(Grafické) front-endy pro nastavení firewallu v linuxu
Srovnání několika (druhů) grafických konfiguračních utilit linuxového firewallu.
9.3.2004 18:00 |
Ondřej Čečák
| Články autora
| přečteno 15290×
Co to firewall je jste se
zde už mohli
dočíst. Firewall je přímo v linuxovém jádře (netfilter) a obvykle se
konfiguruje pomocí balíků iptables, které pomocí přehledných příkazů řeknou
firewallu (= jádru), jak se má k síťovému provozu chovat.
Výhodou iptables je přehlednost a možnost jednoduché vzdálené konfigurace
(není nutné si spouštět třeba kvůli malé úpravě XServer a v programu si
doklikat vše potřebné). Někomu se ale ne moc uživatelsky přívětivé iptables
líbit nemusí - pokud je zvyklý na grafické konfigurační utility, rozhodně
se nemusí strohé konzole bát, pravidla si může v pohodě naklikat a to
dokonce několika různými způsoby.
Grafických udělátek pro konfiguraci firewallu je obrovské množství, snažil
jsem se vybrat několik typických a velmi použitelných zástupců.
Jak jsem zjistil, grafických utilit je několik druhů. Obvykle používají
iptables, ale rozdíly jsou ve vlastním provedení - buď používají knihovny KDE
nebo GNOME, pak to jsou různé (textové) skripty (bash, perl atp.), konzolové, ale
grafické programy (obvykle využívají knihovny ncurses podobně jako třeba
menuconfig linuxového jádra) a nebo jsou to utility ve formě PHP skriptů,
které si pohodlně spustíte ve webovém prohlížeči.
Nyní ale přejdeme rovnou k popisům jednotlivých frontendů.
Knetfilter
Jako první jsem zkusil Knetfilter, K v názvu značí, že využívá knihoven KDE.
Zkusil jsem poslední verzi 3.1.4 pro KDE 3, ale program jde stáhnout i pro
starší verze KDE (1 i 2), ovšem je nutné počítat s tím, že samotný program
nebude aktuální.
Knetfilter jsem instaloval ze zdrojových kódů, i když třeba v Debianu je
starší verze i ve stabilní větvi. Měl bych zmínit, že Knetfilter není pouze
frontendem pro iptables, ale také pro nmap a tcpdump.
Program bych moc nedoporučil pro začátečníky, protože je nutné mít o
firewallech v linuxu (resp. o ovládání iptables) trochu přehled, program má
veliké množství konfiguračních voleb a je třeba vědět, co děláte.
Přidávání obyčejných pravidel je zpracováno opravdu dobře, ale to hlavní
teprve přijde. Velice podrobné možnosti nastavení NAT vám dovolí nastavit
téměř vše na co si vzpomenete. Když ještě dodám, že program umožňuje nastavení
QoS přes CBQ, iptables už nebudete vůbec potřebovat.
Jednotlivá pravidla můžete podle libosti ukládat a načítat, program používá
formát iptable-save.
Shrnutí
Komplexní možnosti nastavení včetně NAT a QoS dělá z programu Knetfilter
velice dobrou klikací náhradu iptables. Jako bonus je frontendem pro tcpdump a
nmap.
Funguje s jádry: 2.4.x a novějšími
Domovská stránka:
http://expansa.sns.it/knetfilter
Firestarter
Abych vyrovnal převahu KDE, jako další program jsem zvolil Firestarter, který
pro změnu využívá knihovny GNOME. Tento program je podobně jako předchozí v
několika verzích podle verze GNOME, konkrétně pro verze 1.x a 2.x. Já jsem
zkoušel verzi pro GNOME 2.x, konkrétně tu, co je v distribuci Debian Unstable
(verze 0.9.2).
Hned po spuštění programu se objevil velice pěkně zpracovaný průvodce, který
umožní začátečníkovi vytvořit velice jednoduchou a přitom účinnou konfiguraci.
Standardně nastaví stavový firewall s explicitním povolením služeb, které si
uživatel vybere (ať už protokol TCP nebo ICMP). Také je možné zapnout
nastavování flagů ToS pro lepší směrování v rámci infrastruktury. Firestarter
také automaticky nastavuje pár věcí, které se rozhodně hodí - ochrana před
ICMP a TCP floodem.
Po dokončení průvodce je vygenerován bashový skript, který docela přehledně
nastavuje firewall pomocí iptables. Takže pokud máte zájem si drobnosti ručně
doladit, není to problém. Pravidla jsou poměrně složitá, protože i s pár
pravidly bude výsledná konfigurace veliká, Firestarter totiž přidává docela
dost věcí automaticky a ani definice skupin mu není cizí. Díky složitosti
chvilku trvá, než firewall naběhne, v této době je všechen provoz (včetně
lokálního!) zakázán. To samé platí, pokud přidáváte nové pravidlo, změna se
sice okamžitě projeví, ale než se pravidla zavedou, není možné cokoliv dělat.
Sympatické je, že program je lokalizován do 25 jazyků, čeština ale bohužel
chybí.
Výhodou Firestarteru je realtime sledování síťového provozu. V klidu si
zkonfigurujete firewall a potom sledujete, jak pakety proplouvají vaším sítem.
Rovnou při sledování můžete blokovat nebo naopak oprávnit různé hosty k různým
portům nebo rovnou k plnému přístupu. Pokud se vám provoz nebude líbit, pomocí
dvou klepnutí můžete síťový provoz kdykoliv zastavit a obnovit ho až po
patřičném nastavení pravidel firewallu.
Nastavování jednotlivých pravidel je poměrně jednoduché - nastavit se dá
blokování nebo naopak otevírání jednotlivých portů, to samé platí pro různé
hostitele a pak také blokování portů jen pro určité hostitele. K pokročilejším
věcem patří třeba NAT.
Shrnutí
Jednoduchý firewall se skvělým průvodcem, který bych vřele doporučil i
začátečníkům. Navíc sledování provozu je určitě dobrá vlastnost.
Vytknout se dá programu přílišná jednoduchost, se složitými konstrukcemi
vám Firestarter nepomůže.
Funguje s jádry: 2.2.x a výše
Domovská stránka:
http://firestarter.sourceforge.net
Jay's Iptables Firewall
Následující firewall je z úplně jiné skupiny než předcházející dva. Jedná se o
několik skriptů v perlu, které vás provedou konfigurací v prostředí vzhledem
připomínající ncurses konfiguraci jádra.
Po spuštění programu (budu rozebírat pouze spouštění v interaktivním režimu)
je nutné nejprve nastavit pár věcí ohledně chování (jestli chránit před SYN
floodem, jestli odpovídat na ping, jestli používat NAT, jak logovat apod.)
a hlavně jak je vaše síť nastavena (domain name, jestli se používá DHCP atp.).
Jakmile je povinná konfigurace hotová, můžete směle přejít k nastavení portů
na vašem počítači nebo forwardování (pozor, všechno nepovolené je implicitně
zakázáno). To ale není vše, to hlavní se skrývá pod volbou Features. Zde si
můžete nastavit svoje vlastní pravidla, ochranu před spyware (díky připojenému
seznamu IP adres, které spyware používá), nastavení transparentní proxy,
flagů ToS a nebo třeba VPN. Také umožňuje realtime sledování provozu přes
ZorbIPTraffic.
Shrnutí
Jay's Iptables Firewall byl sice původně napsán pro ochranu LAN, ale jeho
použití je opravdu všestranné. Díky tomu, že se spouští v konzoli není problém
spravovat firewall vzdáleně třeba přes ssh. Docela se mi líbí také připojený
blacklist na spyware.
Funguje s jádry: 2.4.x a vyššími
Domovská stránka: http://firewall-jay.sourceforge.net/
Easy Firewall Generator for IPTables
Tento program (nebo spíš skript) funguje ještě jinak, než všechny
předcházející. Jedná se o php skript, kterému zadáte vše potřebné a on vám
vygeneruje docela přehledný a bohatě okomentovaný skript pro inicializaci
firewallu pomocí iptables.
Program není třeba instalovat, stačí ho rovnou spustit z domovské stránky. V
úvodu je malý tutoriál, popisující, k čemu firewall je a jak se v linuxu
konfiguruje. Nechybí ani odkazy na ostatní podrobné návody, howto a podobně.
Konfigurace tedy probíhá přes webový prohlížeč, kde si zadáte, jak má firewall
fungovat. Voleb moc není, jedná se opravdu o zcela základní věci jako je například
konfigurace portů, které budou otevřeny. U každé otázky je popsáno, k čemu nastavení slouží,
takže i když si moc pečlivě nepřečtete úvodní tutoriálek, rozhodně se v
nastavení neztratíte.
Jak jsem už napsal, po klepnutní na tlačítko "Generate Firewall!" dojde k
vygenerování skriptu, který můžete případně doladit podle svého, spustit a je
hotovo.
Shrnutí
Easy Firewall Generator for IPTables je zajímavě zpracovaný, ale také docela
jednoduchý způsob, jak snadno a lehce zabezpečit počítač nebo dokonce celou
síť.
Funguje s jádry: 2.4.x a novějšími
Domovská stránka: http://morizot.net/firewall/
Závěrečné shrnutí
V tomto článku jsem vám ukázal několik možností, jak si pohodlně zkonfigurovat
firewall a přitom se vyhnout přímému použití iptables. Jednotlivé programy
jsou určené uživatelům na různých úrovních - od opravdového grafického
frontendu pro iptables přes pohodlnou možnost konfigurace až po jednoduchý
php skript. Cílem tohoto článku nebylo zhodnotit všechny možné grafické
utility pro nastavení firewallu, ale pouze představit typy těchto programů s
uvedením klasických zástupců.
Ačkoliv jsou programy opravdu různorodé, pár věcí mají společných. Většinou
očekávají, že uživatel alespoň trošku ví, co dělá. I ten nejjednodušší
průvodce se ptá třeba na různé porty nebo DHCP a uživatel, který si chce jenom
trochu zabezpečit domácí desktop se může ztrácet. Pak už jen záleží na
konkrétním firewalu, jaká je implicitní politika, ale ve většině případů to je zákaz
veškerého příchozího provozu nenavázaných spojení zevnitř.
U žádného programu jsem si nevšimnul, že by pravidla analyzoval a pak se je
snažil nějak systematicky roztřídit tak, aby výsledné zpracování paketu jádrem
bylo co nejrychlejší. Ale na druhou stranu u žádného z testovaných firewallů
se mi nestalo, že při restartu firewallu po přidání nějakého pravidla nebyl
povolený plný síťový provoz, obvyklé bylo, že vše bylo naopak zakázané.
Pokud jsem zapomněl na program, který podle vás stojí za představení, budu
rád, pokud mi napíšete email na adresu uvedenou v profilu a já se k několika
dalším programům (včetně toho vašeho ;-) vrátím v případném příštím kole.
Verze pro tisk
|
Příspívat do diskuze mohou pouze registrovaní uživatelé.
|
|

Vyhledávání software

Vyhledávání článků
28.11.2018 23:56 /František Kučera Prosincový sraz spolku OpenAlt se koná ve středu 5.12.2018 od 16:00 na adrese Zikova 1903/4, Praha 6. Tentokrát navštívíme organizaci CESNET. Na programu jsou dvě přednášky: Distribuované úložiště Ceph (Michal Strnad) a Plně šifrovaný disk na moderním systému (Ondřej Caletka). Následně se přesuneme do některé z nedalekých restaurací, kde budeme pokračovat v diskusi.
Komentářů: 1
12.11.2018 21:28 /Redakce Linuxsoft.cz 22. listopadu 2018 se koná v Praze na Karlově náměstí již pátý ročník konference s tématem Datová centra pro business, která nabídne odpovědi na aktuální a často řešené otázky: Jaké jsou aktuální trendy v oblasti datových center a jak je optimálně využít pro vlastní prospěch? Jak si zajistit odpovídající služby datových center? Podle jakých kritérií vybírat dodavatele služeb? Jak volit vhodné součásti infrastruktury při budování či rozšiřování vlastního datového centra? Jak efektivně datové centrum spravovat? Jak co nejlépe eliminovat možná rizika? apod. Příznivci LinuxSoftu mohou při registraci uplatnit kód LIN350, který jim přinese zvýhodněné vstupné s 50% slevou.
Přidat komentář
6.11.2018 2:04 /František Kučera Říjnový pražský sraz spolku OpenAlt se koná v listopadu – již tento čtvrtek – 8. 11. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma umění a technologie, IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář
4.10.2018 21:30 /Ondřej Čečák LinuxDays 2018 již tento víkend, registrace je otevřená.
Přidat komentář
18.9.2018 23:30 /František Kučera Zářijový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 20. 9. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář
9.9.2018 14:15 /Redakce Linuxsoft.cz 20.9.2018 proběhne v pražském Kongresovém centru Vavruška konference Mobilní řešení pro business.
Návštěvníci si vyslechnou mimo jiné přednášky na témata: Nejdůležitější aktuální trendy v oblasti mobilních technologií, správa a zabezpečení mobilních zařízení ve firmách, jak mobilně přistupovat k informačnímu systému firmy, kdy se vyplatí používat odolná mobilní zařízení nebo jak zabezpečit mobilní komunikaci.
Přidat komentář
12.8.2018 16:58 /František Kučera Srpnový pražský sraz spolku OpenAlt se koná ve čtvrtek – 16. 8. 2018 od 19:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát jsou tématem srazu databáze prezentaci svého projektu si pro nás připravil Standa Dzik. Dále bude prostor, abychom probrali nápady na využití IoT a sítě The Things Network, případně další témata.
Přidat komentář
16.7.2018 1:05 /František Kučera Červencový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 19. 7. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát bude přednáška na téma: automatizační nástroj Ansible, kterou si připravil Martin Vicián.
Přidat komentář
Více ...
Přidat zprávičku
 Poslední diskuze
31.7.2023 14:13 /
Linda Graham iPhone Services
30.11.2022 9:32 /
Kyle McDermott Hosting download unavailable
13.12.2018 10:57 /
Jan Mareš Re: zavináč
2.12.2018 23:56 /
František Kučera Sraz
5.10.2018 17:12 /
Jakub Kuljovsky Re: Jaký kurz a software by jste doporučili pro začínajcího kodéra?
Více ...
|