Faq: Brandvägg

Konfiguration av nätverk, hur man använder Ubuntu som server, och håller sin dator säker
Användarvisningsbild
northface
Inlägg: 501
Blev medlem: 15 dec 2007, 02:20
OS: Ubuntu
Utgåva: 22.04 Jammy Jellyfish LTS

Re: Faq: Brandvägg

Inlägg av northface »

freddie
Inlägg: 111
Blev medlem: 18 jul 2007, 20:06
OS: Ubuntu
Utgåva: 23.04 Lunar Lobster
Ort: göteborg

Re: Faq: Brandvägg

Inlägg av freddie »

Lägger in denna länken här -->> http://gufw.tuxfamily.org/screenshots.html

Är ett gui till ufw som funkar kanon för mig och är mycket lätt att använda.Jag hade lite problem med att jag var tvungen att enabla ufw efter varje omstart och att den stängde av sig själv.
Men jag behöver inte det nu med gufw.
Användarvisningsbild
Hund
Inlägg: 16492
Blev medlem: 25 jan 2007, 04:15
OS: Gentoo
Ort: Norrland
Kontakt:

Re: Faq: Brandvägg

Inlägg av Hund »

Man blockerar portar, inte program. :)

Edit: Blev lite fel. Missade att det fanns en sida 2. :P Inlägget jag svarade på var detta:
Cadryc skrev:När jag läser FAQen och med mina brandväggar-i-windows-erfrenheter i ryggen så undrar jag: Kommer Firestarter att fråga när ett nytt program vill ut på nätet första gången? Eller, om jag nu vill ha en brandvägg och ställer in firestarter på att vara restrictiv med utgående trafik, måste jag då manuellt i Firestarter göra inställningar för det programmet?

Vad jag förstår gäller det senare, att man får ställa in manuellt. Det är kanske inte hela världen, men som ny användare i Linuxvärlden är det nog en fråga man ställer sig. Sen att sätta brandväggen som restriktiv med utgående traffik antagligen är onödigt om man kör med standardförråden är en annan sak. Från windows är man van vid att den är det.

I övrigt en mycket bra text, jag lärde mig en del :D :D
Det finns lite att läsa här: http://sv.wikipedia.org/wiki/Brandv%C3%A4gg
Linuxkompis - En vänlig Linux-gemenskap för alla!
Användarvisningsbild
northface
Inlägg: 501
Blev medlem: 15 dec 2007, 02:20
OS: Ubuntu
Utgåva: 22.04 Jammy Jellyfish LTS

Re: Faq: Brandvägg

Inlägg av northface »

Stänger portar och blockerar trafik ... eller?
Användarvisningsbild
maths57
Inlägg: 2911
Blev medlem: 22 jun 2007, 15:10
OS: Ubuntu
Utgåva: 22.10 Kinetic Kudu
Ort: Stockholm

Re: Faq: Brandvägg

Inlägg av maths57 »

Nja, det är ett filter: Netfilter. Vad du kan göra är att med det filtret styra trafiken och även stänga av den. Man kan filtrera på ffa protokol, port, ip-adress.
Användarvisningsbild
christer
Inlägg: 1362
Blev medlem: 11 jan 2007, 17:42
OS: Ubuntu
Utgåva: 23.04 Lunar Lobster

Re: Faq: Brandvägg

Inlägg av christer »

Läste i Ubuntu-hjälpen om säkerhet. Vi har ju en brandvägg.
Den heter ufw. Kollade med ufw status, ufw version, gufw osv.
Kom till att jag i terminalen måste skriva: sudo ufw enable

Efter omstart nu så visar
sudo ufw status
Firewall loaded

Borde jag inte vara något nöjdare nu då?
Vad har jag gjort och kan det vara till någon nytta?
freddie
Inlägg: 111
Blev medlem: 18 jul 2007, 20:06
OS: Ubuntu
Utgåva: 23.04 Lunar Lobster
Ort: göteborg

Re: Faq: Brandvägg

Inlägg av freddie »

christer skrev:Läste i Ubuntu-hjälpen om säkerhet. Vi har ju en brandvägg.
Den heter ufw. Kollade med ufw status, ufw version, gufw osv.
Kom till att jag i terminalen måste skriva: sudo ufw enable

Efter omstart nu så visar
sudo ufw status
Firewall loaded

Borde jag inte vara något nöjdare nu då?
Vad har jag gjort och kan det vara till någon nytta?
Om du istället uppnar gufw så öppnar du portarna därigenom och med gufw så stänger ufw inte av sig vid omstarter och helt själv som det kan göra(har gjort för mig).
Och är helt klart lättare att jobba med än firestarter gui som funkade ibland,iallafall för mig.
durus
Inlägg: 65
Blev medlem: 19 jun 2007, 14:37

Re: Faq: Brandvägg

Inlägg av durus »

bra initiativ!
Men jag förstår inte riktigt. Är inte iden med en Wiki att flera kan ändra på texten och förbättra den? I så fall, varför inte lägga upp texten där, och länka till texten och fråga vad andra tycker. Då kan de ändra direkt i texten på wikin eller diskutera den på forumet.
Användarvisningsbild
christer
Inlägg: 1362
Blev medlem: 11 jan 2007, 17:42
OS: Ubuntu
Utgåva: 23.04 Lunar Lobster

Re: Faq: Brandvägg

Inlägg av christer »

gufw fantiserade jag skulle vara en grafisk version av ufw. Men någon sådan verkar inte finnas okänt kommando.

Det är bara terminalbaserad ufw som gäller.
kalle@kalle:~$ ufw
Usage: ufw COMMAND
Commands:
enable Enables the firewall
disable Disables the firewall
default ARG set default policy to ALLOW or DENY
logging ARG set logging to ON or OFF
allow|deny RULE allow or deny RULE
delete allow|deny RULE delete the allow/deny RULE
status show firewall status
version display version information

kalle@kalle:~$
KiviE
Inlägg: 2157
Blev medlem: 25 okt 2007, 14:00
OS: Ubuntu
Utgåva: 22.04 Jammy Jellyfish LTS
Ort: Luleå

Re: Faq: Brandvägg

Inlägg av KiviE »

christer skrev:gufw fantiserade jag skulle vara en grafisk version av ufw. Men någon sådan verkar inte finnas okänt kommando.
http://gufw.tuxfamily.org/

Det är precis som du trodde en grafiskt frontend för ufw. Men du lär behöva installera det för att kunna använda det.
Användarvisningsbild
christer
Inlägg: 1362
Blev medlem: 11 jan 2007, 17:42
OS: Ubuntu
Utgåva: 23.04 Lunar Lobster

Re: Faq: Brandvägg

Inlägg av christer »

Öppnade länken och installerade Gufw.
Gufw finns nu i Program, Internet som Gufw Firewall Configuration.
Berättar att Firewall Enabled och Deny incomming traffic är förbockat.
Användarvisningsbild
Mekaniserad Apelsin
Hedersmedlem
Inlägg: 3777
Blev medlem: 27 maj 2006, 12:24
OS: Ubuntu
Ort: Stockholm
Kontakt:

Re: Faq: Brandvägg

Inlägg av Mekaniserad Apelsin »

durus skrev:bra initiativ!
Men jag förstår inte riktigt. Är inte iden med en Wiki att flera kan ändra på texten och förbättra den? I så fall, varför inte lägga upp texten där, och länka till texten och fråga vad andra tycker. Då kan de ändra direkt i texten på wikin eller diskutera den på forumet.
Du har helt rätt där, grejen är väl kanske att folk tror mer på vad som står i en dokumentation (wiki) än i ett forum... Jag ville vara helt total bombsäker på att det som står här är acceptabelt.
More Mekaniserad at http://blippe.se.
Användarvisningsbild
christer
Inlägg: 1362
Blev medlem: 11 jan 2007, 17:42
OS: Ubuntu
Utgåva: 23.04 Lunar Lobster

Re: Faq: Brandvägg

Inlägg av christer »

Man kan vara helt säker på att så är det. Man har testat och lyckats kanske med flera datorer.

Men tyvärr kan det hända att det inte ändå passar alla. Problemet kunde lösas bara på
dessa datorer, som det prövats på. Goda råd i forumet är kanske endast till 75 % användbart.
Råden är kanske också äldre än Ubuntu 8.04 och gäller exempelvis för Ubuntu 7.10
Länkarna till sidorna har kanske också ändrats och förnyats. mycket kan hända på vägen.
Användarvisningsbild
maths57
Inlägg: 2911
Blev medlem: 22 jun 2007, 15:10
OS: Ubuntu
Utgåva: 22.10 Kinetic Kudu
Ort: Stockholm

Re: Faq: Brandvägg

Inlägg av maths57 »

christer skrev:Läste i Ubuntu-hjälpen om säkerhet. Vi har ju en brandvägg.
Den heter ufw. Kollade med ufw status, ufw version, gufw osv.
Kom till att jag i terminalen måste skriva: sudo ufw enable
Nej, brandväggen heter inte ufw. Ufw är bara ett verktyg till ett annat verktyg för att hantera brandväggen, om du förstår vad jag menar. Som jag skrev tidigare, så heter den modulen i kärnan som hanterar brandväggen Netfilter. Det riktiga verktyget, det som alla andra verktyg använder sig av, heter iptables. Vad ufw gör är att förenkla användningen av iptables.
Användarvisningsbild
christer
Inlägg: 1362
Blev medlem: 11 jan 2007, 17:42
OS: Ubuntu
Utgåva: 23.04 Lunar Lobster

Re: Faq: Brandvägg

Inlägg av christer »

Citat från Hjälpen:
"Mer erfarna användare kanske önskar att använda brandväggen UFW som är installerad som standard.
Se Handbok för UFW för mer information."

Citat från Handboken
"UFW:(8)
NAME
ufw - program for managing a netfilter firewall
DESCRIPTION
This program is for managing a Linux firewall and aims to provide an easy to
use interface for the user.
USAGE
ufw [--dry-run] enable|disable"

Det är verkligen svårt att förstå rätt om man inte är riktigt insatt i ämnet.
Användarvisningsbild
maths57
Inlägg: 2911
Blev medlem: 22 jun 2007, 15:10
OS: Ubuntu
Utgåva: 22.10 Kinetic Kudu
Ort: Stockholm

Re: Faq: Brandvägg

Inlägg av maths57 »

Jag förstår dig christer. Det första citatet är felaktigt. I det andra är det bara kryptiskt. Men där nämns iaf Netfilter. En sak är i alla fall klar: ufw är skapad för att förenkla.
Användarvisningsbild
HOLMEN
Fadder
Inlägg: 1724
Blev medlem: 29 mar 2006, 22:39
OS: Ubuntu
Utgåva: Vet inte/ingen utgåva passar
Ort: Göteborg
Kontakt:

Re: Faq: Brandvägg

Inlägg av HOLMEN »

Mycket bra och intressant, enligt mig. Men det där med vad en öppen port är, blev aning krånligt :P
Men som sagt, mycket bra annars!
roby
Inlägg: 63
Blev medlem: 28 jun 2006, 23:12

Re: Faq: Brandvägg

Inlägg av roby »

Är Netfilter/IPtables fullt ut konfigurerade i 8.04 ? Innan jag skaffade hårdvarubrandvägg hade jag en separat PC
som brandvägg för mitt lokala nät. För att få den funktionalitet som jag önskade var jag tvungen att tanka ner
kompletterande funktioner och därefter bygga en ny Linux-kärna. Detta gällde en kärna i generation 2.4.x.
Är det fortfarande så?
Användarvisningsbild
maths57
Inlägg: 2911
Blev medlem: 22 jun 2007, 15:10
OS: Ubuntu
Utgåva: 22.10 Kinetic Kudu
Ort: Stockholm

Re: Faq: Brandvägg

Inlägg av maths57 »

Det mesta finns nog. Vanlig filtrering och NAT funkar, även om NAT kräver att du laddar någon extra modul. Men vill du pröva på Lager7-filter så lär du få ladda ner dom paketen, för dom finns inte med som standard. Det samma gäller QoS.
erik_persson
Inlägg: 15
Blev medlem: 28 maj 2009, 14:02
OS: Ubuntu
Utgåva: 16.04 Xenial Xerus LTS

Re: Faq: Brandvägg

Inlägg av erik_persson »

Mekaniserad Apelsin skrev: Vad menar du med "Nej, egentligen inte", behöver jag aktivera brandväggen eller inte?
Nej, det behöver du inte.

Det finns rent klassiskt bara en anledning till att ens ha en brandvägg, det är om du har två nät som du ska koppla ihop och du tror att de är olika säkra, t.ex. internet och ditt företagsnätverk, eller två olika delar inom ditt företagsnät. Iom den stora vågen av mjukvarubrandväggar så skaffar man en brandvägg för att du inte litar på mjukvaran på ditt system. Så det vanliga svaret som man får i typiska ubuntu-sammanhang är "Installerar du en server så är det bra att konfiguera en brandvägg", men inte ens det är ett bra svar.

Låt oss säga att du installerar en typisk serverapplikation i linux, en ssh-server (en jättebra högsäkerhetstjänst som låter en styra datorn, dela filer, tunnla trafik och mycket mer), den lyssnar bara på en port så det finns ingen anledning till att konfiguera brandväggen att stoppa trafik på andra portar. Det är likadant med andra tjänster, som t.ex. apache eller vsftpd. Du kan däremot känna att det finns ett behov av att bara låta somliga datorer ansluta till denna tjänst, men det är "säkrare" och "lättare" att konfigurera detta direkt i den applikationen än att låta brandväggen sortera detta. Ett typexempel för detta är de olika databasapplikationerna som mysql, ställ alltid in mysql att endast lyssna på de datorer som ska kunna ansluta till databasen (typisk endast samma dator, dvs "localhost").

Kort sagt: Den enda gången du behöver en mjukvarubrandvägg är när du inte litar på mjukvaran du använder eller din förmåga att ställa in denna. Det är oftast lättare att ställa in programvaran än att att förstå hur mjukvaran fungerar och konfiguera brandväggen efter detta. Du ska kunna lita på programvaran som ubuntu själva tillhandahåller. För yttersta säkerhet, använd bara de programvarukällor som ubuntu tillhandahåller och se till att hålla den programvaran uppdaterad med ubuntus uppdateringshanterare.

Fortsättning följer
Det där är nog inte helt sant. Det kan finnas flera olika tillfällen när det kan vara bra att ha en mjukvarubrandvägg.

För det första kan man inte lita på de program som tillhandahålls eller på användare som använder datorn. Det är fulltständigt fel säkerhetsmässigt. Det finns alltid buggar i program och det kan mycket väl finnas säkerhetsbuggar i dem också. Historien har visat sig mycket tydligt på denna punkt. Det hittas hela tiden nya säkerhetproblem i redan existerande programvara även om denna varit i bruk länge. Användare som man tror sig känna vill plötsligen göra någonting som de tror sig kunna, vill installera någon nytt program eller vad det nu kan vara, och kan därmed ställa till problem på datorn, tex om programmen ifråga innehåller säkerhetsfel eller öppnar upp portar.
Generellt är regeln snarare: "Lita aldrig helt på någon eller något" eller kanske snarare "Lita aldrig på någon eller något mer än du absolut behöver".
Historien har på båda dessa punkter varit väldigt tydlig.

För det andra är det inte alla tjänster som tillåter dig att begränsa vilka ip-adresser som får ansluta till dem, och det kan finnas behov av att göra en sådan begränsning (se nedan).

För det tredje är det svårt att förhindra utgående tjänster från att kontakta vad helst de vill utan att använda en brandvägg. Det finns risk att någon tjänst hackas, och om tjänsten hackad och kör som något annat än root så kan det vara bra att hindra utgående trafik från att kunna ansluta sig till vad som helst, tex obegränsat till port 25.

En bra säkerhetsregel är nog snarare att enbart tillåta det som måste tillåtas, såväl vad gäller inkommande som utgående trafik. Det kan göras genom att försöka konfigurera ifrågavarande program, men som komplement till det så är en brandvägg mycket bra.

(Var är för övrigt en mjukvarubrandvägg för något? Om jag sätter en linuxburk som router och brandvägg på mitt interna nät, är det då en mjukvarubrandvägg? Vad är i så fall en hårdvarubrandvägg? En "hårdvarubrandvägg" kör ju mjukvara för sin paketfiltrering mm, dessutom finns det "hårdvarubrandväggar" som kör linux för paketfiltrering etc.)

/erik
Skriv svar

Återgå till "Nätverk, säkerhet och servrar"