Автор Тема: Firewall по умолчанию выключен?  (Прочитано 1429 раз)

Оффлайн aleksey_java

  • Начинающий
  • *
  • Сообщений: 10
Здравствуйте!

Обнаружил, что в Simply Linux 10.1 по умолчанию не включен firewall. Раньше пользовался openSUSE, там по умолчанию все порты заблокированы, поэтому для меня отсуствие фаервола стало неожиданностью.

Это специально сделано с какой-то целью? Можно ли сделать, чтобы все TCP-порты по умолчанию блокировались в свежей установке?

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 246
  • Учиться .... Телепатами не рождаются, ими ....
    • Email

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 246
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Re: Firewall по умолчанию выключен?
« Ответ #2 : 11.01.2023 19:29:29 »
Также можно через центр управления настроить, если установить соответствующие модули альтератора

Оффлайн aleksey_java

  • Начинающий
  • *
  • Сообщений: 10
Re: Firewall по умолчанию выключен?
« Ответ #3 : 11.01.2023 20:41:43 »
https://www.altlinux.org/Etcnet_Firewall

Я эту статью и использовал как раз, очень полезной оказалась. Но потратил 3 часа на довольно типовую настройку. Потому что пришлось изучать и etcnet, и iptables.

Почему бы не сделать такую конфигурацию по умолчанию? Ведь открытые порты - это угроза безопасности, нет?

Пакета alterator-net-iptables не оказалось в репозитариях Simply Linux.

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 246
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Re: Firewall по умолчанию выключен?
« Ответ #4 : 11.01.2023 21:03:38 »
Я Симпли нет своего репозитория

dango_

  • Гость
Re: Firewall по умолчанию выключен?
« Ответ #5 : 12.01.2023 05:17:43 »
Пакета alterator-net-iptables не оказалось в репозитариях Simply Linux.
Как сказал Руслан выше, Simply Linux не имеет отдельного репозитория. У дистрибутивов версии 10.х репозитории общие.
Пакет alterator-net-iptables есть в официальных репозиториях: https://packages.altlinux.org/ru/sisyphus/srpms/alterator-net-iptables/
[test@test ~]$ su -
Password:
[root@test ~]# apt-get update
Получено: 1 http://ftp.altlinux.org p10/branch/x86_64 release [4223B]
Получено: 2 http://ftp.altlinux.org p10/branch/x86_64-i586 release [1665B]
Получено: 3 http://ftp.altlinux.org p10/branch/noarch release [2844B]
Получено 8732B за 0s (21,2kB/s).                   
Найдено http://ftp.altlinux.org p10/branch/x86_64/classic pkglist
Найдено http://ftp.altlinux.org p10/branch/x86_64/classic release
Найдено http://ftp.altlinux.org p10/branch/x86_64-i586/classic pkglist
Найдено http://ftp.altlinux.org p10/branch/x86_64-i586/classic release
Найдено http://ftp.altlinux.org p10/branch/noarch/classic pkglist
Найдено http://ftp.altlinux.org p10/branch/noarch/classic release
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
[root@test ~]# apt-cache search alterator-net-iptables
alterator-net-iptables - alterator module for simple iptables configuration
[root@test ~]# apt-get install alterator-net-iptables
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
Следующие НОВЫЕ пакеты будут установлены:
  alterator-net-iptables
0 будет обновлено, 1 новых установлено, 0 пакетов будет удалено и 0 не будет обновлено.
Необходимо получить 58,5kB архивов.
После распаковки потребуется дополнительно 527kB дискового пространства.
Получено: 1 http://ftp.altlinux.org p10/branch/x86_64/classic alterator-net-iptables 4.19.9-alt1:p10+289980.100.3.1@1638205719 [58,5kB]
Получено 58,5kB за 0s (71,2kB/s).           
Совершаем изменения...
Подготовка...                                                                       #################################################################################################### [100%]
Обновление / установка...
1: alterator-net-iptables-4.19.9-alt1                                               #################################################################################################### [100%]
Завершено.
« Последнее редактирование: 12.01.2023 05:38:23 от dango_ »

Оффлайн asy

  • alt linux team
  • ***
  • Сообщений: 8 099
Re: Firewall по умолчанию выключен?
« Ответ #6 : 12.01.2023 10:20:37 »
Почему бы не сделать такую конфигурацию по умолчанию? Ведь открытые порты - это угроза безопасности, нет?
Нет разумеется. Угроза безопасности - это когда эти порты слушает какое-то установленное ПО, которое Вы запустили, но не настроили должным образом. Вот эти порты можно и прикрыть, если хочется и такое ограничение иметь.

Оффлайн aleksey_java

  • Начинающий
  • *
  • Сообщений: 10
Re: Firewall по умолчанию выключен?
« Ответ #7 : 12.01.2023 13:43:16 »
Пакет alterator-net-iptables есть в официальных репозиториях: https://packages.altlinux.org/ru/sisyphus/srpms/alterator-net-iptables/
Спасибо, мне удалось найти его. Явно проблема была из-за моих эксперименов с репозитариями.
alterator-net-iptables шикарен! 8-) Можно ли поставить жирную ссылку на него из https://www.altlinux.org/Etcnet_Firewall?

Оффлайн aleksey_java

  • Начинающий
  • *
  • Сообщений: 10
Re: Firewall по умолчанию выключен?
« Ответ #8 : 12.01.2023 14:44:13 »
Нет разумеется. Угроза безопасности - это когда эти порты слушает какое-то установленное ПО, которое Вы запустили, но не настроили должным образом. Вот эти порты можно и прикрыть, если хочется и такое ограничение иметь.
Вы же говорите про ошибку конфигурации? И я об этом. Чтобы подстраховаться, неплохо было бы по умолчанию запрещать любые входящие TCP-соединения.

Пример. У меня много виртуалок, и я исхожу из того, что каждая из них изолирована от другой. Подключаюсь к ним через SPICE. Можно ошибиться и настроить SPICE слушать все интерфейсы вместо localhost.

В итоге все виртуалки получают доступ к друг другу через SPICE. А среди них одна - "песочница", а другая - с доступом до продакшена.
Если бы по умолчанию все порты были бы заблокированы, то этого бы не произошло.

Оффлайн aleksey_java

  • Начинающий
  • *
  • Сообщений: 10
Re: Firewall по умолчанию выключен?
« Ответ #9 : 12.01.2023 18:37:19 »
В итоге с alterator-net-iptables у меня заработал такой конфиг:

Сноски:
1. добавить virbr1 нужно, чтобы запрещать входящий трафик в хост и из виртуалок, а не только снаружи
2. режим "Роутер" нужен, чтобы была возможность добавить virbr1; в режиме "Хост" такой возможности нет

Оффлайн aleksey_java

  • Начинающий
  • *
  • Сообщений: 10
Re: Firewall по умолчанию выключен?
« Ответ #10 : 12.01.2023 19:00:55 »
Можно ли поставить жирную ссылку на него из https://www.altlinux.org/Etcnet_Firewall?
Добавил ссылку на alterator-net-iptables на этой странице.

Оффлайн geher

  • Начинающий
  • *
  • Сообщений: 26
Re: Firewall по умолчанию выключен?
« Ответ #11 : 14.01.2023 14:09:27 »
Попробовал любопытства ради  в центре управления настроить брандмауэр.
Для IPv4 сработало. Для IPv6 на любую настройку ругается:

Критическая ошибка.
Ошибка: недопустимое значение commit_mode "" (допустимое значение on или off

Simply 10.1, обновленный. До сих пор настройки брандмауэра не трогал, только доустановил alterator-net-iptables.
« Последнее редактирование: 14.01.2023 14:23:51 от geher »

Оффлайн aleksey_java

  • Начинающий
  • *
  • Сообщений: 10
Re: Firewall по умолчанию выключен?
« Ответ #12 : 16.01.2023 21:09:59 »
Для IPv6 на любую настройку ругается:

Я IPv6 отключил вручную настройками в  /etc/net/ifaces/default/fw/options:
IP6TABLES_INPUT_POLICY=DROP
IP6TABLES_FORWARD_POLICY=DROP
IP6TABLES_OUTPUT_POLICY=DROP

Alterator эти настройки не перетирает.

Оффлайн Linux User

  • Давно тут
  • **
  • Сообщений: 109
Re: Firewall по умолчанию выключен?
« Ответ #13 : 18.01.2023 19:11:51 »
Простой конфиг файервола для Simply

#!/bin/bash
# Initial setup of Simply Linux iptables
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F
iptables -X
iptables -Z
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
#iptables -A OUTPUT ! -o lo -m owner --uid-owner altlinux -j REJECT --reject-with icmp-net-unreachable
iptables -P INPUT DROP
iptables -P FORWARD DROP
echo '> IP4 RULES <'; iptables -S
echo $'# iptables firewall config file in iptables-save format.\n# DO NOT USE THE -t (table) OPTION IN THIS FILE!' > /etc/sysconfig/iptables
iptables-save >> /etc/sysconfig/iptables
REPLY=$(< /etc/sysconfig/iptables_params);
echo "${REPLY/IPTABLES_RESTORE_ARGS=$'\n'/IPTABLES_RESTORE_ARGS=$'-w\n'}" > /etc/sysconfig/iptables_params
systemctl enable iptables.service
apt-get install iptables-ipv6 || exit
ip6tables -P INPUT ACCEPT
ip6tables -P FORWARD ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -F
ip6tables -X
ip6tables -Z
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A OUTPUT -o lo -j ACCEPT
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT DROP
echo '> IP6 RULES <'; ip6tables -S
echo $'# ip6tables firewall config file in ip6tables-save format.\n# DO NOT USE THE -t (table) OPTION IN THIS FILE!' > /etc/sysconfig/ip6tables
ip6tables-save >> /etc/sysconfig/ip6tables
REPLY=$(< /etc/sysconfig/ip6tables_params)
echo "${REPLY/IPTABLES_RESTORE_ARGS=$'\n'/IPTABLES_RESTORE_ARGS=$'-w\n'}" > /etc/sysconfig/ip6tables_params
systemctl enable ip6tables.service