Нужна ли стена огнеупорного кирпича дома ? (Есть ли польза от Firewall стандартной установки ?)

[Женя Подсыпальников]

Здравствуйте !

Не смог найти простого ответа:
есть ли польза от установленного, опосля в кофигурациях не тронутого, но запущенного дома Firewall ?

Есть ли опасность не стартовать его (пока назначение не понятно),
скачивая при том HTML и torrent файлы дальше ?

Читал, да всё про серверы какие-то... Не поможет ли кто ?

Спасибо !

[daedalus]

С дефолтным конфигом толку нету, там все разрешено в дефолте.

Сомнительна польза огнестены на домашнем ПК, если в наличии есть (а я уверен, что у 50% пользователей он есть) маршрутизатор (с Firewall) или NAS.

[daedalus]

Могу поделиться конфигом для стандартного домашнего пользователя (у меня NAS на базе Gentoo + Netgraph + IPtables), а именно - серфинг, торренты, удаленное управление через SSH (нестандартный порт), потоковое видео с IP-камеры и данные с домашней метеостанции.

[Женя Подсыпальников]

О ! Спасибо !

Поискал все слова, Вами употреблённые, на википедии -
нашёл из своего случая совпадение только по маршрутизатору

Мой адрес очень странный поэтому, наверное: 10.0.0.205,
причём последний байт меняется на каждом входе.

Это хорошо, как я смог понять...
Одно насторожило немножко: модус стены на маршрутизаторе "прозрачный", хм...

Поскольку иных совпадений терминов не было -
наверное, можно не строить стены вовсе...

Спасибо - ещё раз !

[daedalus]

Мой адрес очень странный поэтому, наверное: 10.0.0.205,
причём последний байт меняется на каждом входе.

Что же странного тут? Обычный адрес класса "A" (маска 255.0.0.0).
А то, что меняется так это, видимо. у вас DHCP.

[Sleeping Daemon]

Здравствуйте !

Не смог найти простого ответа:
есть ли польза от установленного, опосля в кофигурациях не тронутого, но запущенного дома Firewall ?

Есть ли опасность не стартовать его (пока назначение не понятно),
скачивая при том HTML и torrent файлы дальше ?

Читал, да всё про серверы какие-то... Не поможет ли кто ?

Спасибо !

Запускаете yast, заходите в настройки SuSEfirewall-а и ставите external на тот интерфейс, что в инет. И всё, радуетесь жизни.

[pelmen]

Могу поделиться конфигом для стандартного домашнего пользователя (у меня NAS на базе Gentoo + Netgraph + IPtables), а именно - серфинг, торренты, удаленное управление через SSH (нестандартный порт), потоковое видео с IP-камеры и данные с домашней метеостанции.

невыпендриться не мог

[Stauffenberg]

Нужна ли стена огнеупорного кирпича дома ?

Не, не нужна

[daedalus]

Могу поделиться конфигом для стандартного домашнего пользователя (у меня NAS на базе Gentoo + Netgraph + IPtables), а именно - серфинг, торренты, удаленное управление через SSH (нестандартный порт), потоковое видео с IP-камеры и данные с домашней метеостанции.

невыпендриться не мог

А где тут выпендривание? Я помогаю человеку, не вижу в этом выпенривания. У многих дома стоят IP-камеры (в частных домах по крайней мере точно) и метеостанции, нет ничего постыдного в том, чтобы вещать данные с них в Интернет.

[pelmen]

А где тут выпендривание? Я помогаю человеку, не вижу в этом выпенривания. У многих дома стоят IP-камеры (в частных домах по крайней мере точно) и метеостанции, нет ничего постыдного в том, чтобы вещать данные с них в Интернет.

продолжаешь? Ну продолжай. Это прям по теме. Автор же явно указал, что у него дома метеостанция и ip-камера. У многих стоят метеостанции дома?

[eddy]

Не представляю, как можно жить без firewall'а. У меня разрешены лишь те порты, которые реально используются. А еще iptables используется для nat'а.

[Женя Подсыпальников]

Примерно ясно, спасибо Всем !

Оказывается, стандартная установка не была уж и совсем пустой -
без-/проволочные интерфейсы сразу были установлены во "внешние".

Попробую узнать теперь, какие я порты использую...

(а если их все запереть, Иксовой автопросьбы сбросить открываемый - наверное, не будет ?)

[drBatty]

есть ли польза от установленного, опосля в кофигурациях не тронутого, но запущенного дома Firewall ?

для вас - нет. Причина в том, что у вас нет IP адреса. этот ваш 10.0.0/24 является внутренним адресом вашего провайдера, и недоступен снаружи. Когда и если вы купите внешний, то смысл от firewall'а будет - что-бы не пускать чужих в свою сеть.

[Женя Подсыпальников]

есть ли польза от установленного, опосля в кофигурациях не тронутого, но запущенного дома Firewall ?

для вас - нет. Причина в том, что у вас нет IP адреса. этот ваш 10.0.0/24 является внутренним адресом вашего провайдера, и недоступен снаружи. Когда и если вы купите внешний, то смысл от firewall'а будет - что-бы не пускать чужих в свою сеть.

Очень логично, спасибо !

Создалось устойчивое впечатление,
что стена кроме запоров на уровне некоторого внешнего адреса -
полезных (NAS'у у меня тоже нема) функций не предлагает. Хорошо знать

[drBatty]

Создалось устойчивое впечатление,
что стена кроме запоров на уровне некоторого внешнего адреса -
полезных (NAS'у у меня тоже нема) функций не предлагает. Хорошо знать

поймите простую вещь: стена из SUSE - это просто набор правил для встроенной стены в Linux. Какие там у вас есть правила в SUSE - меня мало волнует, ибо я знаю адрес, по которому русским языком рассказано, как делать ЛЮБЫЕ правила.

[Женя Подсыпальников]

OK, буду иметь в виду...

(Не знаете ли:
- означает ли незапуск стены (SuSEfirewall) также и незапуск встроенности ?
- являются ли вызовы iptables длительными расходами RAM или они лишь "кратко допинывают" форму встроенного и всегда "тикающего в Linux" (в ядре ?) ?
- т.е. теряются ресурсы ли производительность после вызовов iptables ?)

[drBatty]

- означает ли незапуск стены (SuSEfirewall) также и незапуск встроенности ?

встроенная стена _всегда_ работает. Это часть ядра. (правда можно пересобрать ядро без неё). Но по умолчанию там разрешено всё для всех.

- являются ли вызовы iptables длительными расходами RAM или они лишь "кратко допинывают" форму встроенного и всегда "тикающего в Linux" (в ядре ?) ?

iptables - просто интерфейс, утилита, которая меняет внутренние параметры ядра. Правда, если параметров ОЧЕНЬ много, то само ядро будет много жрать (потому на один бытовой роутер нельзя посадить Over9000 компьютеров).

- т.е. теряются ресурсы ли производительность после вызовов iptables ?

да. Если вы крупный интернет-провайдер, и у вас 100500 клиентов, со своими индивидуальными правилами. Если ваших клиентов несколько тысяч, то старого PentiumIII вам хватит.

[Bizdelnick]

для вас - нет. Причина в том, что у вас нет IP адреса. этот ваш 10.0.0/24 является внутренним адресом вашего провайдера, и недоступен снаружи.

Зато доступен из сети провайдера. Которая может быть и не 10.0.0.0/24, а 10.0.0.0/8, ТС ведь маску не указал.

[drBatty]

Зато доступен из сети провайдера.

не факт что доступен, и не факт что из всей сети.

Которая может быть и не 10.0.0.0/24, а 10.0.0.0/8, ТС ведь маску не указал.

за то написал:

Мой адрес очень странный поэтому, наверное: 10.0.0.205,
причём последний байт меняется на каждом входе.

ЗЫЖ вы таки считаете, что firewall ТСу нужен?

[Bizdelnick]

вы таки считаете, что firewall ТСу нужен?

Понятия не имею. Исходных данных маловато. Хотя бы ss -tunlp глянуть для начала.

[Женя Подсыпальников]

Добрая утилита, спасибо, а то я не знал где и глядеть...
Попробую позже запустить все процессы, кои явно пользую, а потом её.

[UTiM]

Не смог найти простого ответа:
есть ли польза от установленного, опосля в кофигурациях не тронутого, но запущенного дома Firewall ?

Если ваш компьютор не является шлюзом для других устройств, то разницы при запущеном и остановленном фаерволе вы не почувствуете - так как весь исходящий трафик с него (по умолчанию) и так разрешен (в отличие от "шлюзуемых" устройств - если бы они были). А вот со входящим (инициируемым не вами - как ответы на запросы, а со стороны) трафиком все сложнее. По умолчанию фаервол его "рубит" - то есть осуществляет защиту вашей машины от хакерских атак. В случае если вы смотрите непосредственно в недружественную сеть и нет необходимости сознательно открывать доступ к определенным службам на своей машине - это есть правильный подход. Если сеть внутренняя (например домашняя, находящаяся за роутером) то включенный фаервол может потребовать тонкой настройки разрешений для некоторых "Plug and play" служб такой сети - так что, иногда проще его отключить (опять -же - если вы уверенны в безопастности и защищенности своей внутренней сети)

[NickLion]

Хотя бы ss -tunlp глянуть для начала.

И вправду интересная утилита. Я обычно netstat использовал. Смотрю тут даже флаги похожи. Надо будет посмотреть внимательнее в чём преимущества ss.

[Bizdelnick]

И вправду интересная утилита. Я обычно netstat использовал.

Уже не помню, где мне попалась рекомендация вместо устаревшего netstat использовать ss. Определённо в документации какого-то дистрибутива. А может, на редхатовских курсах говорили.

[Женя Подсыпальников]

Хм... по-моему, ничего экстравагантного...

Код: Выделить всё

(wall on, without rules, eth0=eth1=external)# ss -tunlp
Netid  State      Recv-Q Send-Q     Local Address:Port       Peer Address:Port
udp    UNCONN     0      0                      *:68                    *:*      users:(("dhclient",1180,6))
udp    UNCONN     0      0                      *:631                   *:*      users:(("cupsd",1192,5),("systemd",1,29))
udp    UNCONN     0      0                      *:27321                 *:*      users:(("dhclient",1180,20))
udp    UNCONN     0      0                      *:51413                 *:*      users:(("transmission-gt",2199,18))
udp    UNCONN     0      0                      *:5353                  *:*      users:(("avahi-daemon",472,11))
udp    UNCONN     0      0                      *:46466                 *:*      users:(("avahi-daemon",472,13))
udp    UNCONN     0      0                      *:37910                 *:*      users:(("transmission-gt",2199,15))
udp    UNCONN     0      0                     :::54310                :::*      users:(("avahi-daemon",472,14))
udp    UNCONN     0      0                     :::5353                 :::*      users:(("avahi-daemon",472,12))
udp    UNCONN     0      0                     :::15757                :::*      users:(("dhclient",1180,21))
tcp    LISTEN     0      128                   :::59763                :::*      users:(("gnome-session",1009,7))
tcp    LISTEN     0      128                   :::51413                :::*      users:(("transmission-gt",2199,17))
tcp    LISTEN     0      128                    *:51413                 *:*      users:(("transmission-gt",2199,16))
tcp    LISTEN     0      128            127.0.0.1:631                   *:*      users:(("cupsd",1192,10))
tcp    LISTEN     0      128                   :::631                  :::*      users:(("cupsd",1192,4),("systemd",1,18))
tcp    LISTEN     0      100            127.0.0.1:25                    *:*      users:(("master",870,12))
tcp    LISTEN     0      128                    *:59775                 *:*      users:(("gnome-session",1009,8))

ping google.com
PING google.com (173.194.39.168) 56(84) bytes of data.
64 bytes from bud02s04-in-f8.1e100.net (173.194.39.168): icmp_seq=1 ttl=56 time=70.6 ms

[Bizdelnick]

Ну вот cups'у, например, совершенно не обязательно торчать наружу.Для чего там avahi - чёрт его знает, но тоже прикрыть бы неплохо. Для transmission порт надо было бы открыть, но поскольку Вы за провайдерским NAT'ом, от этого мало что изменится.

[Женя Подсыпальников]

ОК, спасибо большое, прикрою или удалю вовсе !

[drBatty]

Женя Подсыпальни...
ИМХО вам надо ВСЕ порты на вход закрыть. Т.к. вы за NAT'ом, то это ничего не изменит. Разве что вы внутренний FTP(или другой сервер для соседей по сети) поднять решите. Если купите белый IP, есть смысл открыть torren, качать/раздавать будет лучше (особенно раздавать. Потому-что вас будет проще найти).

[Женя Подсыпальников]

Вот, прибрался немножко, от эти и прикрою:

Код: Выделить всё

# ss -tunlp
Netid  State      Recv-Q Send-Q     Local Address:Port       Peer Address:Port
udp    UNCONN     0      0                      *:68                    *:*      users:(("dhclient",4820,6))
udp    UNCONN     0      0                      *:60020                 *:*      users:(("dhclient",4820,20))
udp    UNCONN     0      0                     :::25486                :::*      users:(("dhclient",4820,21))
tcp    LISTEN     0      128                    *:57420                 *:*      users:(("gnome-session",5351,8))
tcp    LISTEN     0      128                   :::55588                :::*      users:(("gnome-session",5351,7))

А мне веб-интерфейс маршрутизатора, кстати,
предлагает опцию внешнего адреса...

Только я её не выбираю.
А зачем ? - больше запираться придётся...

[liaonau]

Нужен для совмещения жадности и лени ☺.
Кэширую интернет (squid) и режу рекламу (privoxy) без настройки прокси-сервера на клиентах

Код: Выделить всё

/sbin/iptables -t nat -A OUTPUT -m tcp -p tcp -o ${IFACE} --dport 80 \
                -m owner ! --uid-owner ${SQUID_UID}   \
                -m owner ! --uid-owner ${PRIVOXY_UID} \
                -j REDIRECT --to-ports ${SQUID_PORT}

Больше никаких полезных действий для файрвола не придумал.