LinuxMint.com.ru

Столкнулся с настройкой фаерволла через Gufw Firewall. Чисто дотошности ради прошу разъяснить несколько элементарнейших вещей.
Вот открываю программу и мне предлагается выбрать профиль:
Общественное место
Дом
Офис

И опции "Входящие" и "Исходящие" с вариантами:
Разрешить
Запретить
Отклонить

Вопросы.
1. Что это за "Общественное место"? Локальная сеть с парой тысяч пользователей это "общественное место"? А если компьютер у меня в квартире напрямую получает интернет - это "общественное место"?
2. Тут https://help.ubuntu.com/community/Gufw/RU русским языком написано, что при "Отклонить" система запрещает входящий трафик на порт и сообщает запрашивающему об отклонении запроса". Скажите, это ЕДИНСТВЕННОЕ отличие опции "Отклонить" от "Запретить"? А на фига вообще оповещать кого то там об отклонении его запроса?
3. Вот у меня 2 компа. Один с выходом в Интернет через локалку, другой - на прямую через провайдера. Какие параметры для Gufw Firewall посоветуете?
4. Что предпочтительней, "Запретить" или "Отклонить"?
5. Насколько вообще актуально и критично такое разграничение на "Общественное место", "Дом" и "Офис"? Раньше вроде такого не было, а было лишь 2 опции: "Входящие" и "Исходящие".

: Predustanovlenny-e.png (15.35 КБ) 4971 просмотр

А для чего вам дома вообще огненая стена?

darkfenix писал(а): А для чего вам дома вообще огненая стена?

Виндузятник жи, без фаера и АВ в инет ни - ни, ату бабака заберет все файлы и бяку закинет....

BadBird, страшная бабайка

С одной стороны норм практика "Все что не разрешено - запрещено", как например это по умолчанию предлагается в OpenSuse.
C другой стороны довольно муторно на самом деле для домашнего компа каждый раз что-то разрешать, когда я знаю что мой софт сам не поднимет левых портов(ну и за роутер они не будут проброшены, разумеется) или коннектов куда-то на сторону.

Теперь к теме самого вопроса.
1,3. прямо смотрящий в глобальную сеть хост с белым адресом - можно считать общественным вполне, если не за провайдерским натом конечн.
2,4. open/closed/filtered в статусе портов. Может быть полезным в некоторых случаях знать на каком этапе отвергнут коннект.
5 - Просто разделение по преднастроенным правилам, насколько жестоко рубить все вокруг.

darkfenix писал(а): А для чего вам дома вообще огненая стена?

А для чего она вообще предустановлена изначально в дистрибутиве Минт да ещё и заточена именно для использования на домашнем ПК?

BadBird писал(а):
darkfenix писал(а):Виндузятник жи, без фаера и АВ в инет ни - ни...

Да, с тех пор как вышла "Семёрка" я Виндовс зауважал. Чего я собственно в своё время на Линукс подсел и до сих пор его хочу по старой памяти? Из-за того, что он не слетал у меня каждый месяц из-за любого неосторожно-случайного "косяка" в отличии от ХР. Но вот появилась Windows-7 и я снова перешёл на "Винду" ибо она стала "на уровне".
А безопасность вообще лишней не бывает. Так что харэ над моей паранойей потешаться и давайте по теме.

Unat, предустановлен, но не включен. Я его сразу убиваю после установки.

2. Тут https://help.ubuntu.com/community/Gufw/RU русским языком написано, что при "Отклонить" система запрещает входящий трафик на порт и сообщает запрашивающему об отклонении запроса". Скажите, это ЕДИНСТВЕННОЕ отличие опции "Отклонить" от "Запретить"? А на фига вообще оповещать кого то там об отклонении его запроса?
4. Что предпочтительней, "Запретить" или "Отклонить"?

И наконец "Общественное место" или "Дом"? Разница?

Не по теме

Unat писал(а): Windows-7

Безопасность win7 далека от безопасности линукс. А брэндмауэер встроенный в семерку убожество.

Chocobo писал(а): прямо смотрящий в глобальную сеть хост с белым адресом - можно считать общественным вполне, если не за провайдерским натом конечн.

но при этом wan - общественное, lan - дом.

Unat писал(а): И наконец "Общественное место" или "Дом"? Разница?

Дом - доверяешь компам, находящимся в этой сети. Общественное место - не доверяешь компам, находящимся в данной сети.

Firewall в линуксе - это совсем не так, как в винде. Собственно существует один единственный firewall - iptables. Все эти программы которые часто называют фаерволами - на деле таковыми не являются, это GUI для настойки правил, а сами они ничего не фильтруют. Просто графическая обертка над iptables который вшит непосредственно в ядро системы. Соответственно, при всех внешних различиях - работает оно все примерно одинаково, просто правила фильтрации генерятся по клику кнопочки в соответствии с виденьем автора GUI "как должно быть". Это надо учитывать. По настоящему тонко настроить их можно через консоль (man iptables)

Что касается разницы между запретить или отклонить - это хорошо объясняется в документации к iptables, только надо еще перевод правильный к оригинальным названиям. Итак, у правила может быть три "цели", назначения. В скобках оригинальное название:

Разрешить (accept): Тут все просто - принять или выпустить пакет (в зависимости от направления).

Запретить (reject): заблокировать прохождение пакета с отправкой уведомления отправителю. Т.е. отправитель получит информацию о том что пакет дальше не прошел, или наш компьютер, как адресат, его не принимает.

Отклонить (drop): Пакет будет молча уничтожен. Никакого уведомления об этом отправитель не получит.

Обычно, в большинстве случаев, используют drop, т.к. уведомления - лишняя нагрузка на сеть, и даже некоторые виды атак есть использующие такое поведение.

slant писал(а): Собственно существует один единственный firewall - iptables.

Это не фаервол, а утилита консольная. Фаервол - Netfilter.
Ещё есть webmin, как альтернатива гуи.

slant писал(а): Запретить (reject): заблокировать прохождение пакета с отправкой уведомления отправителю. Т.е. отправитель получит информацию о том что пакет дальше не прошел, или наш компьютер, как адресат, его не принимает.

Отклонить (drop): Пакет будет молча уничтожен. Никакого уведомления об этом отправитель не получит.

А чего тут https://help.ubuntu.com/community/Gufw/RU по другому написано:
2. Запретить: система запретит входящий трафик на порт.
3. Отклонить: система запретит входящий трафик на порт и сообщит запрашивающему об отклонении запроса.

Где то ошибка или я чего то не понял?

Ну по логике отклонить как раз с ответом об отклонении.
Т.е. можно прислониться, прислонить. Отклонить - обратное прислонить. Т.е. оттолкнуть. Отвергнуть. А запретить - это расстрел за пересечение границы без выяснения обстоятельств.

Тут уже думаю больше к тому как перевести reject и drop
Unat, Но если уж есть такой живой интерес, примени по очереди оба правила на какой-нибудь из портов, и постучись сам - сравни ответы

В русских переводах с этими двумя вариантами всегда путаница. Собственно я не могу дать гарантий, что и у меня самого с переводом правильно относительно того что имелось в виду в апплете Gufw. Потому я и привел английский оригинал. Это как раз тот случай, где без него плохо, и лучше бы именно его в апплете и оставили, чем переводить.

Unborn писал(а): Это не фаервол, а утилита консольная. Фаервол - Netfilter.
Ещё есть webmin, как альтернатива гуи.

Зануда мод on:
Вот это до сих пор спорный вопрос, т.к. терминология размыта малость. Название Netfilter - однозначно только для той части, которая реализует часть сетевого стека протоколов взаимодействий с сетью самого ядра. А систему дополнительных таблиц и цепочек (для форвардинга например, или шейпинга) некоторые выделяют в отдельную подсистему. Потому когда вы говорите "iptables" - это будет именно о всем комплексе, реализующем полный функционал фаервола и форвардинга и т.д. Netfilter - однозначно входит в нее, но не все считают, что это полный реализованный функционал, а только основной. Однозначно верное название признаваемое всеми выглядит так: "Netfilter/iptables"
Зануда мод off.

Unat писал(а): Тут https://help.ubuntu.com/community/Gufw/RU русским языком написано, что при "Отклонить" система запрещает входящий трафик на порт и сообщает запрашивающему об отклонении запроса". Скажите,
1) это ЕДИНСТВЕННОЕ отличие опции "Отклонить" от "Запретить"?
2) А на фига вообще оповещать кого то там об отклонении его запроса?

???

Unat писал(а): это ЕДИНСТВЕННОЕ отличие опции "Отклонить" от "Запретить"?

Да, этого достаточно.
IN DENY со стороны входящего запроса

Код: Выделить всё

chocobo@lmde:~$ nc -v 192.168.0.106 222
nc: connect to 192.168.0.106 port 222 (tcp) failed: Connection timed out

IN REJECT

Код: Выделить всё

chocobo@lmde:~$ nc -v 192.168.0.106 222
nc: connect to 192.168.0.106 port 222 (tcp) failed: Connection refused

В первом случае коннект будет висеть до таймаута диктуемого tcp_syn_retries, во втором отобъет недоступность порта сразу.

Unat писал(а): А на фига вообще оповещать кого то там об отклонении его запроса?

В твоем сценарии использования - абсолютно незачем. Может быть полезно длянастройки своих подконтрольных сервисов в рабочих сетках.

slant писал(а): Однозначно верное название признаваемое всеми выглядит так: "Netfilter/iptables"

Значит - iptables - утилита для настройки фаервола Netfiler.
Как в Груб параметры ядру передать.