Gufw Firewall

Интернет
Правила форума
Правильно сформулированный вопрос и его грамотное оформление способствует высокой вероятности получения достаточно содержательного и по существу ответа.
Аватара пользователя
Unat
Сообщения: 141
Зарегистрирован: 09 июн 2017, 12:41
Решено: 1
Благодарил (а): 50 раз
Поблагодарили: 3 раза

Gufw Firewall

Сообщение Unat » 10 сен 2017, 14:31

Столкнулся с настройкой фаерволла через Gufw Firewall. Чисто дотошности ради прошу разъяснить несколько элементарнейших вещей.
Вот открываю программу и мне предлагается выбрать профиль:
Общественное место
Дом
Офис


И опции "Входящие" и "Исходящие" с вариантами:
Разрешить
Запретить
Отклонить


Вопросы.
1. Что это за "Общественное место"? Локальная сеть с парой тысяч пользователей это "общественное место"? А если компьютер у меня в квартире напрямую получает интернет - это "общественное место"?
2. Тут https://help.ubuntu.com/community/Gufw/RU русским языком написано, что при "Отклонить" система запрещает входящий трафик на порт и сообщает запрашивающему об отклонении запроса". Скажите, это ЕДИНСТВЕННОЕ отличие опции "Отклонить" от "Запретить"? А на фига вообще оповещать кого то там об отклонении его запроса?
3. Вот у меня 2 компа. Один с выходом в Интернет через локалку, другой - на прямую через провайдера. Какие параметры для Gufw Firewall посоветуете?
4. Что предпочтительней, "Запретить" или "Отклонить"?
5. Насколько вообще актуально и критично такое разграничение на "Общественное место", "Дом" и "Офис"? Раньше вроде такого не было, а было лишь 2 опции: "Входящие" и "Исходящие".
Predustanovlenny-e.png
У вас нет необходимых прав для просмотра вложений в этом сообщении.

Аватара пользователя
darkfenix
Сообщения: 331
Зарегистрирован: 27 июн 2017, 10:36
Решено: 5
Благодарил (а): 25 раз
Поблагодарили: 57 раз

Gufw Firewall

Сообщение darkfenix » 10 сен 2017, 16:07

А для чего вам дома вообще огненая стена?

Аватара пользователя
BadBird
Сообщения: 1133
Зарегистрирован: 09 сен 2016, 18:08
Решено: 2
Благодарил (а): 52 раза
Поблагодарили: 88 раз

Gufw Firewall

Сообщение BadBird » 10 сен 2017, 16:44

darkfenix писал(а):Источник цитаты А для чего вам дома вообще огненая стена?

Виндузятник жи, без фаера и АВ в инет ни - ни, ату бабака заберет все файлы и бяку закинет....
Всё о тайлинге окон...ну, или почти всё: Тыц!!!

Аватара пользователя
darkfenix
Сообщения: 331
Зарегистрирован: 27 июн 2017, 10:36
Решено: 5
Благодарил (а): 25 раз
Поблагодарили: 57 раз

Gufw Firewall

Сообщение darkfenix » 10 сен 2017, 17:46

BadBird, страшная бабайка :crazy:

Аватара пользователя
Chocobo
Сообщения: 4604
Зарегистрирован: 27 авг 2016, 19:57
Решено: 110
Откуда: НН
Благодарил (а): 375 раз
Поблагодарили: 1236 раз

Gufw Firewall

Сообщение Chocobo » 10 сен 2017, 19:05

С одной стороны норм практика "Все что не разрешено - запрещено", как например это по умолчанию предлагается в OpenSuse.
C другой стороны довольно муторно на самом деле для домашнего компа каждый раз что-то разрешать, когда я знаю что мой софт сам не поднимет левых портов(ну и за роутер они не будут проброшены, разумеется) или коннектов куда-то на сторону.

Теперь к теме самого вопроса.
1,3. прямо смотрящий в глобальную сеть хост с белым адресом - можно считать общественным вполне, если не за провайдерским натом конечн.
2,4. open/closed/filtered в статусе портов. Может быть полезным в некоторых случаях знать на каком этапе отвергнут коннект.
5 - Просто разделение по преднастроенным правилам, насколько жестоко рубить все вокруг.
Изображение

Аватара пользователя
Unat
Сообщения: 141
Зарегистрирован: 09 июн 2017, 12:41
Решено: 1
Благодарил (а): 50 раз
Поблагодарили: 3 раза

Gufw Firewall

Сообщение Unat » 10 сен 2017, 20:26

darkfenix писал(а):Источник цитаты А для чего вам дома вообще огненая стена?

А для чего она вообще предустановлена изначально в дистрибутиве Минт да ещё и заточена именно для использования на домашнем ПК?
BadBird писал(а):Источник цитаты
darkfenix писал(а):Виндузятник жи, без фаера и АВ в инет ни - ни...

Да, с тех пор как вышла "Семёрка" я Виндовс зауважал. Чего я собственно в своё время на Линукс подсел и до сих пор его хочу по старой памяти? Из-за того, что он не слетал у меня каждый месяц из-за любого неосторожно-случайного "косяка" в отличии от ХР. Но вот появилась Windows-7 и я снова перешёл на "Винду" ибо она стала "на уровне".
А безопасность вообще лишней не бывает. Так что харэ над моей паранойей потешаться и давайте по теме.

Аватара пользователя
di_mok
Сообщения: 1837
Зарегистрирован: 27 авг 2016, 16:06
Решено: 15
Откуда: Арзамас
Благодарил (а): 529 раз
Поблагодарили: 301 раз

Gufw Firewall

Сообщение di_mok » 10 сен 2017, 21:06

Unat, предустановлен, но не включен. Я его сразу убиваю после установки.
Настоящая водка — это не пьянство, а ключ к своей совести, с нее-то и начинается настоящая мудрость. (c)

Аватара пользователя
Unat
Сообщения: 141
Зарегистрирован: 09 июн 2017, 12:41
Решено: 1
Благодарил (а): 50 раз
Поблагодарили: 3 раза

Gufw Firewall

Сообщение Unat » 10 сен 2017, 21:37

2. Тут https://help.ubuntu.com/community/Gufw/RU русским языком написано, что при "Отклонить" система запрещает входящий трафик на порт и сообщает запрашивающему об отклонении запроса". Скажите, это ЕДИНСТВЕННОЕ отличие опции "Отклонить" от "Запретить"? А на фига вообще оповещать кого то там об отклонении его запроса?
4. Что предпочтительней, "Запретить" или "Отклонить"?

И наконец "Общественное место" или "Дом"? Разница?

Аватара пользователя
darkfenix
Сообщения: 331
Зарегистрирован: 27 июн 2017, 10:36
Решено: 5
Благодарил (а): 25 раз
Поблагодарили: 57 раз

Gufw Firewall

Сообщение darkfenix » 11 сен 2017, 03:11

Не по теме
Unat писал(а):Источник цитаты Windows-7

Безопасность win7 далека от безопасности линукс. А брэндмауэер встроенный в семерку убожество.

Аватара пользователя
Dja
Сообщения: 2004
Зарегистрирован: 27 авг 2016, 17:03
Решено: 11
Откуда: Воскресенск
Благодарил (а): 303 раза
Поблагодарили: 222 раза

Gufw Firewall

Сообщение Dja » 11 сен 2017, 07:16

Chocobo писал(а):Источник цитаты прямо смотрящий в глобальную сеть хост с белым адресом - можно считать общественным вполне, если не за провайдерским натом конечн.

но при этом wan - общественное, lan - дом.
Unat писал(а):Источник цитаты И наконец "Общественное место" или "Дом"? Разница?

Дом - доверяешь компам, находящимся в этой сети. Общественное место - не доверяешь компам, находящимся в данной сети.

slant
Сообщения: 198
Зарегистрирован: 21 июн 2017, 15:09
Решено: 3
Поблагодарили: 74 раза

Gufw Firewall

Сообщение slant » 11 сен 2017, 09:40

Firewall в линуксе - это совсем не так, как в винде. Собственно существует один единственный firewall - iptables. Все эти программы которые часто называют фаерволами - на деле таковыми не являются, это GUI для настойки правил, а сами они ничего не фильтруют. Просто графическая обертка над iptables который вшит непосредственно в ядро системы. Соответственно, при всех внешних различиях - работает оно все примерно одинаково, просто правила фильтрации генерятся по клику кнопочки в соответствии с виденьем автора GUI "как должно быть". Это надо учитывать. По настоящему тонко настроить их можно через консоль (man iptables)

Что касается разницы между запретить или отклонить - это хорошо объясняется в документации к iptables, только надо еще перевод правильный к оригинальным названиям. Итак, у правила может быть три "цели", назначения. В скобках оригинальное название:

Разрешить (accept): Тут все просто - принять или выпустить пакет (в зависимости от направления).

Запретить (reject): заблокировать прохождение пакета с отправкой уведомления отправителю. Т.е. отправитель получит информацию о том что пакет дальше не прошел, или наш компьютер, как адресат, его не принимает.

Отклонить (drop): Пакет будет молча уничтожен. Никакого уведомления об этом отправитель не получит.

Обычно, в большинстве случаев, используют drop, т.к. уведомления - лишняя нагрузка на сеть, и даже некоторые виды атак есть использующие такое поведение.

Unborn
Сообщения: 640
Зарегистрирован: 03 сен 2016, 10:36
Решено: 14
Благодарил (а): 2 раза
Поблагодарили: 93 раза

Gufw Firewall

Сообщение Unborn » 11 сен 2017, 13:39

slant писал(а):Источник цитаты Собственно существует один единственный firewall - iptables.

Это не фаервол, а утилита консольная. Фаервол - Netfilter.
Ещё есть webmin, как альтернатива гуи.

Аватара пользователя
Unat
Сообщения: 141
Зарегистрирован: 09 июн 2017, 12:41
Решено: 1
Благодарил (а): 50 раз
Поблагодарили: 3 раза

Gufw Firewall

Сообщение Unat » 12 сен 2017, 11:17

slant писал(а):Источник цитаты Запретить (reject): заблокировать прохождение пакета с отправкой уведомления отправителю. Т.е. отправитель получит информацию о том что пакет дальше не прошел, или наш компьютер, как адресат, его не принимает.

Отклонить (drop): Пакет будет молча уничтожен. Никакого уведомления об этом отправитель не получит.

А чего тут https://help.ubuntu.com/community/Gufw/RU по другому написано:
2. Запретить: система запретит входящий трафик на порт.
3. Отклонить: система запретит входящий трафик на порт и сообщит запрашивающему об отклонении запроса.


Где то ошибка или я чего то не понял?

Аватара пользователя
Dja
Сообщения: 2004
Зарегистрирован: 27 авг 2016, 17:03
Решено: 11
Откуда: Воскресенск
Благодарил (а): 303 раза
Поблагодарили: 222 раза

Gufw Firewall

Сообщение Dja » 12 сен 2017, 11:44

Ну по логике отклонить как раз с ответом об отклонении.
Т.е. можно прислониться, прислонить. Отклонить - обратное прислонить. Т.е. оттолкнуть. Отвергнуть. А запретить - это расстрел за пересечение границы без выяснения обстоятельств.
Новичок? - ознакомься с правилами
Изображение
В поисках истины :grabli:
Изображение

Аватара пользователя
Chocobo
Сообщения: 4604
Зарегистрирован: 27 авг 2016, 19:57
Решено: 110
Откуда: НН
Благодарил (а): 375 раз
Поблагодарили: 1236 раз

Gufw Firewall

Сообщение Chocobo » 12 сен 2017, 11:55

Тут уже думаю больше к тому как перевести reject и drop
Unat, Но если уж есть такой живой интерес, примени по очереди оба правила на какой-нибудь из портов, и постучись сам - сравни ответы :smile:
Изображение

slant
Сообщения: 198
Зарегистрирован: 21 июн 2017, 15:09
Решено: 3
Поблагодарили: 74 раза

Gufw Firewall

Сообщение slant » 12 сен 2017, 13:41

В русских переводах с этими двумя вариантами всегда путаница. Собственно я не могу дать гарантий, что и у меня самого с переводом правильно относительно того что имелось в виду в апплете Gufw. Потому я и привел английский оригинал. Это как раз тот случай, где без него плохо, и лучше бы именно его в апплете и оставили, чем переводить.

slant
Сообщения: 198
Зарегистрирован: 21 июн 2017, 15:09
Решено: 3
Поблагодарили: 74 раза

Gufw Firewall

Сообщение slant » 12 сен 2017, 13:55

Unborn писал(а):Источник цитаты Это не фаервол, а утилита консольная. Фаервол - Netfilter.
Ещё есть webmin, как альтернатива гуи.

Зануда мод on:
Вот это до сих пор спорный вопрос, т.к. терминология размыта малость. Название Netfilter - однозначно только для той части, которая реализует часть сетевого стека протоколов взаимодействий с сетью самого ядра. А систему дополнительных таблиц и цепочек (для форвардинга например, или шейпинга) некоторые выделяют в отдельную подсистему. Потому когда вы говорите "iptables" - это будет именно о всем комплексе, реализующем полный функционал фаервола и форвардинга и т.д. Netfilter - однозначно входит в нее, но не все считают, что это полный реализованный функционал, а только основной. Однозначно верное название признаваемое всеми выглядит так: "Netfilter/iptables"
Зануда мод off. :)

Аватара пользователя
Unat
Сообщения: 141
Зарегистрирован: 09 июн 2017, 12:41
Решено: 1
Благодарил (а): 50 раз
Поблагодарили: 3 раза

Gufw Firewall

Сообщение Unat » 12 сен 2017, 14:25

Unat писал(а):Источник цитаты Тут https://help.ubuntu.com/community/Gufw/RU русским языком написано, что при "Отклонить" система запрещает входящий трафик на порт и сообщает запрашивающему об отклонении запроса". Скажите,
1) это ЕДИНСТВЕННОЕ отличие опции "Отклонить" от "Запретить"?
2) А на фига вообще оповещать кого то там об отклонении его запроса?

???

Аватара пользователя
Chocobo
Сообщения: 4604
Зарегистрирован: 27 авг 2016, 19:57
Решено: 110
Откуда: НН
Благодарил (а): 375 раз
Поблагодарили: 1236 раз

Gufw Firewall

Сообщение Chocobo » 12 сен 2017, 15:11

Unat писал(а):Источник цитаты это ЕДИНСТВЕННОЕ отличие опции "Отклонить" от "Запретить"?

Да, этого достаточно.
IN DENY со стороны входящего запроса

Код: Выделить всё

chocobo@lmde:~$ nc -v 192.168.0.106 222
nc: connect to 192.168.0.106 port 222 (tcp) failed: Connection timed out

IN REJECT

Код: Выделить всё

chocobo@lmde:~$ nc -v 192.168.0.106 222
nc: connect to 192.168.0.106 port 222 (tcp) failed: Connection refused

В первом случае коннект будет висеть до таймаута диктуемого tcp_syn_retries, во втором отобъет недоступность порта сразу.

Unat писал(а):Источник цитаты А на фига вообще оповещать кого то там об отклонении его запроса?

В твоем сценарии использования - абсолютно незачем. Может быть полезно длянастройки своих подконтрольных сервисов в рабочих сетках.
Изображение

Unborn
Сообщения: 640
Зарегистрирован: 03 сен 2016, 10:36
Решено: 14
Благодарил (а): 2 раза
Поблагодарили: 93 раза

Gufw Firewall

Сообщение Unborn » 12 сен 2017, 17:18

slant писал(а):Источник цитаты Однозначно верное название признаваемое всеми выглядит так: "Netfilter/iptables"

Значит - iptables - утилита для настройки фаервола Netfiler.
Как в Груб параметры ядру передать.


Вернуться в «Работа с сетью»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей