Gufw Firewall

Интернет
Правила форума
Правильно сформулированный вопрос и его грамотное оформление способствует высокой вероятности получения достаточно содержательного и по существу ответа.
Аватара пользователя

Автор темы
Unat
Сообщения: 141
Зарегистрирован: 09 июн 2017, 12:41
Решено: 1
Благодарил (а): 50 раз
Поблагодарили: 3 раза

Gufw Firewall

Сообщение Unat » 10 сен 2017, 14:31

Столкнулся с настройкой фаерволла через Gufw Firewall. Чисто дотошности ради прошу разъяснить несколько элементарнейших вещей.
Вот открываю программу и мне предлагается выбрать профиль:
Общественное место
Дом
Офис


И опции "Входящие" и "Исходящие" с вариантами:
Разрешить
Запретить
Отклонить


Вопросы.
1. Что это за "Общественное место"? Локальная сеть с парой тысяч пользователей это "общественное место"? А если компьютер у меня в квартире напрямую получает интернет - это "общественное место"?
2. Тут https://help.ubuntu.com/community/Gufw/RU русским языком написано, что при "Отклонить" система запрещает входящий трафик на порт и сообщает запрашивающему об отклонении запроса". Скажите, это ЕДИНСТВЕННОЕ отличие опции "Отклонить" от "Запретить"? А на фига вообще оповещать кого то там об отклонении его запроса?
3. Вот у меня 2 компа. Один с выходом в Интернет через локалку, другой - на прямую через провайдера. Какие параметры для Gufw Firewall посоветуете?
4. Что предпочтительней, "Запретить" или "Отклонить"?
5. Насколько вообще актуально и критично такое разграничение на "Общественное место", "Дом" и "Офис"? Раньше вроде такого не было, а было лишь 2 опции: "Входящие" и "Исходящие".
Predustanovlenny-e.png
У вас нет необходимых прав для просмотра вложений в этом сообщении.

Аватара пользователя

darkfenix
Сообщения: 615
Зарегистрирован: 27 июн 2017, 10:36
Решено: 9
Благодарил (а): 40 раз
Поблагодарили: 98 раз

Gufw Firewall

Сообщение darkfenix » 10 сен 2017, 16:07

А для чего вам дома вообще огненая стена?

Аватара пользователя

BadBird
Сообщения: 1326
Зарегистрирован: 09 сен 2016, 18:08
Решено: 2
Благодарил (а): 63 раза
Поблагодарили: 116 раз

Gufw Firewall

Сообщение BadBird » 10 сен 2017, 16:44

darkfenix писал(а): А для чего вам дома вообще огненая стена?
Виндузятник жи, без фаера и АВ в инет ни - ни, ату бабака заберет все файлы и бяку закинет....
Всё о тайлинге окон...ну, или почти всё: Тыц!!!

Аватара пользователя

darkfenix
Сообщения: 615
Зарегистрирован: 27 июн 2017, 10:36
Решено: 9
Благодарил (а): 40 раз
Поблагодарили: 98 раз

Gufw Firewall

Сообщение darkfenix » 10 сен 2017, 17:46

BadBird, страшная бабайка :crazy:

В сети
Аватара пользователя

Chocobo
Сообщения: 5503
Зарегистрирован: 27 авг 2016, 19:57
Решено: 128
Откуда: НН
Благодарил (а): 411 раз
Поблагодарили: 1427 раз

Gufw Firewall

Сообщение Chocobo » 10 сен 2017, 19:05

С одной стороны норм практика "Все что не разрешено - запрещено", как например это по умолчанию предлагается в OpenSuse.
C другой стороны довольно муторно на самом деле для домашнего компа каждый раз что-то разрешать, когда я знаю что мой софт сам не поднимет левых портов(ну и за роутер они не будут проброшены, разумеется) или коннектов куда-то на сторону.

Теперь к теме самого вопроса.
1,3. прямо смотрящий в глобальную сеть хост с белым адресом - можно считать общественным вполне, если не за провайдерским натом конечн.
2,4. open/closed/filtered в статусе портов. Может быть полезным в некоторых случаях знать на каком этапе отвергнут коннект.
5 - Просто разделение по преднастроенным правилам, насколько жестоко рубить все вокруг.

Аватара пользователя

Автор темы
Unat
Сообщения: 141
Зарегистрирован: 09 июн 2017, 12:41
Решено: 1
Благодарил (а): 50 раз
Поблагодарили: 3 раза

Gufw Firewall

Сообщение Unat » 10 сен 2017, 20:26

darkfenix писал(а): А для чего вам дома вообще огненая стена?
А для чего она вообще предустановлена изначально в дистрибутиве Минт да ещё и заточена именно для использования на домашнем ПК?
BadBird писал(а):
darkfenix писал(а):Виндузятник жи, без фаера и АВ в инет ни - ни...
Да, с тех пор как вышла "Семёрка" я Виндовс зауважал. Чего я собственно в своё время на Линукс подсел и до сих пор его хочу по старой памяти? Из-за того, что он не слетал у меня каждый месяц из-за любого неосторожно-случайного "косяка" в отличии от ХР. Но вот появилась Windows-7 и я снова перешёл на "Винду" ибо она стала "на уровне".
А безопасность вообще лишней не бывает. Так что харэ над моей паранойей потешаться и давайте по теме.

Аватара пользователя

di_mok
Сообщения: 2203
Зарегистрирован: 27 авг 2016, 16:06
Решено: 15
Откуда: Арзамас
Благодарил (а): 573 раза
Поблагодарили: 339 раз

Gufw Firewall

Сообщение di_mok » 10 сен 2017, 21:06

Unat, предустановлен, но не включен. Я его сразу убиваю после установки.
Настоящая водка — это не пьянство, а ключ к своей совести, с нее-то и начинается настоящая мудрость. (c)

Аватара пользователя

Автор темы
Unat
Сообщения: 141
Зарегистрирован: 09 июн 2017, 12:41
Решено: 1
Благодарил (а): 50 раз
Поблагодарили: 3 раза

Gufw Firewall

Сообщение Unat » 10 сен 2017, 21:37

2. Тут https://help.ubuntu.com/community/Gufw/RU русским языком написано, что при "Отклонить" система запрещает входящий трафик на порт и сообщает запрашивающему об отклонении запроса". Скажите, это ЕДИНСТВЕННОЕ отличие опции "Отклонить" от "Запретить"? А на фига вообще оповещать кого то там об отклонении его запроса?
4. Что предпочтительней, "Запретить" или "Отклонить"?

И наконец "Общественное место" или "Дом"? Разница?

Аватара пользователя

darkfenix
Сообщения: 615
Зарегистрирован: 27 июн 2017, 10:36
Решено: 9
Благодарил (а): 40 раз
Поблагодарили: 98 раз

Gufw Firewall

Сообщение darkfenix » 11 сен 2017, 03:11

Не по теме
Unat писал(а): Windows-7
Безопасность win7 далека от безопасности линукс. А брэндмауэер встроенный в семерку убожество.

В сети
Аватара пользователя

Dja
Сообщения: 2757
Зарегистрирован: 27 авг 2016, 17:03
Решено: 11
Откуда: Воскресенск
Благодарил (а): 389 раз
Поблагодарили: 282 раза

Gufw Firewall

Сообщение Dja » 11 сен 2017, 07:16

Chocobo писал(а): прямо смотрящий в глобальную сеть хост с белым адресом - можно считать общественным вполне, если не за провайдерским натом конечн.
но при этом wan - общественное, lan - дом.
Unat писал(а): И наконец "Общественное место" или "Дом"? Разница?
Дом - доверяешь компам, находящимся в этой сети. Общественное место - не доверяешь компам, находящимся в данной сети.

Аватара пользователя

slant
Сообщения: 295
Зарегистрирован: 21 июн 2017, 15:09
Решено: 5
Поблагодарили: 107 раз

Gufw Firewall

Сообщение slant » 11 сен 2017, 09:40

Firewall в линуксе - это совсем не так, как в винде. Собственно существует один единственный firewall - iptables. Все эти программы которые часто называют фаерволами - на деле таковыми не являются, это GUI для настойки правил, а сами они ничего не фильтруют. Просто графическая обертка над iptables который вшит непосредственно в ядро системы. Соответственно, при всех внешних различиях - работает оно все примерно одинаково, просто правила фильтрации генерятся по клику кнопочки в соответствии с виденьем автора GUI "как должно быть". Это надо учитывать. По настоящему тонко настроить их можно через консоль (man iptables)

Что касается разницы между запретить или отклонить - это хорошо объясняется в документации к iptables, только надо еще перевод правильный к оригинальным названиям. Итак, у правила может быть три "цели", назначения. В скобках оригинальное название:

Разрешить (accept): Тут все просто - принять или выпустить пакет (в зависимости от направления).

Запретить (reject): заблокировать прохождение пакета с отправкой уведомления отправителю. Т.е. отправитель получит информацию о том что пакет дальше не прошел, или наш компьютер, как адресат, его не принимает.

Отклонить (drop): Пакет будет молча уничтожен. Никакого уведомления об этом отправитель не получит.

Обычно, в большинстве случаев, используют drop, т.к. уведомления - лишняя нагрузка на сеть, и даже некоторые виды атак есть использующие такое поведение.


Unborn
Сообщения: 781
Зарегистрирован: 03 сен 2016, 10:36
Решено: 15
Благодарил (а): 2 раза
Поблагодарили: 118 раз

Gufw Firewall

Сообщение Unborn » 11 сен 2017, 13:39

slant писал(а): Собственно существует один единственный firewall - iptables.
Это не фаервол, а утилита консольная. Фаервол - Netfilter.
Ещё есть webmin, как альтернатива гуи.

Аватара пользователя

Автор темы
Unat
Сообщения: 141
Зарегистрирован: 09 июн 2017, 12:41
Решено: 1
Благодарил (а): 50 раз
Поблагодарили: 3 раза

Gufw Firewall

Сообщение Unat » 12 сен 2017, 11:17

slant писал(а): Запретить (reject): заблокировать прохождение пакета с отправкой уведомления отправителю. Т.е. отправитель получит информацию о том что пакет дальше не прошел, или наш компьютер, как адресат, его не принимает.

Отклонить (drop): Пакет будет молча уничтожен. Никакого уведомления об этом отправитель не получит.
А чего тут https://help.ubuntu.com/community/Gufw/RU по другому написано:
2. Запретить: система запретит входящий трафик на порт.
3. Отклонить: система запретит входящий трафик на порт и сообщит запрашивающему об отклонении запроса.


Где то ошибка или я чего то не понял?

В сети
Аватара пользователя

Dja
Сообщения: 2757
Зарегистрирован: 27 авг 2016, 17:03
Решено: 11
Откуда: Воскресенск
Благодарил (а): 389 раз
Поблагодарили: 282 раза

Gufw Firewall

Сообщение Dja » 12 сен 2017, 11:44

Ну по логике отклонить как раз с ответом об отклонении.
Т.е. можно прислониться, прислонить. Отклонить - обратное прислонить. Т.е. оттолкнуть. Отвергнуть. А запретить - это расстрел за пересечение границы без выяснения обстоятельств.
Новичок? - ознакомься с правилами

В поисках истины :grabli:

В сети
Аватара пользователя

Chocobo
Сообщения: 5503
Зарегистрирован: 27 авг 2016, 19:57
Решено: 128
Откуда: НН
Благодарил (а): 411 раз
Поблагодарили: 1427 раз

Gufw Firewall

Сообщение Chocobo » 12 сен 2017, 11:55

Тут уже думаю больше к тому как перевести reject и drop
Unat, Но если уж есть такой живой интерес, примени по очереди оба правила на какой-нибудь из портов, и постучись сам - сравни ответы :smile:

Аватара пользователя

slant
Сообщения: 295
Зарегистрирован: 21 июн 2017, 15:09
Решено: 5
Поблагодарили: 107 раз

Gufw Firewall

Сообщение slant » 12 сен 2017, 13:41

В русских переводах с этими двумя вариантами всегда путаница. Собственно я не могу дать гарантий, что и у меня самого с переводом правильно относительно того что имелось в виду в апплете Gufw. Потому я и привел английский оригинал. Это как раз тот случай, где без него плохо, и лучше бы именно его в апплете и оставили, чем переводить.

Аватара пользователя

slant
Сообщения: 295
Зарегистрирован: 21 июн 2017, 15:09
Решено: 5
Поблагодарили: 107 раз

Gufw Firewall

Сообщение slant » 12 сен 2017, 13:55

Unborn писал(а): Это не фаервол, а утилита консольная. Фаервол - Netfilter.
Ещё есть webmin, как альтернатива гуи.
Зануда мод on:
Вот это до сих пор спорный вопрос, т.к. терминология размыта малость. Название Netfilter - однозначно только для той части, которая реализует часть сетевого стека протоколов взаимодействий с сетью самого ядра. А систему дополнительных таблиц и цепочек (для форвардинга например, или шейпинга) некоторые выделяют в отдельную подсистему. Потому когда вы говорите "iptables" - это будет именно о всем комплексе, реализующем полный функционал фаервола и форвардинга и т.д. Netfilter - однозначно входит в нее, но не все считают, что это полный реализованный функционал, а только основной. Однозначно верное название признаваемое всеми выглядит так: "Netfilter/iptables"
Зануда мод off. :)

Аватара пользователя

Автор темы
Unat
Сообщения: 141
Зарегистрирован: 09 июн 2017, 12:41
Решено: 1
Благодарил (а): 50 раз
Поблагодарили: 3 раза

Gufw Firewall

Сообщение Unat » 12 сен 2017, 14:25

Unat писал(а): Тут https://help.ubuntu.com/community/Gufw/RU русским языком написано, что при "Отклонить" система запрещает входящий трафик на порт и сообщает запрашивающему об отклонении запроса". Скажите,
1) это ЕДИНСТВЕННОЕ отличие опции "Отклонить" от "Запретить"?
2) А на фига вообще оповещать кого то там об отклонении его запроса?
???

В сети
Аватара пользователя

Chocobo
Сообщения: 5503
Зарегистрирован: 27 авг 2016, 19:57
Решено: 128
Откуда: НН
Благодарил (а): 411 раз
Поблагодарили: 1427 раз

Gufw Firewall

Сообщение Chocobo » 12 сен 2017, 15:11

Unat писал(а): это ЕДИНСТВЕННОЕ отличие опции "Отклонить" от "Запретить"?
Да, этого достаточно.
IN DENY со стороны входящего запроса

Код: Выделить всё

chocobo@lmde:~$ nc -v 192.168.0.106 222
nc: connect to 192.168.0.106 port 222 (tcp) failed: Connection timed out
IN REJECT

Код: Выделить всё

chocobo@lmde:~$ nc -v 192.168.0.106 222
nc: connect to 192.168.0.106 port 222 (tcp) failed: Connection refused
В первом случае коннект будет висеть до таймаута диктуемого tcp_syn_retries, во втором отобъет недоступность порта сразу.
Unat писал(а): А на фига вообще оповещать кого то там об отклонении его запроса?
В твоем сценарии использования - абсолютно незачем. Может быть полезно длянастройки своих подконтрольных сервисов в рабочих сетках.


Unborn
Сообщения: 781
Зарегистрирован: 03 сен 2016, 10:36
Решено: 15
Благодарил (а): 2 раза
Поблагодарили: 118 раз

Gufw Firewall

Сообщение Unborn » 12 сен 2017, 17:18

slant писал(а): Однозначно верное название признаваемое всеми выглядит так: "Netfilter/iptables"
Значит - iptables - утилита для настройки фаервола Netfiler.
Как в Груб параметры ядру передать.

Вернуться в «Работа с сетью»