Názory k článku Ufw: firewall jednoduše a rychle
-
Uz dlhsiu dobu my chyba nieco na sposob kerio FW vo windows. Konkretne vyskakujuce dialogy pri kazdom novom pokuse o spojenie, ci uz von alebo dnu. Pravidla tak nebolo treba riesit vopred, ale naklikali sa za pochodu.
Je to rozumnejsie ako zakazat vsetko a pri kazdej novej aplikacii riesit ci nahodou nepotrebuje nieco povolit… a nasledne hadat, ze co. (Samozrejme advanced userovi nakoniec dopne ktora aplikacia co potrebuje) -
Iste ze sa da.
Ale ak si nastavim prilis restriktivne firewall, budem mat viac prace pri vytvarani vynimiek. Ak nastavim prilis benevolenty filter, je to bezpecnostne riziko. To co chcem je, aby firewall sam detekoval nezname nove spojenie a spytal sa ma v grafickom klikatku ci Povolit / Odmietnut, pripadne Povolit / Odmietnut na trvalo. -
hm ale to je docela jednoducha aplikacka. staci se povesit na logy a pri zalogovani zakazu se posle event kamsi do gui, kde bude na eventy cihat dalsi aplikace a ta bude resit pripadne zasahy do pravidel fw.
krome toho, iptables umi posilat zakazane pakety i na nekam na soket, takze to jde propojit i primocarejsi cestou.
otazka je, kdo zaplati vyvoj tohohle programu. :-) -
Hobit (neregistrovaný)
Tak takovy programek by se mi take libil. To neni jen pro bfu, ale pro kohokoli, kdo pouziva pocitac pro praci a ne kvuli tomu, ze ho to bavi a ze linux je nej…
Pocitac ma byt pro lidi, ne jen pro programatory.
A takovyhle programek je jak se tu vyjadrili celkem jednoduchy, tak se docela divim, ze uz to nekdo nenaprogramoval pro nejakeho sveho znameho, nebo pritellkyni, ci tchana apod. -
A k čemu by měl být takový prográmek dobrý? Pokud na počítači běží nějaké síťové služby, které chci pustit ven, tak si (jednou) nastavím pravidla do fw a už se tím dál nepotřebuji zabývat. Což udělá administrátor.
Kerio FW je aplikační fw a povoluje přístup do sítě jednotlivým aplikacím. Nevidím pro něj využití (snad někdo nějaké napíše) ani na Windows ani na Linuxu. Pokud už hodně chci nějakému konkrétnímu programu zabránit v síťování, tak jej mohu omezit v SELinuxu. No ale v takovém případě je skoro lepší jej izolovat úplně a spustit jej ve virtuálním stroji bez síťového spojení.
Nechat nastavovat FW laika „nejakeho sveho znameho, nebo pritellkyni, ci tchana apod“, který nemá vůbec ponětí co dělá) není vůbec dobrý nápad. -
Umí ufw nastavit pravidlo na rozhraní? v některých případech je totiž rozumnější udělat pravidlo, které povolí provoz na ppp0 rozhraní, než dělat pravidlo, které povolí provoz na IP adresu, kterou toto rozhraní může dostat pokaždé jinou (ShoreWall tohle AFAIK umí a připadá mi na konfiguraci také vcelku nenáročný).
-
-vh- (neregistrovaný)
a kdyby nekdo mel problemy s rozchozenim ufw tak fireHOL >> http://www.root.cz/clanky/firehol-nejsnazsi-firewall/ je celkem take pouzitelny nastroj.
-
Ma tohle nejakou vyhodu ve srovnani s fireholem? Krome tedy grafickeho rozhrani, ktere tusim firehol zadne nema, alespon jsem o nem neslysel. Navic mi pripada, ze firehol je o dost mohutnejsi. Do konfiguraku se daji dopisovat i iptables prikazy a tak ho mohou pouzivat uzivatele od zacatecnika az po zavileho admina.
-
heled ja jsem si nakonec na iptables napsal vlastni generator prikazu. generuje se to z nastaveni v db, do db se to pise pres www rozhrani. a jen dodam, ze prikazy pro iptables se generuji pres kartezsky soucin zdroju a cilu. :-) chtel jsem pouzit ipset, ale stupidni ubuntu nemelo v kernelu podporu.
jo a ze stejne db se generuji taky konfiguraky pro dhcp a dns server. -
marcelix (neregistrovaný)
Osobne pouzivam na terajsom serveri iptables, V pravidlach vsak pouzivam filtre na interface, napr. tun1 pre VPN namiesto ip adresy, ktora sa moze zmenit. Docital som sa ze UFW v poslednych verziach umoznuje tento filter, ale nedari sa mi ho korektne zadat. GUI zatial tuto volbu nepodporuje.
Mate niekto s tymto skusenosti -
Arthur (neregistrovaný)
S UFW na Ubuntu 10.04 mam jeden zasadni problem: i kdyz povolim SMB presne dle prednastavene konfigurace (odchozi povoleno, prichozi zakazano vyjma SMB), nemuzu od sebe ven na okolni pocitace/sdilene tiskarny. Lide z venku na me sdilene slozky mohou (v poradku). Abych mohl tisknout na sdilene tiskarne, musim povolit prichozi UDP pro vsechny porty >1023. Vsichni odbornici kolem se tvari, ze by ta prednastavena konfigurace mela stacit, nicmene nezavisle na dvou strojich to proste takto nejde.
Mohl by nekdo (treba autor clanku :-)) zkusit zda a jak to funguje u nej ?
Diky moc
ČLÁNKY DO MAILU