Debian: Tường lửa nào?


10

Tôi phải cài đặt tường lửa trên máy chủ của mình (vì vậy không có X Server). Đó là một đồng xu debian. Nếu có thể, tôi muốn tránh việc sử dụng iptables. Có cách nào dễ dàng hơn để cài đặt / cấu hình tường lửa không?

Câu trả lời:


14

Đầu tiên, tường lửa phải là bước cuối cùng để bảo mật máy chủ. Xóa tất cả phần mềm và dịch vụ không cần thiết, cập nhật hệ thống của bạn với các bản vá bảo mật có sẵn mới nhất và xem lại các tệp cấu hình của bạn.

Tại sao bạn muốn tránh iptables?

"Bởi vì tôi là người mới" không phải là lý do thực sự. Tường lửa "một lần nhấp mọi thứ an toàn" không tồn tại và nếu một sản phẩm phần mềm sử dụng khẩu hiệu như vậy, thì rất có thể đó chỉ là phần mềm.

Nếu bạn không có kinh nghiệm về các vấn đề cơ bản về mạng, bạn sẽ phải học điều này để cấu hình một tường lửa hoạt động. :-)

Nếu bạn không muốn tự tạo quy tắc iptable, bạn có hai tùy chọn:

  • tùy chỉnh các tập lệnh hiện có trên mạng
  • sử dụng công cụ GUI để tự tạo quy tắc

iptables là giao diện của bạn với lớp kết nối của kernel. Gần như mọi giải pháp cho linux sẽ phụ thuộc vào nó.

Dưới đâymột số ví dụ bình luận kịch bản / hướng dẫn. Bạn sẽ dễ dàng tìm thấy nhiều hơn với một tìm kiếm google .

Dưới đây là danh sách các công cụ GUI bạn có thể sử dụng để tạo quy tắc iptable của mình:

Một cuốn sách tuyệt vời về máy chủ linux và bảo mật là "Xây dựng máy chủ bảo mật với Linux" từ O'Reilly.

Đừng nản lòng và xin lỗi vì những từ "khó", nhưng một máy chủ trên internet không phải là một món đồ chơi và bạn sẽ có một số trách nhiệm cho việc này.


1
cảm ơn câu trả lời của bạn. Tôi đã mua một cuốn sách về quản trị của LInux, và tôi sẽ nghiên cứu về iptable, nhưng trước khi tôi sẽ xem xét các chuỗi dễ dàng hoặc ufw.
fego

10

Bạn có thể cân nhắc thử ufw . Mặc dù nó được tạo cho Ubuntu Server, tôi tin rằng nó cũng có sẵn trong Debian. ( Cập nhật : Thật không may, có vẻ như nó chỉ có sẵn cho squeeze và Sid theo packages.debian.org , nhưng nó vẫn có thể là giá trị xem xét.) Trong khi tôi sẽ nói rằng bạn cuối cùng muốn chuyển sang viết rules của iptable của riêng bạn , Ban đầu tôi thấy ufw rất dễ sử dụng và rất dễ chuyển đổi từ. Dưới đây là một số điểm nổi bật:

  • Cú pháp Convienient: ufw allow 22hoặc ufw allow sshlà tất cả những gì được yêu cầu để cho phép lưu lượng truy cập ssh trong nước nếu chính sách mặc định của bạn là DENY.

  • Đăng nhập dễ dàng: ufw logging onsẽ bật đăng nhập khá hợp lý. Điều tuyệt vời khi ghi nhật ký là theo mặc định, nó giảm các dịch vụ đặc biệt ồn ào (cổng 137 có ai không?).

  • Khả năng thực hiện các chính sách phức tạp: Trên máy tính gia đình của tôi, tôi sử dụng ufw và hiện đang chạy một chính sách khá phức tạp.

  • Khả năng để thêm các quy tắc iptable của riêng bạn. Khá nhiều chính sách vẫn có thể được thực hiện với ufw ngay cả khi giao diện mặc định không cung cấp cơ chế vì bạn luôn có thể thêm các quy tắc của riêng mình.

  • Tài liệu tuyệt vời: man ufwthường là tất cả những gì bạn cần để giải quyết một số vấn đề hoặc trả lời một số câu hỏi - điều này thật tuyệt nếu bạn đang thiết lập tường lửa của mình khi ngoại tuyến.

Đây không phải là tường lửa "nhấp một nút và bạn sẽ được bảo mật". Vào cuối ngày những gì nó thực sự là cung cấp một cách dễ dàng để sử dụng cú pháp quy tắc sáng tạo, một số trừu tượng xung quanh iptables-saveiptables-restorevà mang lại một số quy tắc và thực hành mà một newbie có thể không biết về mặc định.


1
+1 ufw rất dễ sử dụng và rất dễ chuyển sang iptables sau đó vì mức độ trừu tượng vừa phải (không quá cao như điểm nhấn và không quá thấp vì mặc định đẹp).
Barthelemy


0

hãy thử tại shorewall ... Tôi khá hài lòng với nó và tôi cảm thấy rất dễ dàng để cấu hình bất cứ thứ gì tôi cần. (Bao gồm định hình lưu lượng, NAT, DNAT và những thứ khác).

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.