Нужен ли файрвол на десктопе? (как считаете?)

[Voice]

Нет, соединение из вне не установить.
Но аське это и не нужно. Соединение устанавливаете Вы к серверу. И все.

[ANDRR]

Хоть, похоже интерес к теме упал, все равно выскажу свое мнение.
На простом десктопе (т. е. отсутствие включенных демонов типа http, ftp, SQl, telnet,ssh и так далее - ведь мы ведем речь о ДЕСКТОПЕ, т. е. пользовательской машинке для выхода в инет по своей необходимости, а не предоставлять изначально возвможность пользоваться другим юзьверям твоим компом), да еще НЕ НАХОДЯЩИМСЯ В ЗЛОБНОЙ ЛОКАЛКЕ мое мнение однозначно:
Фаирволл НЕ НУЖЕН. Вполне должно хватить варианта отключения лишних демонов плюс пересборка ядра под себя (особенно отключение IPv6. Кста, функции фильтрации пакетов можно встроить в ядро, по крайней мере до тех пор, пока не появиться сообщения, что в этой версии ядря есть уязвимость под эти настройки).

Вообщето, правильно сказал
bazemo Dec 10 2006, в 01:06
Сообщение #49
(см. ранее, цитировать не буду)

После этого паранаю можно гнать поганнойю метлою.

А если принять во внимание, что выход в инет периодический, а IP-адрес динамический, при всем при том коммерческой инфы на компе нет, то получается, что попробовав несколько раз "кулхацкер" должен просто потерять интерес к тебе ("овчинка выделки не стоит"), вокруг столько других компов с вендой и отработанными сплоитами...

А вообщето, фаирвол закрывает порты. Но чтобы что-то закрыть, вначале надо что-то открыть??? Или может я не прав в этом?

Единственное оправдание использование iptables, ИМХО, может быть фильтрация пакетов для уменьшения траффика и/или замены платных протоколов на бесплатные (если пров вдруг забыл учитывать какие-либо пакеты для тарификации).
Но это к паранойе отношения не имеет и касается в первую очередь юзеров GPRS (гораздо в меньшей степени, например, пользователей ADSL). -не та экономия, хотя, если верить национальной поговорке "Курочка по зернышку - весь двор в гвне" (сорки для особо утонченных)

[AWSVladimir]

Хоть, похоже интерес к теме упал, все равно выскажу свое мнение.

Ну ты и разошелся.

Хотя поддерживаю!

[drBatty]

Достаточно использовать парсеры логов или что-то в этом духе.

Посоветуйте пожалуйста какую-нибудь програмку/скрипт который парсит лог автоматом, и при обнаружении каких либо проблем отправляет по почте письмо(а лучше SMS-ку).

[ANDRR]

Ну ты и разошелся.

Хотя поддерживаю!

Просто начинают путать админы: сераер - десктоп...
Понятно, что это для них это далеко...
Но мне кажется, что уже перевалило за 50 % число подьзователей НЕ СЕРВЕРНОГО линуха!
А тут простой вопрос насчет десктопа возводят в ранг администрирования сервера (тьфу на них...)...
Вопрос про ДЕСКТОП!!!
Не флудите, плиз...

[ANDRR]

Достаточно использовать парсеры логов или что-то в этом духе.

Посоветуйте пожалуйста какую-нибудь програмку/скрипт который парсит лог автоматом, и при обнаружении каких либо проблем отправляет по почте письмо(а лучше SMS-ку).

Коли седня разошелся (тем более на радостях, что в СМАРТЕ опять инет заработал):
В Мандрива Контрол Центр есть много настроек администрирования...
И насчет многих проблем (кстати, КАКИХ ПРОБЛЕМ????) можно настроить уведомления...

Ты только определись, что ты считаешь "проблемой" ???
Даьше можно всегда твою "проблему" выцепить, отделить, сделать все, что ты хочешь... Хоть в мобилу (постоянно подключеную) зафигучить SMS, а хоть всесь лог...

[sspphheerraa]

Народ,
Нужен ли файервол на ноутбуке?
ноут часто работает с wi-fi и сетевой...
Я так понимаю его надо приравнивать к десктопу?

[Flaming]

Нужен. Особенно, если у провайдера дорогой трафик - чтобы не попасть на него.

[mannequin]

В общем всем кто боится правил iptables как огня (мой случай), хочу заметить - есть удобные утилиты для настройки: KMyFirewall, Firestarter, Shorewall (хотя с ними со всеми свои косяки бывают).

Так что если уж на десктопе никуда без фаервола, то не забывайте, что его настройку можно сделать удобной

[Flaming]

KMyFirewall,

Эту штукенцию пробовал. Не понравилась, мягко говоря... Удобнее через скрипты.

[Bluetooth]

А вообщето, фаирвол закрывает порты. Но чтобы что-то закрыть, вначале надо что-то открыть??? Или может я не прав в этом?

прав, но ведь после инсталляции в системе дофига всего открыто(по крайней мере у меня так оказалось )

[mark]

Bluetooth, ну это смотря, что ставишь ))))

[parovoZZ]

А я вот поставил Wi-Fi с роутером. Раньше мусора лезло на комп - мама мия)))). Причём я не понимаю, как до меня может добраться пакет с совершенно левым ip?
Теперь всё чистенько. Изредка заблудшие пакеты просятся на порт имуля. Но они фаером режутся. Лень разбиратся почему.
Вопрос. В сетке мой комп и сеструхин с виндой. Надо ли в линухе фаер поднимать?

[Bluetooth]

Bluetooth, ну это смотря, что ставишь ))))

согласен
но я думаю что большинство ставит то, где это все хозяйство открыто

[IvAnZ]

касаемо отрубить iptables с правилами по умолчанию, то imho гемора меньше становится на порядок. Если есть внешний постоянный ip он может быть и нужен для подстраховки, а за маскарадом если сидеть или за роутером, то смысла не вижу.

[Goodvin]

SENDMAIL
Можно вырубить, не знаю как в мандриве на десктопе, но в Федоре на серверах рано или поздно кончается место, т.к. забивается папка /var/spool/clientmqueue с неотправленной почтой (?), и тереть эту папку будет очень трудно (миллионы писем по килобайту).
Лечение: удаляем /var/spool/clientmqueue и делаем ссылку с таким-же названием на /dev/null

Это примерно как лечить вросший ноготь на пальце ампутацией ноги до колена.
Не проще ли нормально настроить систему, чтобы не создавалось этих миллионов ненужных писем на отправку ?

Часто не проще. Работает и пусть работает, а ковырять и отлаживать часто может быть очень и очень долго. И ради чего? Ради того чтоб письма, даже не с ошибками, а с предупреждениями, не слались

Не надо ничего "ковырять и отлаживать". Надо просто взять и настроить.
Нормальным штатным способом, предусмотренным в дистрибутиве.

А NTP больше не используется для "раздачи" точного времени другим машинам ?
Ну а последнее вообще за гранью разумного.

а разве этот демон не синхронизируется и не получает время сам?

Синхронизируется и получает.
И делает много чего другого.
Вы к чему это спрашиваете ?

касаемо отрубить iptables с правилами по умолчанию, то imho гемора меньше становится на порядок. Если есть внешний постоянный ip он может быть и нужен для подстраховки, а за маскарадом если сидеть или за роутером, то смысла не вижу.

Что значит "отрубить iptables" ?
Как Вы себе это представляете ?
Здесь идёт речь о слежбах/сервисах - Вы под словом "iptables" какой сервис/службу подразумеваете ?

[drBatty]

касаемо отрубить iptables с правилами по умолчанию, то imho гемора меньше становится на порядок.

Что значит "отрубить iptables" ?

видимо нужно подропать все цепочки
тог да да, гемора не будет вообще...

[SinClaus]

Есть замечание по поводу iptables/shorewall:
1. Пока в shorewall нет возможности добавлять доверенные/злобные хосты сетями (т.е. хх.хх.хх.хх/уу) он бесполезен, поэтому у меня отключен.
2. iptables необходим в следующих случаях:
а. Машина стоит минимум одним интерфейсом в Internet либо чужую сеть.
б. В сети присутствуют потенциальные злоумышленники либо есть опасность прорыва из внешней сети.
в. Есть специальные задачи, решаемые при помощи iptables, как-то перенаправление пакетов, блокирование приложений и т.д.

во всех остальных случаях iptables безразлична.
Дорогие drBatty и Goodvin, ваша ирония неуместна - в Мандриве (как, кстати и ваших линуксах) iptables стартует точно так же как простые демоны, и точно так же ее старт можно разрешить либо запретить.

[Goodvin]

во всех остальных случаях iptables безразлична.
Дорогие drBatty и Goodvin, ваша ирония неуместна - в Мандриве (как, кстати и ваших линуксах) iptables стартует точно так же как простые демоны, и точно так же ее старт можно разрешить либо запретить.

Вы серьёзно ? Вы в самом деле представляете себе iptables в виде системного сервиса/демона, который запускается, висит процессом в памяти и во время работы системы занимается фильтрацией пакетов, нагружая систему ?

Странно, как же так работают две дюжины моих линуксовых шлюзов, каждый из которых отделяет сеть предприятия от "дикого" интернета, занимается NAT-ом, пробросом портов и многими другими делами - ни на одном из них нет и никогда не было запущено "демона iptables" ?
Причём два из них работают как раз на Мандриве.

Рекомендую ознакомиться:
- http://ru.wikipedia.org/wiki/Iptables
- man iptables

Ну и заодно посмотрите что из себя вообще представляет в Мандриве этот "демон iptables", что там вообще запускается, из чего состоит и что оно делает.
Сильно удивитесь.

[drBatty]

1. Пока в shorewall нет возможности добавлять доверенные/злобные хосты сетями (т.е. хх.хх.хх.хх/уу) он бесполезен, поэтому у меня отключен.

разве такого нету? ну может в вашем GUI и нет...

Дорогие drBatty и Goodvin, ваша ирония неуместна - в Мандриве (как, кстати и ваших линуксах) iptables стартует точно так же как простые демоны, и точно так же ее старт можно разрешить либо запретить.

само управление пакетами встроено в ядро, и отключить его невозможно (ну разве что ядро переписать, и пересобрать). iptables это просто интерфейс управления, если вы его "выключите", то ваше ядро просто не будет ничего фильтровать (уж не знаю, как там у вас в мандриве по умолчанию). Да, у меня есть /etc/rc.d/rc.firewall, но это не демон, это просто текстовый файл с правилами, какие пакеты куда кидать. В мандриве несколько запутаннее, но смысл тот-же.

а. Машина стоит минимум одним интерфейсом в Internet либо чужую сеть.
б. В сети присутствуют потенциальные злоумышленники либо есть опасность прорыва из внешней сети.
в. Есть специальные задачи, решаемые при помощи iptables, как-то перенаправление пакетов, блокирование приложений и т.д.

• вот я и говорю: вырубите инет, и проблем не будет. Мы вообще о чём? О компах с инетом, или об отдельно стоящих компах и сетях из них без выхода в Сеть? Я думал мы про компы с выходом в инет.
• а когда это в сети не было злоумышленников?! и какой смысл вам говорить о безопасности, если у вас нет злоумышленников?
• дык как-бы больше утилитка iptables ничего и не умеет - если вам это не надо, то смысла конечно нету, пускай всё будет открыто! Лично мне эта вся фигня и нужна, что-бы разделить свою внутреннюю сеть, с внешней. Вы, снаружи, просто не увидите моей внутренней сети.

Под "отключением" вы видимо имеете ввиду набор правил по умолчанию:

• все порты на выход открыты, т.е., если мы посылаем пакет на любой порт где-то в Сети, то он уходит, причём мы слушаем какой-то случайный порт, что-бы получить ответ от сервера. Без препятствий. Тогда у нас прекрасно работают WWW, FTP и прочие чужие сервисы (мы можем смотреть веб и качать).
• все порты на вход закрыты, т.е. даже если какое-то приложение слушает порт, оно ничего не услышит (что хорошо, если это вредоносное ПО). Это не мешает серфингу и закачкам, но мешает p2p сетям (хотя они всё равно работают, хотя и хуже). Однако, вы не можете поставить свой http или FTP сервер (а это большинству и не надо).

Плохо, когда вы сами заблуждаетесь, но ещё хуже, когда вводите других в заблуждение...

[InterChaynik]

Нужен ли файрвол на десктопе? Я проголосовал "да".

[Flaming]

InterChaynik, и зачем же?

[InterChaynik]

InterChaynik, и зачем же?

А вот сперва вы мне ответьте: а разве не надо?

[drBatty]

А вот сперва вы мне ответьте: а разве не надо?

нет, это вы обоснуйте нужность чего-то, с т.з. стабильности, безопасности, надёжности, удобства и т.д. - чем меньше всяких хреновин - тем лучше. Так зачем ваш фаервол?..

[Goodvin]

InterChaynik, и зачем же?

А вот сперва вы мне ответьте: а разве не надо?

Это демагогия и передёргивание.
По умолчанию - нет никакого файрвола.
И он никому не нужен, пока не доказано/обосновано обратное.
Отсутствие какой-либо сущности/неодходимости этой сущности не требует доказательства.

Вот если Вы утверждаете, что эта сущность необходима - Вы и обязаны доказать это.
Это если простыми словами.

Если по науке - купите учебник формальной логики и почитайте.

[MMouXe]

Не нужен.

[Boboms]

Да, нужен. Всегда найдутся "умельцы" или сам чего "подкрутишь" с дуру.

ЗЫ: лучше одеть (!), хоть удовольствия меньше. Береженого Бог бережет.

[Bluetooth]

сам чего "подкрутишь" с дуру.

Что тут имеется ввиду?

[Boboms]

Какой-нить telnet и подобная лабудень.

[altwazar]

Даже придумать не могу, зачем он там может быть нужен.