Faq: Brandvägg

Konfiguration av nätverk, hur man använder Ubuntu som server, och håller sin dator säker
Användarvisningsbild
Mekaniserad Apelsin
Hedersmedlem
Inlägg: 3777
Blev medlem: 27 maj 2006, 12:24
OS: Ubuntu
Ort: Stockholm
Kontakt:

Faq: Brandvägg

Inlägg av Mekaniserad Apelsin »

Har ubuntu en brandvägg från början?
Kort svar: Ja, det heter iptables och är ett terminalkommando. Det finns grafiska hjälpmedel för att ställa in den där firestarter verkar vara den mest populära. Firestarter fungerar så att man ställer in brandväggen i den, och sedan kan man stänga ner programmet firestarter och behöver inte starta det vid inloggning, de regler du ställt in i firestarter startas med iptables när datorn startas.

Långt svar: Ja, den ligger i linuxkernel (dvs kärnan i ubuntu) och heter netfilter, netfilter har ett terminalkommando för att lägga till regler i netfilter som heter iptables. Eftersom iptables kan vara krångligt att ställa in så finns flertalet hjälpmedel för att göra det, t.ex. ufw (som följer med ubuntu), shorewall och fwbuilder (som oxå är ett "terminalprogram") men dessutom grafiska som firestarter (rekommenderas, som passar bra in grafiskt i ubuntu och xubuntu), fireflier (som jag har haft problem med och jag rekommenderar folk från att hålla sig borta från) och för kubuntu finns guidedog och guarddog (rekommenderas). Det går alldeles utmärkt att använda firestarter i kubuntu och guarddog i ubuntu eller xubuntu, de ser bara snyggast ut med firestarter i ubuntu och guarddog i kubuntu. 

Behöver jag aktivera brandväggen i ubuntu?
Kort svar: Nej, egentligen inte. Man kan vara van vid att en brandvägg alltid behövs från andra operativsystem, men det beror på vad deras användningsområden varit från början. T.ex. windows var egentligen byggt för att användas i lokala nätverk och de har tjänster som netbios, cifs och smb vilket är jättebra om datorn är på ett lokalt nätverk och man lätt vill använda varandras resurser. När direkta internetuppkopplingar mot internet blev vanliga för hemdatorer så behövde dessa tjänster skyddas från illasinnade på internet. Ubuntu är redo att kopplas direkt mot internet och har inga sådana tjänster efter en installation och behöver inte skyddas från internet på det viset.

Långt svar: Nej, egentligen inte. Ubuntu har haft som policy att inte ha några "öppna portar" efter en installation (vilket iofs inte stämde med fiesty fawn, där de provade att ha en tjänst som hette avahi igång från början på desktop-versionen av ubuntu, vilket inte föll så väl ut så man återgick till sin gamla policy "inga öppna portar"). Det finns alltså ingen anledning att stoppa trafik in (tvångsstänga portar med en brandvägg) då inga portar var öppna. Vidare antas det att de personer som har tillgång till datorn är pålitliga och de program du använder är tillförlitliga och då är det oftast ett större problem med att stoppa trafik ut, eftersom det kan uppstå problem som är svåra att diagnosticiera när plötsligt ett program inte kan ansluta utåt då du stoppat den trafiken.

Vad är en port?
Det är lite svårt att förklara utan att förklara lite hur internet fungerar. På internet har varje varje dator ett ipnummer (det kan liknas vid ett telefonnummer, eller nedan, husnummer), när olika datorer kommunicerar skicker de paket mellan sig. För att datorn ska kunna sortera vilka processer som ska ha paketen så får varje process ett eller flera portnummer (varje dator har 65 536 stycken portar, det är 2^16). Man valde ordet port eftersom det betyder hamn, men i den här liknelsen kommer vi använda det mer svenskliknande port=dörr.

Så, tänk dig att varje dator är ett hus med en massa dörrar. Varje dator har oxå ett ip-nummer (husnummer). På din dator startar du firefox och ber att få se sidan google.se, först så får firefox en temporär dörr att skicka informationen ifrån (ett helt slumpat dörrnummer, men i den högre skalan typ 59135) och skickar sedan några paket till googles ipnummer och till port 80 (för hemsidor ska typiskt ligga på port 80, så firefox antar bara att det är dit den ska skicka förfrågan). Paketen går över internet och datorerna där skickar hela tiden vidare paketen tills de hamnar hos google och googles dator ser att paketet ska till port 80 och ger paketen till det program som använder port 80 (hemsidan), programmet svarar med att skicka ett antal paket tillbaka till din dator, men skickar svaret till din dators dörrnummer 59135 (det stod i de paket som din dator skickade). Svarspaketen skickas tillbaka över internet och när de kommit fram ser din dator att de skulle till port 59135 och ger den till firefox, som packar upp paketen och visar hemsidan på din skärm.

Vad är en öppen/stängd port?
Det klassiska svaret (och i egentlig mening "korrekta") är att en öppen port är en port där en tjänst aktivt lyssnar, medan en stängd port är en port där ingen tjänst lyssnar. I och med mjukvarubrandväggarnas intåg så blev flera användare vana vid att en öppen port är en som brandväggen inte stoppar, och en port som brandväggen stoppar är då "stängd". Därigenom kan man idag säga att en port är öppen om inte en brandvägg stoppar och det finns en tjänst på porten, och en port är stängd om ingen tjänst lyssnar (oavsett brandvägg) och dessutom stängd om brandväggen stoppar (trots att en tjänst lyssnar).

Dvs, får man svar, är porten öppen, får man inte något svar är porten stängd.

Man kan även tala om "gömda portar"/"stealth", vilket är när en dator inte ens skickar ett svar "tyvärr, porten är stängd" utan låtsas att datorn inte existerar. De flesta "experter" är någorlunda överens om att detta är en falsk trygghet, då den som utför attacken antingen redan vet att datorn existerar (datorn är uppe på internet och skickar information över andra portar) eller svarar på en annan port.

Hur fungerar öppen/stängd/"gömd" port i det tidigare exemplet?
Tja, du skulle kunna likna en brandvägg med en vakt som övervakar alla dörrar. Om din vakt har fått regler som i ubuntus grundutförande så har han blivit tillsagd att han ska tillåta alla försändelser, dvs kommer ett paket till en dörr så stoppar inte vakten det, är dörren stängd så får den som skickat paketen ett meddelande om att porten är stängd, är dörren öppen så är det bara för paketen att komma in genom dörren. Om du ger dörrvakten (brandväggen) bestämmelser om vad som ska gå igenom så tar denne först och kontrollerar paketen, har du godkänt paket till den dörren så släpper den igenom paketen, är dörren stängd så får avsändaren reda på att dörren är stängd. Om du sagt till vakten att den ska påstå att dörren är stängd så får avsändaren reda på att dörren är stängd (oavsett om dörren verkligen är stängd eller inte) och "gömd" så bestämmer portvakten (brandväggen) att inget meddelande om dörren ska skickas tillbaka, vilket får avsändaren att tro att huset inte existerar (att ipnumret inte har någon dator, dvs att din dator inte finns). 

Vad menar du med "Nej, egentligen inte", behöver jag aktivera brandväggen eller inte?
Nej, det behöver du inte.

Det finns rent klassiskt bara en anledning till att ens ha en brandvägg, det är om du har två nät som du ska koppla ihop och du tror att de är olika säkra, t.ex. internet och ditt företagsnätverk, eller två olika delar inom ditt företagsnät. Iom den stora vågen av mjukvarubrandväggar så skaffar man en brandvägg för att du inte litar på mjukvaran på ditt system. Så det vanliga svaret som man får i typiska ubuntu-sammanhang är "Installerar du en server så är det bra att konfiguera en brandvägg", men inte ens det är ett bra svar.

Låt oss säga att du installerar en typisk serverapplikation i linux, en ssh-server (en jättebra högsäkerhetstjänst som låter en styra datorn, dela filer, tunnla trafik och mycket mer), den lyssnar bara på en port så det finns ingen anledning till att konfiguera brandväggen att stoppa trafik på andra portar. Det är likadant med andra tjänster, som t.ex. apache eller vsftpd. Du kan däremot känna att det finns ett behov av att bara låta somliga datorer ansluta till denna tjänst, men det är "säkrare" och "lättare" att konfigurera detta direkt i den applikationen än att låta brandväggen sortera detta. Ett typexempel för detta är de olika databasapplikationerna som mysql, ställ alltid in mysql att endast lyssna på de datorer som ska kunna ansluta till databasen (typisk endast samma dator, dvs "localhost").

Kort sagt: Den enda gången du behöver en mjukvarubrandvägg är när du inte litar på mjukvaran du använder eller din förmåga att ställa in denna. Det är oftast lättare att ställa in programvaran än att att förstå hur mjukvaran fungerar och konfiguera brandväggen efter detta. Du ska kunna lita på programvaran som ubuntu själva tillhandahåller. För yttersta säkerhet, använd bara de programvarukällor som ubuntu tillhandahåller och se till att hålla den programvaran uppdaterad med ubuntus uppdateringshanterare.

Fortsättning följer
Senast redigerad av 2 Mekaniserad Apelsin, redigerad totalt 18 gång.
More Mekaniserad at http://blippe.se.
Användarvisningsbild
P.Forsberg
AVREGISTRERAD
Inlägg: 2573
Blev medlem: 17 jan 2008, 18:38
OS: Ubuntu
Utgåva: 23.04 Lunar Lobster
Ort: Kvarnsjön
Kontakt:

SV: Faq: Brandvägg

Inlägg av P.Forsberg »

Men varför lägger du inte in den i wikin? ( för att gå dig på nerverna  ;D ;D)
LJ
Användarvisningsbild
Mekaniserad Apelsin
Hedersmedlem
Inlägg: 3777
Blev medlem: 27 maj 2006, 12:24
OS: Ubuntu
Ort: Stockholm
Kontakt:

SV: Faq: Brandvägg

Inlägg av Mekaniserad Apelsin »

LJ skrev: Men varför lägger du inte in den i wikin? ( för att gå dig på nerverna  ;D ;D)
LJ
För att den inte är färdig, och jag ville se om det var någon som opponerade sig mot något i texten...
More Mekaniserad at http://blippe.se.
Användarvisningsbild
P.Forsberg
AVREGISTRERAD
Inlägg: 2573
Blev medlem: 17 jan 2008, 18:38
OS: Ubuntu
Utgåva: 23.04 Lunar Lobster
Ort: Kvarnsjön
Kontakt:

SV: Faq: Brandvägg

Inlägg av P.Forsberg »

Mekaniserad Apelsin skrev:
LJ skrev: Men varför lägger du inte in den i wikin? ( för att gå dig på nerverna  ;D ;D)
LJ
För att den inte är färdig, och jag ville se om det var någon som opponerade sig mot något i texten...
OT: Jag opponera mig ( mot din frisyr  ;D )

EDIT: Fegis! Du tog bort avataren!
Användarvisningsbild
upnorth
Inlägg: 7100
Blev medlem: 14 jun 2007, 19:43
OS: Linux Mint
Ort: Oslo

SV: Faq: Brandvägg

Inlägg av upnorth »

Ditt andra "långa" svar är kortare än ditt andra "korta" svar!? ;D
Användarvisningsbild
P.Forsberg
AVREGISTRERAD
Inlägg: 2573
Blev medlem: 17 jan 2008, 18:38
OS: Ubuntu
Utgåva: 23.04 Lunar Lobster
Ort: Kvarnsjön
Kontakt:

SV: Faq: Brandvägg

Inlägg av P.Forsberg »

Nu prata vi brandväggar här och inte "långa" eller "korta" svar, eller om jag kommer
att föreslår MekApp till Supernanny 2008 för att han skrämmer barn.... ;D ;D

Men vad tycks om hans text? Jag tycker om den. En bra förklaring.
LJ
Användarvisningsbild
Mekaniserad Apelsin
Hedersmedlem
Inlägg: 3777
Blev medlem: 27 maj 2006, 12:24
OS: Ubuntu
Ort: Stockholm
Kontakt:

SV: Faq: Brandvägg

Inlägg av Mekaniserad Apelsin »

LJ skrev:
Mekaniserad Apelsin skrev:
LJ skrev: Men varför lägger du inte in den i wikin? ( för att gå dig på nerverna  ;D ;D)
LJ
För att den inte är färdig, och jag ville se om det var någon som opponerade sig mot något i texten...
OT: Jag opponera mig ( mot din frisyr  ;D )

EDIT: Fegis! Du tog bort avataren!
Apropå det första: Lugn, den ska in i wikin. Apropå frisyren, bilden är ett php-skript som körs varje gång någon försöker se bilden, så jag har inte en aning om vilken bild du pratar om .:P
upnorth skrev: Ditt andra "långa" svar är kortare än ditt andra "korta" svar!? ;D
Jag vet. Lätt svar kontra svårt svar var för fånigt. Och det "långa svar" jag tänkte ge första blev för långt, så det blir en egen punkt. Bläh!
More Mekaniserad at http://blippe.se.
Användarvisningsbild
maths57
Inlägg: 2911
Blev medlem: 22 jun 2007, 15:10
OS: Ubuntu
Utgåva: 22.10 Kinetic Kudu
Ort: Stockholm

SV: Faq: Brandvägg

Inlägg av maths57 »

Det där med kort/lätt och lång/svår kan jag hålla med om. Men jag tror jag förstår vad du är ute efter. För de två första frågorna skulle faktiskt de korta svaren kunna vara bara första meningen. Baka in resten i det långa svaret. Dessutom faller 3:e frågan utanför den mallen. Eller kanske skulle det vara "enkelt svar" och "mer tekniskt svar"? Eller "kort svar" och "mer utförligt svar"?

När det gäller portar, har jag sett att Ubuntus brandvägg står öppen som standard. Men den kör heller inga tjänster som lyssnar. Det är fullt möjligt, skulle jag tro, att ha en lyssnande tjänst som ligger bakom en stängd port. Den lösningen skulle passa om man har två nätverkskort och tjänsten bara ska lyssna på det ena. Jag tror att det skulle vara bra om du kunde lägga till något om vad en port är. Nu går du direkt på öppen/stängd-problematiken utan en inledande förklaring.

Intressant med de där historiska tillbaka blickarna.

Sedan har jag ytterligare en fråga: Min router har en brandvägg, måste jag då ha en på min dator?
Användarvisningsbild
Mekaniserad Apelsin
Hedersmedlem
Inlägg: 3777
Blev medlem: 27 maj 2006, 12:24
OS: Ubuntu
Ort: Stockholm
Kontakt:

SV: Faq: Brandvägg

Inlägg av Mekaniserad Apelsin »

Den sista frågan först: "Min router har en brandvägg, måste jag då ha en på min dator?" du har där själva implentationen av skillnaden mellan "olika typer" av brandväggar. Routern är en "riktig" brandvägg, den skilljer mellan två nät, internet och ditt hemnätverk (att det bara är en dator på ditt interna nät är bara att acceptera). Routerns brandvägg skyddar mellan två nät du tror är olika säkra, din mjukvarubrandvägg är till för att skydda datorn från dåliga implentationer av mjukvara på din dator(, eller så kan den fungera som router, och skilja mellan olika nät).

"Det är fullt möjligt, skulle jag tro, att ha en lyssnande tjänst som ligger bakom en stängd port." Jepp, se: "Därigenom kan man idag säga att en port är öppen om inte en brandvägg stoppar och det finns en tjänst på porten, och en port är stängd om ingen tjänst lyssnar (oavsett brandvägg) och dessutom stängd om brandväggen stoppar (trots att en tjänst lyssnar)."

"För de två första frågorna skulle faktiskt de korta svaren kunna vara bara första meningen." Korta svaren borde vara kortare... Ok, håller med dig.

"Jag tror att det skulle vara bra om du kunde lägga till något om vad en port är." - kommer!
More Mekaniserad at http://blippe.se.
Användarvisningsbild
maths57
Inlägg: 2911
Blev medlem: 22 jun 2007, 15:10
OS: Ubuntu
Utgåva: 22.10 Kinetic Kudu
Ort: Stockholm

SV: Faq: Brandvägg

Inlägg av maths57 »

Kom just på en sak. Jag tror att de flesta förknippar ordet brandvägg med något som har med säkerhet att göra, att själva programmet brandvägg är ett program för säkerhet. Men det är inte riktigt sant. En brandvägg är ett verktyg för att filtrera trafik som ska in eller ut ur datorn. Den är också med i processen att förmedla trafik vidare om man använder den i en router. Vad man gör när man ställer in sin brandvägg är att utifrån praktiska behov och sin säkerhetspolicy reglerar trafiken till och från sin dator eller till och från sitt interna nätverk. Kan man förklara det här blir Netfilter/iptables lite avdramatiserat och då kan folk utifrån sina egna behov välja om de vill skapa regler för trafiken eller inte. Eller?
Användarvisningsbild
maths57
Inlägg: 2911
Blev medlem: 22 jun 2007, 15:10
OS: Ubuntu
Utgåva: 22.10 Kinetic Kudu
Ort: Stockholm

SV: Faq: Brandvägg

Inlägg av maths57 »

Hittade en sida på www.linuxjunkies.org som tar upp det här. Bryter man ner texten på FAQ-sätt, så skulle man kunna sammanfatta det som jag har gjort här nedan. Sidan innehåller också en lista på portar och vilka tjänster som körs på dom. Hoppas det kan vara till någon hjälp.

Vad är en port?
En kanal för kommunikation mellan datorer i ett nätverk. Portarna har också betydelse för att bestämma vilket program som ska användas när det kommer data.
Datorn i sig kopplas med en (1) kabel till modemet, men den har många kanaler för att kommunicera via den kabeln.

Hur stänger jag en port?
En port är öppen när det finns ett aktivt program som lyssnar på just den porten. Genom att stänga det program som lyssnar på den porten, stänger man också porten.
Man kan också ibland tala om för programmet eller tjänsten i dess konfigurationsfil att inte öppna någon port.
Ett säkerhets tips är att stänga av alla tjänster du inte behöver.

Vad är då en tjänst?
Det är ett program som startar när datorn gör det och sedan körs i bakgrunden. Andra program, datorer eller personer kan då ansluta till tjänsten och utnyttja den.

Är en öppen port farlig?
Nej, inte nödvändigtvis. Egentligen är det bara farligt om programmet som lyssnar på porten innehåller skadlig kod.

Hur många portar finns det då?
Det finns 65536 stycken. De är indelade i tre klasser.
• 0 - 1023 reserverade och välkända portar, som används till vissa typer av tjänster, t ex 20 och 21 för FTP, 22 för SSH och 80 för HTTP.
• 1024 - 49151 portar där det finns registrerade tjänster.
• 49152 - 65536 som är dynamiska eller privata portar som vem som helst får använda.

Vad är en brandvägg?

Det är ett program som filtrera nätverkstrafik. Brandväggen erbjuder ett passivt skydd, eftersom den inte angriper roten till problemet eller stänger av några tjänster. Brandväggen kan också analysera nättrafiken.

Vilka typer av brandväggar finns det?

Mjukvarubrandväggar som installeras på en enskild dator och  hårdvarubrandväggar som är speciella datorer som skyddar hela nätverk.
Användarvisningsbild
Mekaniserad Apelsin
Hedersmedlem
Inlägg: 3777
Blev medlem: 27 maj 2006, 12:24
OS: Ubuntu
Ort: Stockholm
Kontakt:

SV: Faq: Brandvägg

Inlägg av Mekaniserad Apelsin »

maths57 skrev: [massor av text]
Det är lite det jag vill komma åt, utan att verka för fånig och förklara det i en text med beskrivningar.
More Mekaniserad at http://blippe.se.
Emil.s
Inlägg: 6633
Blev medlem: 12 dec 2006, 23:20
OS: Ubuntu
Ort: /Dalarna/Hedemora/
Kontakt:

Re: Faq: Brandvägg

Inlägg av Emil.s »

För att göra texten lite mer korrekt:
Har ubuntu en brandvägg från början?
Kort svar: Ja, det heter iptables och är ett terminalkommando. Det finns grafiska hjälpmedel för att ställa in den där firestarter verkar vara den mest populära. Firestarter fungerar så att man ställer in brandväggen i den, och sedan kan man stänga ner programmet firestarter och behöver inte starta det vid inloggning, de regler du ställt in i firestarter startas med iptables när datorn startas.
Föreslår:
Kort svar: Ja, den heter Netfilter och finns inbyggd i Linux-kärnan och styrs med "iptables" vilket är ett terminalkommando.

Och ska man vara väldigt petig så ska väl Firestarter alltid stavas med stort F. Språkpolis, jag? ;)
Home sweet ~/ = http://sandnabba.se
hagelnut
Inlägg: 299
Blev medlem: 18 okt 2007, 01:12
OS: Ubuntu
Utgåva: 16.04 Xenial Xerus LTS

Re: Faq: Brandvägg

Inlägg av hagelnut »

Det är en sak jag undrar över. Med ex. zonealarm så godkänner eller spärrar man enskilda program. Jag antar att detta betyder att det är en fundamental skillnad hur zonealarm fungerar jämfört med ex. firestarter (iptables) där man godkänner och spärrar portar. Kan någon förklara lite hur dom skiljer sig (om dom gör det) och vad fördelarna/nackdelarna är med de olika lösningarna?

En till fråga: hur kan man ställa in brandväggen iptables (helst med firestarter eller ufw) så att all trafik blockas?

Sen skulle man kunna lägga till (vilket jag tror är en vanlig fråga):
F: Hur vet jag om brandväggen är igång?
S: Öpnna en terminal och skriv:

Kod: Markera allt

sudo iptables -L
Om brandväggen är igång kommer du få en utskrift liknande:

Kod: Markera allt

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  barney               anywhere            MAC 00:50:8D:6D:EF:23
DROP       all  --  wilma                anywhere
ACCEPT     all  --  bart                 anywhere            MAC 00:50:8D:FD:D6:32
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  --  ict                  anywhere            state NEW tcp dpt:ssh

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Användarvisningsbild
maths57
Inlägg: 2911
Blev medlem: 22 jun 2007, 15:10
OS: Ubuntu
Utgåva: 22.10 Kinetic Kudu
Ort: Stockholm

Re: Faq: Brandvägg

Inlägg av maths57 »

Nu har vi i Hardy Heron den ny UFW som kan göra det lite lättare att ställa in brandväggen. Men UFW är ett terminalprogram med allt vad det nu innebär. Så ett grafiskt gränssnitt är nog att föredra.

Starta

Kod: Markera allt

sudo ufw enable
Stänga av

Kod: Markera allt

sudo ufw disable
Tillåta trafik på en port

Kod: Markera allt

sudo ufw allow <portnr>
Tillåta trafik på en port med visst protokol

Kod: Markera allt

sudo ufw allow <portnr>/<protokol>
Tillåt all trafik från en viss dator

Kod: Markera allt

sudo ufw allow from <ip-adress>
Inte tillåta trafik från en viss dator

Kod: Markera allt

sudo ufw deny from <ip-adress>
Tillåta trafik från ett nätverk på viss port

Kod: Markera allt

sudo ufw allow from <nätverk>/<subnät> port <portnr>
Emil.s
Inlägg: 6633
Blev medlem: 12 dec 2006, 23:20
OS: Ubuntu
Ort: /Dalarna/Hedemora/
Kontakt:

Re: Faq: Brandvägg

Inlägg av Emil.s »

maths57 skrev:Nu har vi i Hardy Heron den ny UFW som kan göra det lite lättare att ställa in brandväggen. Men UFW är ett terminalprogram med allt vad det nu innebär. Så ett grafiskt gränssnitt är nog att föredra.
Men UFW är fortfarande bara ytterligare ett annat interface för iptables.
Vill man ha det grafiskt så är det fortfarande Firestarter som gäller.
Home sweet ~/ = http://sandnabba.se
Användarvisningsbild
maths57
Inlägg: 2911
Blev medlem: 22 jun 2007, 15:10
OS: Ubuntu
Utgåva: 22.10 Kinetic Kudu
Ort: Stockholm

Re: Faq: Brandvägg

Inlägg av maths57 »

Även Firestarter är ett gränssnitt för iptables. Ser man till UFW så är den enklare än att att skapa regler direkt med iptables. Å andra sidan så har den många begränsningar än så länge. Vill man snabbt aktivera brandväggen och kanske släppa igenom trafik på portarna 137-139 och 445, då funkar det nog. Men inte annars.
Användarvisningsbild
Mekaniserad Apelsin
Hedersmedlem
Inlägg: 3777
Blev medlem: 27 maj 2006, 12:24
OS: Ubuntu
Ort: Stockholm
Kontakt:

Re: Faq: Brandvägg

Inlägg av Mekaniserad Apelsin »

maths57 skrev:Även Firestarter är ett gränssnitt för iptables. Ser man till UFW så är den enklare än att att skapa regler direkt med iptables. Å andra sidan så har den många begränsningar än så länge. Vill man snabbt aktivera brandväggen och kanske släppa igenom trafik på portarna 137-139 och 445, då funkar det nog. Men inte annars.
Apropå gränsnitt, firestarter och ufw så står det väl ganska schysst i texten?

Och: Njae, begränsningarna är inte så hårda? ufw kör lite på "sane defaults" med icmp (och annat "krafs"), och har sedan användarkonfigurerade inställningar för udp och tcp, eller har jag missat något?
More Mekaniserad at http://blippe.se.
Användarvisningsbild
maths57
Inlägg: 2911
Blev medlem: 22 jun 2007, 15:10
OS: Ubuntu
Utgåva: 22.10 Kinetic Kudu
Ort: Stockholm

Re: Faq: Brandvägg

Inlägg av maths57 »

Jag uttryckte mig lite slarvigt där, tror jag. Jag menade att man ännu inte har så många möjligheter, inte att utvecklaren har infört några begränsningar. Det verkar bara som om man kan redigera kedjan INPUT. Portarna 137-139 och 445 verkar för övrigt finnas med i originalreglerna.
Användarvisningsbild
Cadryc
Inlägg: 3133
Blev medlem: 07 aug 2007, 18:05
OS: Ubuntu
Utgåva: 20.04 Focal Fossa LTS
Ort: Arvika

Re: Faq: Brandvägg

Inlägg av Cadryc »

När jag läser FAQen och med mina brandväggar-i-windows-erfrenheter i ryggen så undrar jag: Kommer Firestarter att fråga när ett nytt program vill ut på nätet första gången? Eller, om jag nu vill ha en brandvägg och ställer in firestarter på att vara restrictiv med utgående trafik, måste jag då manuellt i Firestarter göra inställningar för det programmet?

Vad jag förstår gäller det senare, att man får ställa in manuellt. Det är kanske inte hela världen, men som ny användare i Linuxvärlden är det nog en fråga man ställer sig. Sen att sätta brandväggen som restriktiv med utgående traffik antagligen är onödigt om man kör med standardförråden är en annan sak. Från windows är man van vid att den är det.

I övrigt en mycket bra text, jag lärde mig en del :D :D
Skriv in din hårdvara här så kan andra se hur bra den funkar med Ubuntu.

Har du tid över så ta en titt här
Skriv svar

Återgå till "Nätverk, säkerhet och servrar"