Главная Статьи Linux для чайников Настройка фаервола в Ubuntu Linux
Настройка фаервола в Ubuntu Linux
16.12.2009 15:37

Практически каждый интернет-пользователь рано или поздно сталкивается с проблемой сетевой безопасности, с необходимостью более тонкой настройки сетевых интерфейсов компьютера. Современные операционные системы предоставляют замечательное средство для решения этих проблем. Фаервол. Наверняка многие пользователи, установив впервые Ubuntu, недоумевают: «а где же здесь фаервол?» Вот и давайте разберёмся, где тут фаервол и как его настраивать.

{mosloadposition debug}


В ядре Linux существует подсистема, которая называется netfilter. Все пакеты, приходящие на ваш компьютер, или уходящие с него через сеть, обрабатываются этой подсистемой. Именно она выполняет функции фаервола. Для управления netfilter обычно используется утилита iptables, которая преобразует команды пользователя в цепочки правил, понятные ядру. Однако, чтобы эффективно пользоваться данной утилитой, необходимо довольно хорошо понимать, как устроена подсистема netfilter и нужно потратить довольно значительное время на изучение документации.

Чтобы упростить пользователям задачу, были разработаны более дружественные интерфейсы к подсистеме netfilter, которые позволяют в несколько кликов мышкой получить довольно неплохо настроенный фаервол. Один из них мы с вами сегодня и рассмотрим. Называется он Firestarter.

Чтобы его установить, воспользуемся Центром приложений Ubuntu:

Image

 

Запускаем...

 

Image

 

Дальше всё просто и понятно. При первом запуске нам предлагают настроить фаервол.

Image

 

К сожалению интерфейс программы почти полностью на английском языке. Но текста там совсем немного, и то что вам может понадобиться для настройки персонального фаервола мы постараемся освятить в этой статье.

Если вы получаете сетевые настройки с сервера DHCP (то есть сеть вам никто не настраивал, и она сама заработала после установки Ubuntu), поставьте соответствующую галочку.

 

Image

 

На следующей странице, нам предложат настроить разделяемый доступ в Интернет. Поскольку целью данной статьи является помощь уважаемому читателю в настройке именно персонального фаервола, а не маршрутизатора, то мы оставляем всё как есть.

 

Image

 

Теперь наш фаервол готов для первого запуска.

 

Image

 

Сейчас фаервол запущен и нормально функционирует. При перезагрузке, настройки сохраняются, а это значит, что вам не нужно беспокоиться о том, чтобы настраивать его автозапуск.

Теперь давайте присмотримся к интерфейсу программы. Там вроде всё лаконично, просто и понятно. Кнопка в виде замкА служит для того, чтобы «отрезать» компьютер от сети. Вы получите примерно тот же результат, как если бы отключили все сетевые устройства от компьютера одновременно в одно мгновение. Так что будьте осторожнее с этой кнопкой! :-)

Image

 

По умолчанию фаервол настроен так, что он разрешает любые исходящие соединения с вашего компьютера. То есть вы можете спокойно гулять по интернету, заходить на другие компьютеры и т. д. Здесь же можно добавить какой-нибудь компьютер в чёрный список... Можно, кстати, сделать и наоборот: запретить доступ с вашего компьютера ко всем остальным, кроме тех, которые находится в белом списке.

Image

 

А вот входящие соединения на компьютер по умолчанию практически полностью запрещены. То есть вас как бы видно (компьютер пингуется), но зайти к вам в гости без спросу теперь будет нельзя. У меня на компьютере запущен чат для локальной сети TriX, и, судя по логам, фаервол блокирует все соединения на его порт.

Image

 

Это конечно очень хорошо, что фаервол функционирует, но в чате-то я теперь никого не вижу! Пришло время немножко подправить настройки фаервола, чтобы он не блокировал нужные нам соединения.

 

Image

 

Если ваш компьютер не подключен ни к какой локальной сети, то этот шаг можно (и даже нужно) пропустить.

 

Image

 

Если вы не знаете настройки вашей локальной сети, то вам стоит обратиться к тому, кто выполняет функции администратора в вашей сети, чтобы он вам их сказал. Нас интересуют адрес сети и сетевая маска. Вместо маски 255.255.255.0 я написал просто «/24». Если ваша сетевая маска 255.0.0.0, то вместо 24 ставьте 8, а если 255.255.0.0, тогда 16. Другие сетевые маски обычно не используются.

Нажимаем кнопку «Применить».

Image

 

В данном случае, я указал фаерволу, что хочу разрешить ВСЕ входящие соединения из моей локальной сети, потому что:

1)я доверяю своей локальной сети

2)в локальной сети гораздо меньше компьютеров, чем в Интернете и вычислить злоумышленника гораздо проще

Если же вы не хотите полностью открывать свой компьютер для локальной сети, а только хотите открыть доступ, допустим, к чату или какой-то другой сетевой программе, тогда можно добавить в исключения порт (в разделе Allow service):

Image

 

Чат TriX и номер порта 9009 я взял естественно только ради примера. Скорее всего вам придётся указывать другие порты и сервисы, которые вы захотите сделать доступными.

Теперь давайте немного пройдёмся по настройкам Firestarter'а.

Image

 

Я нашёл 2 опции, которые вам скорее всего захочется включить.

Свернуть программу в трей при закрытии окна:

Image

 

Применять изменения в правилах сразу (отпадает необходимость каждый раз кликать на кнопку «Применить», чтобы изменения вступили в силу):

Image

 

Если информации в данной статье вам показалось мало, могу порекомендовать вам ещё одну замечательную статью про настройку фаервола в Linux:

http://www.opennet.ru/docs/RUS/iptables/



Ну а на сегодня всё.

Spinal специально для yachaynik.ru

{mosloadposition cpanel}

{mosloadposition debug}

Комментарии (1)Добавить комментарий
ksn
...
Автор: ksn, Февраль 09, 2012
А почему, если нажать на замочек, системный монитор(использование сети) всё равно показывает постоянный входящий трафик и перестаёт, только если отключить Wi-Fi ? Значит не всё блокирует этот экран?

Написать комментарий
Вы должны авторизоваться, чтобы добавлять комментарии. Пожалуйста, зарегистрируйтесь.

busy

Новые материалы на эту тему:
Также рекомендуем к прочтению:

Обновлено 14.02.2011 13:09