Οδηγός (εύκολης) ρύθμισης του UFW Firewall

από **panligo** » 11 Δεκ 2009, 19:37

sindarta έγραψε:Ουσιαστικά για σερφάρισμα, dc++ που χρησιμοποιώ μέσω lan και skype το χρησιμοποιώ το ιντερνετ. Δεν έχω καμία περίεργη ανάγκη, πιο πολύ παίζω με το firewall.

Τότε μπορείς από μόνος σου να το δοκιμάσεις, να παίξεις με τις ρυθμήσεις και να δεις τις δυνατότητές του. Έτσι θα μάθεις και την λογική με την οποία δουλεύει ένα firewall αλλά και μερικά πράγματα το πως μπορείς να ρυθμήσεις ένα firewall.

Προσωπικά δεν νομίζω πως χρειάζεται να ενεργοποιήσεις το firewall σου, παρά μόνο για λόγους πειραματισμού. Δεν χρειάζεται να επιβαρύνεις το σύστημα μου με περιττές διαδικασίες!

από **panligo** » 16 Φεβ 2010, 18:00

Μόλις ανανέωσα τον οδηγό. Τον προσάρμοσα στην νέα έκδοση του προγράμματος (9.10.4) και έχει τις εξής διαφορές με τον προηγούμενο:
1) Διαφορετική οργάνωση των μενού του προγράμματος
2) Διαφορετικός ο τρόπος με τον οποίο εισάγουμε κάποια απόσταση στις θύρες
3)Εκτός από τις τρεις επιλογές για την ρύθμιση του firewall (allow, deny, limit) έχουμε και μία τέταρτη επιλογή το reject.

Αξίζει να ρίξετε μια ματιά :!:

από **SpyrosB** » 17 Φεβ 2010, 18:45

Φίλε ο οδηγός σου εχει λάθη

Οι επιλογές Αllow/Deny/Reject δεν έχουν να κάνουν με το ping αλλα με το πώς θα αντιδράσει το firewall όταν πάρει ένα πακέτο

Allow, θα το επιτρέψει

Deny, θα το απορρίψει σιωπηλά αυτό που δηλαδή λέμε stealth

Reject, θα το απορρίψει στέλνοντας ένα πακέτο οτι η πόρτα είναι closed

H συμπεριφορά για τα pings ορίζεται απο κάποιους κανόνες που βρίσκονται σε ένα chain που δε μπορούμε να ελέγξουμε με το GUFW και προηγούνται απο αυτούς που έχει δημιουργήσει ο χρήστης, οι κανόνες αυτοί βρίσκονται στο /etc/ufw/before.rules και μπορούν να γίνουν edit μονο με το χέρι. Tα pings είναι enabled by default οτι και να κάνεις στο GUFW λόγω before.rules.

Κώδικας: Επιλογή όλων: sudo gedit /etc/ufw/before.rules

Spoiler: show

και αλλάζουμε σε drop ή reject ή κάνουμε comment.

Eπίσης υπάρχουν οι κανόνες /etc/ufw/before6.rules για IPv6, το /etc/ufw/sysctl.conf ή /etc/sysctl.conf με το οποίο ρυθμίζουμε παραπάνω παραμέτρους όπως τα redirects ή το kernel anti spoofing, όπως επίσης και το /etc/default/ufw.

To GUFW είναι πολύ βασικό εργαλείο και το μονο που μπορείς να κάνεις είναι να ανοίξεις κάποιες πόρτες, αν θες κάτι παραπάνω τότε μονο με ufw cli, pure iptables με το χέρι ή Firewall Builder.

από **panligo** » 17 Φεβ 2010, 23:19

SpyrosB έγραψε:Φίλε ο οδηγός σου εχει λάθη

Οι επιλογές Αllow/Deny/Reject δεν έχουν να κάνουν με το ping αλλα με το πώς θα αντιδράσει το firewall όταν πάρει ένα πακέτο

Allow, θα το επιτρέψει

Deny, θα το απορρίψει σιωπηλά αυτό που δηλαδή λέμε stealth

Reject, θα το απορρίψει στέλνοντας ένα πακέτο οτι η πόρτα είναι closed

Ευχαριστώ πολύ για την παρατήρηση. Με έβαλες σε σκέψεις και άρχισα να ερευνώ το θέμα...

Το έψαξα προκειμένου να αποσαφηνιστεί η διαφορά του Deny με του Reject και από ότι φαίνεται έχω γράψει σωστά τον οδηγό.
Για την ακρίβεια έκανα σχετική ερώτηση στο Launchpad και μου απάντησε ο Marcos, ο ιδιοκτήτης της ομάδας Gufw Developers.
Στην απάντηση του με παρέπεμψε σε αυτόν τον οδηγό του Ubuntu Documentation όπου και αναφέρονται τα εξής:

Κώδικας: Επιλογή όλων: # Allow: You will allow entry traffic for a port. # Deny: You will deny entry traffic to a port (The machine will not respond to PINGs). # Reject: You will deny entry traffic to a port (The machine will respond to PINGs). # Limit: The port will accept a number of attempts.

από **SpyrosB** » 18 Φεβ 2010, 19:26

panligo έγραψε:
SpyrosB έγραψε:Φίλε ο οδηγός σου εχει λάθη

Οι επιλογές Αllow/Deny/Reject δεν έχουν να κάνουν με το ping αλλα με το πώς θα αντιδράσει το firewall όταν πάρει ένα πακέτο

Allow, θα το επιτρέψει

Deny, θα το απορρίψει σιωπηλά αυτό που δηλαδή λέμε stealth

Reject, θα το απορρίψει στέλνοντας ένα πακέτο οτι η πόρτα είναι closed

Ευχαριστώ πολύ για την παρατήρηση. Με έβαλες σε σκέψεις και άρχισα να ερευνώ το θέμα...

Το έψαξα προκειμένου να αποσαφηνιστεί η διαφορά του Deny με του Reject και από ότι φαίνεται έχω γράψει σωστά τον οδηγό.
Για την ακρίβεια έκανα σχετική ερώτηση στο Launchpad και μου απάντησε ο Marcos, ο ιδιοκτήτης της ομάδας Gufw Developers.
Στην απάντηση του με παρέπεμψε σε αυτόν τον οδηγό του Ubuntu Documentation όπου και αναφέρονται τα εξής:
Κώδικας: Επιλογή όλων
# Allow: You will allow entry traffic for a port. # Deny: You will deny entry traffic to a port (The machine will not respond to PINGs). # Reject: You will deny entry traffic to a port (The machine will respond to PINGs). # Limit: The port will accept a number of attempts.

Eίναι λάθος, μάλλον δε το έχει μελετήσει καλά το θέμα ο κύριος που έγραψε και το συγκεκριμένο άρθρο και μου κάνει εντύπωση που απαντάει χωρίς καν να μπαίνει στον κόπο να κάνει ping στον υπολογίστη του για να διαπιστώσει αν έχουμε δίκιο. Η ασφάλεια είναι σοβαρό θέμα και δεν είναι για να παίζουμε και να δίνουμε απάντηση χωρίς να ελέγξουμε αν όλα είναι σωστά, τέλος πάντων.

Το reject στέλνει μια απάντηση ICMP port unreachable σε οποιονδήποτε προσπαθεί να συνδεθεί σε συγκεκριμένο port και δεν έχει να κάνει με απάντηση σε pings. Όταν για παράδειγμα προσπαθείς να συνδεθείς με SSH το κάνεις στέλνοντας πακέτο TCP στη θύρα 22, δε κάνεις ping. Άλλωστε είναι πολύ απλο και μπορείς να το δοκιμάσεις μονος κάνοντας ping σε έναν υπολογιστή που το UFW/GUFW είναι ρυθμισμένο σε Deny και θα δείς οτι ο υπολογιστής απαντάει στα pings λογω before.rules

Επίσης

Note: Security by obscurity may be of very little actual benefit with modern cracker scripts. By default, UFW allows ping requests. You may find you wish to leave (icmp) ping requests enabled to diagnose networking problems.

You need to edit /etc/ufw/before.rules and remove edit the following lines:

Κώδικας: Επιλογή όλων
# ok icmp codes -A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT -A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT -A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT -A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT -A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT

Change the "ACCEPT" to "DROP" or

Κώδικας: Επιλογή όλων
# ok icmp codes -A ufw-before-input -p icmp --icmp-type destination-unreachable -j DROP -A ufw-before-input -p icmp --icmp-type source-quench -j DROP -A ufw-before-input -p icmp --icmp-type time-exceeded -j DROP -A ufw-before-input -p icmp --icmp-type parameter-problem -j DROP -A ufw-before-input -p icmp --icmp-type echo-request -j DROP https://help.ubuntu.com/community/UFW

As mentioned, the ufw framework is capable of doing anything that iptables can do. This is achieved by using several sets of rules files, which are nothing more than iptables-restore compatible text files. Fine-tuning ufw and/or adding additional iptables commands not offered via the ufw command is a matter of editing various text files:

*

/etc/default/ufw: high level configuration, such as default policies, IPv6 support and kernel modules to use
*

/etc/ufw/before[6].rules: rules in these files are evaluated before any rules added via the ufw command
*

/etc/ufw/after[6].rules: rules in these files are evaluated after any rules added via the ufw command
*

/etc/ufw/sysctl.conf: kernel network tunables
*

/var/lib/ufw/user[6].rules or /lib/ufw/user[6].rules (0.28 and later): rules added via the ufw command (should not normally be edited by hand)
*

/etc/ufw/ufw.conf: sets whether or not ufw is enabled on boot, and in 9.04 (ufw 0.27) and later, sets the LOGLEVEL

https://wiki.ubuntu.com/UncomplicatedFi ... tuFirewall

από **panligo** » 18 Φεβ 2010, 20:58

SpyrosB έγραψε:Eίναι λάθος, μάλλον δε το έχει μελετήσει καλά το θέμα ο κύριος που έγραψε και το συγκεκριμένο άρθρο και μου κάνει εντύπωση που απαντάει χωρίς καν να μπαίνει στον κόπο να κάνει ping στον υπολογίστη του για να διαπιστώσει αν έχουμε δίκιο. Η ασφάλεια είναι σοβαρό θέμα και δεν είναι για να παίζουμε και να δίνουμε απάντηση χωρίς να ελέγξουμε αν όλα είναι σωστά, τέλος πάντων.

Το reject στέλνει μια απάντηση ICMP port unreachable σε οποιονδήποτε προσπαθεί να συνδεθεί σε συγκεκριμένο port και δεν έχει να κάνει με απάντηση σε pings. Όταν για παράδειγμα προσπαθείς να συνδεθείς με SSH το κάνεις στέλνοντας πακέτο TCP στη θύρα 22, δε κάνεις ping. Άλλωστε είναι πολύ απλο και μπορείς να το δοκιμάσεις μονος κάνοντας ping σε έναν υπολογιστή που το UFW/GUFW είναι ρυθμισμένο σε Deny και θα δείς οτι ο υπολογιστής απαντάει στα pings λογω before.rules

Φίλε μου ευχαριστώ και πάλι για την απάντησή σου. Θα το ψάξω και άλλο το θέμα μήπως και βγάλω κάποια άκρη...
Ελπίζω σύντομα να αποσαφηνιστεί το θέμα μία και καλή..

από **panligo** » 19 Φεβ 2010, 00:52

Μετά από την παρατήρηση του χρήστη @SpyrosB σχετικά με τους κανόνες Deny και Reject έκανα μια έρευνα και τελικά είχε δίκιο :clap:

Deny: όλες οι θύρες παραμένουν κλειστές.
Reject: όλες οι θύρες παραμένουν κλειστές και ενημερώνεται ο απομακρυσμένος υπολογιστής ότι έχει απορριφθεί.

Έκανα την απαραίτητη διόρθωση του οδηγού.
Επίσης όποιος ενδιαφέρεται μπορεί να δει τις ερωτήσεις που έκανα στο Launchpad καθώς και τις αλλαγές που έκανα στο Ubuntu documentation wiki

Ευχαριστώ τον @SpyrosB για αυτή του την παρατήρηση...

από **pros** » 19 Φεβ 2010, 01:21

@SpyrosB, @panligo

Πολύ καλή δουλειά!
Υπόδειγμα για το πως μπορεί κάποιος να προσφέρει...
Δεν είναι απαραίτητη η πλήρης γνώση του θέματος,
αλλά η διάθεση για ενημέρωση και για προσπάθεια.

από **panligo** » 19 Φεβ 2010, 01:55

@pros: Ευχαριστώ!

Να επισημάνω και κάτι ακόμα που ανακάλυψα πριν από λίγο:
Γενική παρατήρηση: Οι κανόνες που θέτουμε με βάση αυτόν τον οδηγό αφορούν μόνο τα εισερχόμενα πακέτα προς το σύστημά μας. Για παράδειγμα, αν θέσουμε το τείχος προστασίας σε κατάσταση Deny όλες οι θύρες του συστήματος είναι κλειστές (εκτός και αν έχουμε θέσει κάποιους κανόνες) και δεν εισέρχονται πακέτα από το διαδίκτυο. Τα πακέτα από τον υπολογιστή μας προς το διαδίκτυο όμως βγαίνουν ελεύθερα :!:

από **floral** » 11 Απρ 2010, 00:09

panligo έγραψε:
Οδηγός (εύκολης) ρύθμισης του UFW Firewall

Το UFW (Uncomplicated FireWall) είναι ένα firewall ενσωματωμένο στο λειτουργικό σύστημα Ubuntu, δηλαδή όποιος έχει εγκατεστημένο το Ubuntu έχει και firewall αλλά είναι από προεπιλογή απενεργοποιημένο.

Για να εγκαταστήσουμε ένα γραφικό περιβάλλον (υπάρχουν αρκετά, εδώ θα χρησιμοποιήσουμε το GUFW (έκδοση 9.10.4), Graphical User Interface (GUI) for Uncomplicated FireWall (ufw)) για την εύκολη ρύθμιση του firewall ακολουθούμε τα βήματα:
1)Πάμε εφαρμογές --> Κέντρο λογισμικού Ubuntu.
2)Κάνουμε αναζήτηση για την λέξη firewall σε όλες τις διαθέσιμες εφαρμογές.
3)Επιλέγουμε το πρόγραμμα Firewall configuration και πατάμε εφαρμογή αλλαγών.

Αφού ολοκληρωθεί η εγκατάσταση ξεκινάμε το πρόγραμμα από: Σύστημα--> Διαχείριση συστήματος --> Firewall configuration. Θα μας ζητηθεί να πληκτρολογήσουμε το συνθηματικό μας.
Ενεργοποιούμε το firewall επιλέγοντας το firewall enabled (αν δεν το έχουμε ήδη κάνει).

Εγκατέστησα το gufw μέσω του synaptic, αλλά - για κάποιον λόγο - έχω την έκδοση 0.20.7 . Γιατί?
Πώς κατεβάζω την 9.10.4 ?
Στην καρτέλα simple και στο preconfigured μου δίνει επιλογές του τύπου tcp, udp, ftp, imap κ.α. :roll:

Οδηγός (εύκολης) ρύθμισης του UFW Firewall

Re: Οδηγός (εύκολης) ρύθμισης του UFW Firewall

Re: Οδηγός (εύκολης) ρύθμισης του UFW Firewall

Re: Οδηγός (εύκολης) ρύθμισης του UFW Firewall

Re: Οδηγός (εύκολης) ρύθμισης του UFW Firewall

Re: Οδηγός (εύκολης) ρύθμισης του UFW Firewall

Re: Οδηγός (εύκολης) ρύθμισης του UFW Firewall

Re: Οδηγός (εύκολης) ρύθμισης του UFW Firewall

Re: Οδηγός (εύκολης) ρύθμισης του UFW Firewall

Re: Οδηγός (εύκολης) ρύθμισης του UFW Firewall

Re: Οδηγός (εύκολης) ρύθμισης του UFW Firewall