Σελίδα 2 από 3

Re: Οδηγός (εύκολης) ρύθμισης του UFW Firewall

ΔημοσίευσηΔημοσιεύτηκε: 11 Δεκ 2009, 19:37
από panligo
sindarta έγραψε:Ουσιαστικά για σερφάρισμα, dc++ που χρησιμοποιώ μέσω lan και skype το χρησιμοποιώ το ιντερνετ. Δεν έχω καμία περίεργη ανάγκη, πιο πολύ παίζω με το firewall.


Τότε μπορείς από μόνος σου να το δοκιμάσεις, να παίξεις με τις ρυθμήσεις και να δεις τις δυνατότητές του. Έτσι θα μάθεις και την λογική με την οποία δουλεύει ένα firewall αλλά και μερικά πράγματα το πως μπορείς να ρυθμήσεις ένα firewall.

Προσωπικά δεν νομίζω πως χρειάζεται να ενεργοποιήσεις το firewall σου, παρά μόνο για λόγους πειραματισμού. Δεν χρειάζεται να επιβαρύνεις το σύστημα μου με περιττές διαδικασίες!

Re: Οδηγός (εύκολης) ρύθμισης του UFW Firewall

ΔημοσίευσηΔημοσιεύτηκε: 16 Φεβ 2010, 18:00
από panligo
Μόλις ανανέωσα τον οδηγό. Τον προσάρμοσα στην νέα έκδοση του προγράμματος (9.10.4) και έχει τις εξής διαφορές με τον προηγούμενο:
1) Διαφορετική οργάνωση των μενού του προγράμματος
2) Διαφορετικός ο τρόπος με τον οποίο εισάγουμε κάποια απόσταση στις θύρες
3)Εκτός από τις τρεις επιλογές για την ρύθμιση του firewall (allow, deny, limit) έχουμε και μία τέταρτη επιλογή το reject.

Αξίζει να ρίξετε μια ματιά :!:

Re: Οδηγός (εύκολης) ρύθμισης του UFW Firewall

ΔημοσίευσηΔημοσιεύτηκε: 17 Φεβ 2010, 18:45
από SpyrosB
Φίλε ο οδηγός σου εχει λάθη

Οι επιλογές Αllow/Deny/Reject δεν έχουν να κάνουν με το ping αλλα με το πώς θα αντιδράσει το firewall όταν πάρει ένα πακέτο

Allow, θα το επιτρέψει

Deny, θα το απορρίψει σιωπηλά αυτό που δηλαδή λέμε stealth

Reject, θα το απορρίψει στέλνοντας ένα πακέτο οτι η πόρτα είναι closed

H συμπεριφορά για τα pings ορίζεται απο κάποιους κανόνες που βρίσκονται σε ένα chain που δε μπορούμε να ελέγξουμε με το GUFW και προηγούνται απο αυτούς που έχει δημιουργήσει ο χρήστης, οι κανόνες αυτοί βρίσκονται στο /etc/ufw/before.rules και μπορούν να γίνουν edit μονο με το χέρι. Tα pings είναι enabled by default οτι και να κάνεις στο GUFW λόγω before.rules.

Κώδικας: Επιλογή όλων
sudo gedit /etc/ufw/before.rules


Spoiler: show
Κώδικας: Επιλογή όλων
#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
#   ufw-before-input
#   ufw-before-output
#   ufw-before-forward
#

# Don't delete these required lines, otherwise there will be errors
*filter
:ufw-before-input - [0:0]
:ufw-before-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-not-local - [0:0]
# End required lines


# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT

# quickly process packets for which we already have a connection
-A ufw-before-input -m state --state RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -m state --state RELATED,ESTABLISHED -j ACCEPT

# drop INVALID packets (logs these in loglevel medium and higher)
-A ufw-before-input -m state --state INVALID -j ufw-logging-deny
-A ufw-before-input -m state --state INVALID -j DROP

# ok icmp codes
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT

# allow dhcp client to work
-A ufw-before-input -p udp --sport 67 --dport 68 -j ACCEPT

#
# ufw-not-local
#
-A ufw-before-input -j ufw-not-local

# if LOCAL, RETURN
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN

# if MULTICAST, RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN

# if BROADCAST, RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN

# all other non-local packets are dropped
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP

# allow MULTICAST, be sure the MULTICAST line above is uncommented
-A ufw-before-input -s 224.0.0.0/4 -j ACCEPT
-A ufw-before-input -d 224.0.0.0/4 -j ACCEPT


# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT


και αλλάζουμε σε drop ή reject ή κάνουμε comment.

Eπίσης υπάρχουν οι κανόνες /etc/ufw/before6.rules για IPv6, το /etc/ufw/sysctl.conf ή /etc/sysctl.conf με το οποίο ρυθμίζουμε παραπάνω παραμέτρους όπως τα redirects ή το kernel anti spoofing, όπως επίσης και το /etc/default/ufw.

To GUFW είναι πολύ βασικό εργαλείο και το μονο που μπορείς να κάνεις είναι να ανοίξεις κάποιες πόρτες, αν θες κάτι παραπάνω τότε μονο με ufw cli, pure iptables με το χέρι ή Firewall Builder.

Re: Οδηγός (εύκολης) ρύθμισης του UFW Firewall

ΔημοσίευσηΔημοσιεύτηκε: 17 Φεβ 2010, 23:19
από panligo
SpyrosB έγραψε:Φίλε ο οδηγός σου εχει λάθη

Οι επιλογές Αllow/Deny/Reject δεν έχουν να κάνουν με το ping αλλα με το πώς θα αντιδράσει το firewall όταν πάρει ένα πακέτο

Allow, θα το επιτρέψει

Deny, θα το απορρίψει σιωπηλά αυτό που δηλαδή λέμε stealth

Reject, θα το απορρίψει στέλνοντας ένα πακέτο οτι η πόρτα είναι closed

Ευχαριστώ πολύ για την παρατήρηση. Με έβαλες σε σκέψεις και άρχισα να ερευνώ το θέμα...

Το έψαξα προκειμένου να αποσαφηνιστεί η διαφορά του Deny με του Reject και από ότι φαίνεται έχω γράψει σωστά τον οδηγό.
Για την ακρίβεια έκανα σχετική ερώτηση στο Launchpad και μου απάντησε ο Marcos, ο ιδιοκτήτης της ομάδας Gufw Developers.
Στην απάντηση του με παρέπεμψε σε αυτόν τον οδηγό του Ubuntu Documentation όπου και αναφέρονται τα εξής:
Κώδικας: Επιλογή όλων
# Allow: You will allow entry traffic for a port.
# Deny: You will deny entry traffic to a port (The machine will not respond to PINGs).
# Reject: You will deny entry traffic to a port (The machine will respond to PINGs).
# Limit: The port will accept a number of attempts.

Re: Οδηγός (εύκολης) ρύθμισης του UFW Firewall

ΔημοσίευσηΔημοσιεύτηκε: 18 Φεβ 2010, 19:26
από SpyrosB
panligo έγραψε:
SpyrosB έγραψε:Φίλε ο οδηγός σου εχει λάθη

Οι επιλογές Αllow/Deny/Reject δεν έχουν να κάνουν με το ping αλλα με το πώς θα αντιδράσει το firewall όταν πάρει ένα πακέτο

Allow, θα το επιτρέψει

Deny, θα το απορρίψει σιωπηλά αυτό που δηλαδή λέμε stealth

Reject, θα το απορρίψει στέλνοντας ένα πακέτο οτι η πόρτα είναι closed

Ευχαριστώ πολύ για την παρατήρηση. Με έβαλες σε σκέψεις και άρχισα να ερευνώ το θέμα...

Το έψαξα προκειμένου να αποσαφηνιστεί η διαφορά του Deny με του Reject και από ότι φαίνεται έχω γράψει σωστά τον οδηγό.
Για την ακρίβεια έκανα σχετική ερώτηση στο Launchpad και μου απάντησε ο Marcos, ο ιδιοκτήτης της ομάδας Gufw Developers.
Στην απάντηση του με παρέπεμψε σε αυτόν τον οδηγό του Ubuntu Documentation όπου και αναφέρονται τα εξής:
Κώδικας: Επιλογή όλων
# Allow: You will allow entry traffic for a port.
# Deny: You will deny entry traffic to a port (The machine will not respond to PINGs).
# Reject: You will deny entry traffic to a port (The machine will respond to PINGs).
# Limit: The port will accept a number of attempts.



Eίναι λάθος, μάλλον δε το έχει μελετήσει καλά το θέμα ο κύριος που έγραψε και το συγκεκριμένο άρθρο και μου κάνει εντύπωση που απαντάει χωρίς καν να μπαίνει στον κόπο να κάνει ping στον υπολογίστη του για να διαπιστώσει αν έχουμε δίκιο. Η ασφάλεια είναι σοβαρό θέμα και δεν είναι για να παίζουμε και να δίνουμε απάντηση χωρίς να ελέγξουμε αν όλα είναι σωστά, τέλος πάντων.

Το reject στέλνει μια απάντηση ICMP port unreachable σε οποιονδήποτε προσπαθεί να συνδεθεί σε συγκεκριμένο port και δεν έχει να κάνει με απάντηση σε pings. Όταν για παράδειγμα προσπαθείς να συνδεθείς με SSH το κάνεις στέλνοντας πακέτο TCP στη θύρα 22, δε κάνεις ping. Άλλωστε είναι πολύ απλο και μπορείς να το δοκιμάσεις μονος κάνοντας ping σε έναν υπολογιστή που το UFW/GUFW είναι ρυθμισμένο σε Deny και θα δείς οτι ο υπολογιστής απαντάει στα pings λογω before.rules

Επίσης

Note: Security by obscurity may be of very little actual benefit with modern cracker scripts. By default, UFW allows ping requests. You may find you wish to leave (icmp) ping requests enabled to diagnose networking problems.

You need to edit /etc/ufw/before.rules and remove edit the following lines:

Κώδικας: Επιλογή όλων
# ok icmp codes
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT


Change the "ACCEPT" to "DROP" or

Κώδικας: Επιλογή όλων
# ok icmp codes
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j DROP
-A ufw-before-input -p icmp --icmp-type source-quench -j DROP
-A ufw-before-input -p icmp --icmp-type time-exceeded -j DROP
-A ufw-before-input -p icmp --icmp-type parameter-problem -j DROP
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

https://help.ubuntu.com/community/UFW


As mentioned, the ufw framework is capable of doing anything that iptables can do. This is achieved by using several sets of rules files, which are nothing more than iptables-restore compatible text files. Fine-tuning ufw and/or adding additional iptables commands not offered via the ufw command is a matter of editing various text files:

*

/etc/default/ufw: high level configuration, such as default policies, IPv6 support and kernel modules to use
*

/etc/ufw/before[6].rules: rules in these files are evaluated before any rules added via the ufw command
*

/etc/ufw/after[6].rules: rules in these files are evaluated after any rules added via the ufw command
*

/etc/ufw/sysctl.conf: kernel network tunables
*

/var/lib/ufw/user[6].rules or /lib/ufw/user[6].rules (0.28 and later): rules added via the ufw command (should not normally be edited by hand)
*

/etc/ufw/ufw.conf: sets whether or not ufw is enabled on boot, and in 9.04 (ufw 0.27) and later, sets the LOGLEVEL

https://wiki.ubuntu.com/UncomplicatedFi ... tuFirewall

Re: Οδηγός (εύκολης) ρύθμισης του UFW Firewall

ΔημοσίευσηΔημοσιεύτηκε: 18 Φεβ 2010, 20:58
από panligo
SpyrosB έγραψε:Eίναι λάθος, μάλλον δε το έχει μελετήσει καλά το θέμα ο κύριος που έγραψε και το συγκεκριμένο άρθρο και μου κάνει εντύπωση που απαντάει χωρίς καν να μπαίνει στον κόπο να κάνει ping στον υπολογίστη του για να διαπιστώσει αν έχουμε δίκιο. Η ασφάλεια είναι σοβαρό θέμα και δεν είναι για να παίζουμε και να δίνουμε απάντηση χωρίς να ελέγξουμε αν όλα είναι σωστά, τέλος πάντων.

Το reject στέλνει μια απάντηση ICMP port unreachable σε οποιονδήποτε προσπαθεί να συνδεθεί σε συγκεκριμένο port και δεν έχει να κάνει με απάντηση σε pings. Όταν για παράδειγμα προσπαθείς να συνδεθείς με SSH το κάνεις στέλνοντας πακέτο TCP στη θύρα 22, δε κάνεις ping. Άλλωστε είναι πολύ απλο και μπορείς να το δοκιμάσεις μονος κάνοντας ping σε έναν υπολογιστή που το UFW/GUFW είναι ρυθμισμένο σε Deny και θα δείς οτι ο υπολογιστής απαντάει στα pings λογω before.rules

Φίλε μου ευχαριστώ και πάλι για την απάντησή σου. Θα το ψάξω και άλλο το θέμα μήπως και βγάλω κάποια άκρη...
Ελπίζω σύντομα να αποσαφηνιστεί το θέμα μία και καλή..

Re: Οδηγός (εύκολης) ρύθμισης του UFW Firewall

ΔημοσίευσηΔημοσιεύτηκε: 19 Φεβ 2010, 00:52
από panligo
Μετά από την παρατήρηση του χρήστη @SpyrosB σχετικά με τους κανόνες Deny και Reject έκανα μια έρευνα και τελικά είχε δίκιο :clap:
Deny: όλες οι θύρες παραμένουν κλειστές.
Reject: όλες οι θύρες παραμένουν κλειστές και ενημερώνεται ο απομακρυσμένος υπολογιστής ότι έχει απορριφθεί.

Έκανα την απαραίτητη διόρθωση του οδηγού.
Επίσης όποιος ενδιαφέρεται μπορεί να δει τις ερωτήσεις που έκανα στο Launchpad καθώς και τις αλλαγές που έκανα στο Ubuntu documentation wiki

Ευχαριστώ τον @SpyrosB για αυτή του την παρατήρηση...

Re: Οδηγός (εύκολης) ρύθμισης του UFW Firewall

ΔημοσίευσηΔημοσιεύτηκε: 19 Φεβ 2010, 01:21
από pros
@SpyrosB, @panligo

Πολύ καλή δουλειά!
Υπόδειγμα για το πως μπορεί κάποιος να προσφέρει...
Δεν είναι απαραίτητη η πλήρης γνώση του θέματος,
αλλά η διάθεση για ενημέρωση και για προσπάθεια.

Re: Οδηγός (εύκολης) ρύθμισης του UFW Firewall

ΔημοσίευσηΔημοσιεύτηκε: 19 Φεβ 2010, 01:55
από panligo
@pros: Ευχαριστώ!

Να επισημάνω και κάτι ακόμα που ανακάλυψα πριν από λίγο:
Γενική παρατήρηση: Οι κανόνες που θέτουμε με βάση αυτόν τον οδηγό αφορούν μόνο τα εισερχόμενα πακέτα προς το σύστημά μας. Για παράδειγμα, αν θέσουμε το τείχος προστασίας σε κατάσταση Deny όλες οι θύρες του συστήματος είναι κλειστές (εκτός και αν έχουμε θέσει κάποιους κανόνες) και δεν εισέρχονται πακέτα από το διαδίκτυο. Τα πακέτα από τον υπολογιστή μας προς το διαδίκτυο όμως βγαίνουν ελεύθερα :!:

Re: Οδηγός (εύκολης) ρύθμισης του UFW Firewall

ΔημοσίευσηΔημοσιεύτηκε: 11 Απρ 2010, 00:09
από floral
panligo έγραψε:
Οδηγός (εύκολης) ρύθμισης του UFW Firewall


Το UFW (Uncomplicated FireWall) είναι ένα firewall ενσωματωμένο στο λειτουργικό σύστημα Ubuntu, δηλαδή όποιος έχει εγκατεστημένο το Ubuntu έχει και firewall αλλά είναι από προεπιλογή απενεργοποιημένο.

Για να εγκαταστήσουμε ένα γραφικό περιβάλλον (υπάρχουν αρκετά, εδώ θα χρησιμοποιήσουμε το GUFW (έκδοση 9.10.4), Graphical User Interface (GUI) for Uncomplicated FireWall (ufw)) για την εύκολη ρύθμιση του firewall ακολουθούμε τα βήματα:
    1)Πάμε εφαρμογές --> Κέντρο λογισμικού Ubuntu.
    2)Κάνουμε αναζήτηση για την λέξη firewall σε όλες τις διαθέσιμες εφαρμογές.
    3)Επιλέγουμε το πρόγραμμα Firewall configuration και πατάμε εφαρμογή αλλαγών.


Αφού ολοκληρωθεί η εγκατάσταση ξεκινάμε το πρόγραμμα από: Σύστημα--> Διαχείριση συστήματος --> Firewall configuration. Θα μας ζητηθεί να πληκτρολογήσουμε το συνθηματικό μας.
Ενεργοποιούμε το firewall επιλέγοντας το firewall enabled (αν δεν το έχουμε ήδη κάνει).

Εγκατέστησα το gufw μέσω του synaptic, αλλά - για κάποιον λόγο - έχω την έκδοση 0.20.7 . Γιατί?
Πώς κατεβάζω την 9.10.4 ?
Στην καρτέλα simple και στο preconfigured μου δίνει επιλογές του τύπου tcp, udp, ftp, imap κ.α. :roll: