουστάρεις τα δύσκολα (χαρακτηριστικό των χρονίων χρηστών linux) μπορείς να μάθεις να στήνεις το firewall σε native καταστάσεις (iptables) αντί να καταφεύγεις σε εύκολες λύσεις (ufw)... Όλα είναι θέμα επιλογής και γνώσεων... Τίποτα δεν είναι λάθος να χρησιμοποιήσεις τη στιγμή που κάνεις τη δουλειά σου... Απλώς εάν θέλεις να είσαι linux geek και να σέβεσαι τον εαυτό σου, πρέπει να μάθεις κάποια στιγμή να ρυθμίζεις το iptables...

Για τους άλλους μή geek, αρχάριους, πρώην windowσάδες, υπάρχει πάντα η εύκολη λύση...

Τι θα γίνει όμως με τα ports που δεν με ρωτά το script, θα παραμείνουν ανοικτά; (όπως ήταν) ή θα κλείσουν όλα μα όλα τα ports εκτός του ping?

Όταν θέσεις το iptables σε λειτουργία, όλες οι πόρτες που έθεσες ως allow θα είναι ανοιχτές... Όλες οι υπόλοιπες θα είναι κλειστές... Αύτος είναι και ο λόγος του firewall... Εάν ήταν να έμεναν και οι υπόλοιπες ανοιχτές τότε δεν θα είχε νόημα...

Και για να σε προλάβω, μπορείς να προσαρμόσεις πολύ εύκολα τα script για να θέτουν ερώτημα και για πόρτες που θέλεις εσύ προσωπικά... Δες το παράδειγμα που έχω με τις πόρτες για torrent...

[ftso]

Άλλη μια ερώτηση: Έστω ότι ακολουθώ τον οδηγό σου και απαντώ ναι μόνο πχ στο Allow ping ενώ στο υπόλοιπα απαντώ όχι.
Λογικά το ping port θα παραμείνει ανοικτό (όπως και ήταν) και θα κλείσουν τα υπόλοιπα...
Τι θα γίνει όμως με τα ports που δεν με ρωτά το script, θα παραμείνουν ανοικτά; (όπως ήταν) ή θα κλείσουν όλα μα όλα τα ports εκτός του ping?

To ping δεν χρησιμοποιεί κάποιο port. Είναι icmp πακέτο 3ου επιπέδου στο TCP/IP και ενθυλακώνεται πάλι στο ip πακέτο του 3ου επιπέδου στο TCP/IP για να δρομολογηθεί.
Τα ports αφορούν το 4o επίπεδο όπου εκεί έχουμε τα TCP και UDP segments τα οποία επίσης μεταφέρονται απο το ip πακέτο του 3ου επιπέδου στο TCP/IP.

[linuxman]

Οι πόρτες από default είναι ανοιχτές... Η ρύθμιση του iptables χρειάζεται μόνο όταν θέλουμε firewall... Εάν δεν θέλουμε firewall δεν πειράζουμε τίποτα και όλες οι πόρτες παραμένουν ανοιχτές...

Διαφωνώ εδώ .
Όπως έχω πει πολλές φορές όλες πόρτες από την αρχή σχεδόν σε όλες τις διανομές καθαρές είναι κλειστές , ειδικά σε Ubuntu εάν δεν τις πειράζουμε παραμένουν κλειστές , ένα παράδειγμα .
Έκανα nmap το Η/Υ μου μέσου ssh από ένα άλλο μηχάνημα στο ίδιο δίκτυο και το αποτέλεσμα

Κώδικας: Επιλογή όλων

sudo nmap -P0 -sS το_σταθερό_IP_μου
Starting Nmap 4.53 ( http://insecure.org ) at 2009-06-30 14:15 EEST
Interesting ports on  το_σταθερό_IP_μου:
Not shown: 1713 closed ports
PORT   STATE SERVICE
22/tcp open  ssh


Από έξω (εκτός του δικτύου που είμαι τώρα ) μπορεί να εμφανίσει και κάτι άλλο το οποίο θα την δείχνει το switch/hub ορόφου που είναι συνδεδεμένο το PC μου , εγώ έχω ανοικτό μόνο το SSH αν το σταματήσω και αυτό θα γράψει ότι και η 1714 πόρτες είναι όλες κλειστές , και την ώρα του scan , τρέχω Firefox, Azureus=Vuze , RadioStream,Pidgin=icq,amsn και πολλά άλλα και δεν βλέπω να έχουν πρόβλημα στην επικοινωνία αυτά και δεν πειράζω καν τις πόρτες και δεν έχω Firewall το κλασσικό από την αρχή που είναι by default κλειστός .
Συμφωνώ με τον @bullgr ότι οδηγός είναι για συστήματα Servers= FileServer , WebServer , StreamServer και ότι άλλο θα κάνει , όχι για προσωπικό Η/Υ με Λίνουξ/Ubuntu .

[ftso]

Όπως έχω πει πολλές φορές όλες πόρτες από την αρχή σχεδόν σε όλες τις διανομές καθαρές είναι κλειστές , ειδικά σε Ubuntu εάν δεν τις πειράζουμε παραμένουν κλειστές

Το ότι δεν τρέχει κάποιο service δεν πάει να πει ότι είναι κλειστό το port.
Είναι ανοιχτό αλλά δεν ακούει καμιά εφαρμογή σε αυτό, άρα ανενεργό.

Αν δουλεύεις ubuntu και βγαίνεις στο internet χωρίς κάποιο ενδιάμεσο router που φιλτράρει την κίνηση και έχει ενσωματωμένο firewall και υλοποιεί ΝΑΤ τότε πρέπει να ενεγροποιήσεις τους κανόνες του iptables ή απλά το ufw που κάνει ποιο εύκολη την δουλειά για να είσαι ασφαλής.

την ώρα του scan , τρέχω Firefox, Azureus=Vuze , RadioStream,Pidgin=icq,amsn

αυτά παίζουν σε ports πάνω απο το όριο που scanάρεις και εκτός αυτού δεν αποτελούν όλα servers.

[linuxman]

Το ότι δεν τρέχει κάποιο service δεν πάει να πει ότι είναι κλειστό το port.
Είναι ανοιχτό αλλά δεν ακούει καμιά εφαρμογή σε αυτό, άρα ανενεργό.
Αν δουλεύεις ubuntu και βγαίνεις στο internet χωρίς κάποιο ενδιάμεσο router που φιλτράρει την κίνηση και έχει ενσωματωμένο firewall και υλοποιεί ΝΑΤ τότε πρέπει να ενεγροποιήσεις τους κανόνες του iptables ή απλά το ufw που κάνει ποιο εύκολη την δουλειά για να είσαι ασφαλής.
αυτά παίζουν σε ports πάνω απο το όριο που scanάρεις και εκτός αυτού δεν αποτελούν όλα servers.

Όταν ένα service δεν σερβίρει έξω μία υπηρεσία δεν ανοίγει την πόρτα , για να διαπιστώσεις αυτό σε ένα Ubuntu.Κubuntu, Xubuntu η ότι άλλο θες τρέξε αυτά που τρέχεις συνήθος και κάνε το scan από άλλο Η/Υ στο εσωτερικό δίκτυο να δεις τι πόρτες έχεις ανοικτές , από εκεί και πέρα προς τον έξω κόσμο ναι έχεις ρούτερ που έχει ότι έχει .
Εδώ που είμαι δεν έχει κάποιο ρούτερ που έχει Firewall και όσο να το σκανάρεις κάποιο IP δεν θα δώσε όλες τις πόρτες με βάση τα services που τρέχει το PC άλλα κάποιες πόρτες που θα δώσει θα είναι από το switch του ορόφου , άρα ο Η/Υ θα εμφανίσει ότι πόρτες έχει ανοικτές με βάση τα services που τρέχει , από εκεί και πέρα ότι δείχνει το switch είναι άλλο καπέλο και να δείχνει και 10 πόρτες δεν σημάνει ότι τέτοιο services τρέχει το PC .
Εντολή για scan την ξέρεις , βάλε και άλλους παραμέτρους να δει παραπάνω στοιχεία .
Περίπτωση εφαρμογής του Firewall σε επίπεδο Server εδώ ναι , δεν υπάρχει λόγος να το συζητάμε , σε επίπεδο PC που δεν σερβίρει υπηρεσίες προς τα έξω (από το εσωτερικό δίκτυο ) στο Ίντερνετ δεν νομίζω ότι υπάρχει λόγος να το εφαρμόσουμε , αυτά που λέω τα έχω δοκιμάσει από το 2001-2 και έχω κάνει πολλές δοκιμές .Ναι μπορεί να σπάσει ο το ποδάρι του και να γίνει ζημία άλλα είναι πολύ μικροί πιθανότητα .
Και ορίστε σου δίνω και ένα παράδειγμα κάνε scan αυτό το IP

Κώδικας: Επιλογή όλων

sudo nmap -P0 -sS 195.251.210.175

και δώσε μετά το αποτέλεσμα εδώ να δούμε πόσες πόρτες έχει ανοικτές .

Υ.Γ. Και τώρα που δεν τρέχει ούτε και ssh για να δούμε τι σου εμφανίζει .