iptables (актуальность на домашнем ПК)

[TWINc]

Опасно ли дома сидеть в интернете без настроенного IPTABLES?

[Shura]

не опаснее чем в винде без настроенного файервола.
У меня на домашнем компе уже больше полугода pf выключен - пока ничего опасного замечено не было.

[SashaAl]

не опаснее чем в винде без настроенного файервола.

Эт точно, тем более, что вирей под винду гооораааааздооооо больше ... гы ..
........
Логи просматривай чаше и будет понятно нужено ли заботится о настройке айпитаблиц

[elide]

вот как раз дома - опасно.
на работе скорее всего админы думают о безопасности, во всяком случае - должны.
скорее всего на работе уже прикрыто все, а пользователи лазят из за ната и могут не заморачиваться с настройкой на местах.
а дома - сам себе админ, и если канал в инет быстрее чем дайлап, то надо думать об адекватной защите вида "закрыть любые подключения", т.к. домашняя машина в инет сервисы скорее всего не отдает...
это как минимум. дальше надо думать.

[Valerius]

Если для дома, то ставим guarddog делаем несколько движений мышью и получаем полностью сконфигуреный фаервол.

[Kuzja]

Если для дома, то ставим guarddog делаем несколько движений мышью и получаем полностью сконфигуреный фаервол.

Ну не полностью А так нормальная прога для тех, кто не хочет заморачиваться с iptables.

[Valerius]

Ну не полностью rolleyes.gif

↑

Ну закрыть/открыть любые порты + возможность указать разные правила для разных зон ДЛЯ ДОМА этого вполне достаточно.

[Данил]

Мне он вроде бы не нужен?
Т.к НИ одного запущенного сервиса.

[t.t]

Если для дома, то ставим guarddog делаем несколько движений мышью и получаем полностью сконфигуреный фаервол.

↑

Если знать, чего конфигурировать. А я этого не знаю, так мне помогла в своё время дока "iptables за 10 минут".

[Kuzja]

А вот и сама дока
t.t
спасибо за наводку

[TWINc]

За доку большое спасибо!!!

[rolano]

Если для дома, то ставим guarddog делаем несколько движений мышью и получаем полностью сконфигуреный фаервол.

Это типично виндовский подход. Спрашивается, на фига вам люди делали файервол с практически неограниченнымы возможностями (netfilter и iptables для его настройки)? ИМХО, ну уж точно не за тем, чтобы потом другие разработчики за вас "додумывали" и обеспечивали возможность "откиньтесь на спинку стула". Настройка файервола - сложная проблема, которую парой кликов мыши не решить (если не считать случая закрытия.открытия всех портов). Для тех, кто не хочет заморачиваться, лучше на Линукс не переходить - тут нету глупых мастеров и помощников по поиску ошибок. Нужно научиться читать логи, работать в командной строке. Не всегда интуитивно понятный интерфейс несет с собой надежность.
А файервол дома я бы советовал завести, если есть выделенное подключение или длинные сессии по диалапу. В противном случае тачка может превратиться в зомби.

[Cheh]

Это типично виндовский подход. Спрашивается, на фига вам люди делали файервол с практически неограниченнымы возможностями (netfilter и iptables для его настройки)? ИМХО, ну уж точно не за тем, чтобы потом другие разработчики за вас "додумывали" и обеспечивали возможность "откиньтесь на спинку стула". Настройка файервола - сложная проблема, которую парой кликов мыши не решить (если не считать случая закрытия.открытия всех портов). Для тех, кто не хочет заморачиваться, лучше на Линукс не переходить - тут нету глупых мастеров и помощников по поиску ошибок. Нужно научиться читать логи, работать в командной строке. Не всегда интуитивно понятный интерфейс несет с собой надежность.
А файервол дома я бы советовал завести, если есть выделенное подключение или длинные сессии по диалапу. В противном случае тачка может превратиться в зомби.

Совершенно не согласен!!!
Каждой проблеме, своё решение! А если постоянно копаться в конфигах, времени на жизнь не останется...

ЗЫ я думал такая точка зрения изжила себя пару лет назад, ан нет ,оказывается

[agent-mega]

Согласен с rolano. Файервол - не то место, чтобы с кривыми гуями тыкаться.

[Valerius]

Настройка файервола - сложная проблема, которую парой кликов мыши не решить (если не считать случая закрытия.открытия всех портов)

↑

Решить. Причём довольно легко и не только для случая откр/закр все порты. Guarddog делает block/perm/rej для любого порта причём раздельно in/out, tcp/udp и даже для разных ИПов/диапазонов тоже можно сделать раздельно. Даже если юзер не знает какой конкретно номер порта ему нужно открыть, в нём есть целый список типа icq, http, ping, squid и т.п. Для подавляющего большинства домашних юзеров этого достаточно и даже избыточно

Для тех, кто не хочет заморачиваться, лучше на Линукс не переходить - тут нету глупых мастеров и помощников по поиску ошибок.

↑

Ну да, ну да, Линукс только для крЮтых кулхацкеров с утра до вечера настраивающих свою систему потому как больше с этой самой системой делать наверно нечего
Кстати и мастера и помощники уже давно есть.

Нужно научиться читать логи, работать в командной строке.

↑

Кому это действительно нужно пусть учится, никто ж не мешает, но при этом пожалуйста не нужно пытаться всех остальных заставлять плясать под свою дудку, потому как это уже не по линуксовому получается - гдеж тогда свобода выбора? Ась? Нервно курит в сторонке?

Файервол - не то место, чтобы с кривыми гуями тыкаться.

↑

А если с ровными?

[Dionisy]

IpTables в Fedore Core 4 ставиться "по умлчанию" (мой товарищ узнал об этом,только тогда, когда возникли проблемы с SMB, а возникли они быстро)
Настрой по минимуму, а по мере возникновения проблем связанных с IpTables будешь их решать.
Это лучше, чем решать проблемы связанные с появлением незванного ПО в системе...

[rolano]

Уважаемый Valerius!

1. "Каждой проблеме, своё решение!" - согласен. Есть задача быстро настроить файервол - настраивайте. Если человеку хочется ГУЮ - ну что же, это его выбор. В конечном счете это его система, а не моя (у меня в Слакваре конфигурационных прослоек немного, да и теми пользуюсь редко). Просто не все в Линуксе можно настроить из "кедов" и "гномов".
2. "А если постоянно копаться в конфигах, времени на жизнь не останется..." - а если не копаться в конфигах и руководствах, то Линукс точно не для Вас. Попробуйте поставить что-нибудь из исходников, чтобы бинарники попали не в дефолтный каталог, а в нужный Вам, и тогда Вы меня поймете. ИМХО копание в конфигах стимулирует пользователя к изучению системы, к более полному ее пониманию. Линукс - система модульная. Можно поставить древний дистрибутив, а потом обновить его до "последнего слова техники". Очень хочется посмотреть, как вы будете обновлять свою ГУЮ из ГУИ.

[elide]

есть подозрение, что rolano думает, что он самый умный на этом форуме.... с чего бы это?

а если не копаться в конфигах и руководствах, то Линукс точно не для Вас

это уже позвольте мне решать, что для меня, а что не для меня. Линукс - ОС открытая, пользоваться можно каждому. Если кто-то будет мне говорить, что линукс не для меня - будет послан в /dev/null...

Спрашивается, на фига вам люди делали файервол с практически неограниченнымы возможностями (netfilter и iptables для его настройки)? ИМХО, ну уж точно не за тем, чтобы потом другие разработчики за вас "додумывали" и обеспечивали возможность "откиньтесь на спинку стула"

это исключительно твое мнение, и боюсь никто здесь его не разделяет. в среде разработчиков - скорее всего тоже. потому что разработчики того-же iptables вменяемые люди, а не фанатики. и они понимают, что для домашней машины, которая не предоставляет никаких сервисов наружу, и для корпоративного фаирвола, у которого списки правил доходят до нескольких тысяч строк, требования различны. и в первом случае, чтобы тупо закрыть все вообще без всякой логики, использование автоматических настройщиков более чем оправдано. во втором случае сервера админят высококвалифицированные админы. в первом - простой пользователь. и ему не нужно искать гемороя на свою задницу....

Попробуйте поставить что-нибудь из исходников, чтобы бинарники попали не в дефолтный каталог, а в нужный Вам, и тогда Вы меня поймете.

легко. я так постоянно софт ставлю. и что?

[rolano]

Уважаемый elide!
К слову о самых умных - нет, я не считаю себя самым умным. Я высказываю свое мнение, никому его не навязываю. Но и не надо отрицать, что умение работать из командной строки, читать руководства и править конфиги - атавизм, пережиток тяжелого прошлого.
Про геморой на задницу пользователя - это не пользователь ищет гемороя, а геморой его находит. Не от хорошей поди жизни люди стали задумываться над настройкой фаервола дома.

P.S. А вы софт прямо из-под графических оболочек ставите без использования консолей? Может, и графические инсталляторы на подавляющее большинство софта имеются?

[Warderer]

Но и не надо отрицать, что умение работать из командной строки, привычка читать руководства и умение править конфиги - атавизм, пережиток тяжелого прошлого.

Почему не надо отрицать? Отрицаю. То что проще сделать из консоли должно быть сделано в консоли.

[JaGoTerr]

Может, и графические инсталляторы на подавляющее большинство софта имеются?

Ага. Причём один на всех. То ли synaptic, то ли aptitude называется
(да простят меня дебианщики, не помню который из двух. Дебиан видел два вечера в жизни и снёс - не моё)

[chitatel]

Может, и графические инсталляторы на подавляющее большинство софта имеются?

Ага. Причём один на всех. То ли synaptic, то ли aptitude называется

А разве synaptic и уж тем более aptitude это "графические инсталляторы"? Интересно как. Каждый день открываю для себя новое. Не знал такого за ними, признаюсь...

Насчет iptables для дома и Debian в частности. Этот вопрос меня тоже интересовал. В Debian'e файрволл "по умолчанию", как я понял, не ставится. Так вот, для минимальной настройки для домашней машины и диалапа ничего такого осбенно сложного в консольном конфигурировании не обнаружил. Суть проста и понятна - все запретить, только нужное разрешить. Статей в сети по этому поводу достаточно. Надо прочитать, ПОДУМАТЬ, попробовать - и все получится.

Iptables достаточно, видимо, гибок, чтобы удовлетворить запросы как домашних, так и т.н. "корпоративных" пользователей. Т.е. файрволл может быть практически каким угодно, под ваши нужды, желания, капризы... Замечательно, что правила можно менять неоднократно, улучшая общую систему файрволлинга по мере роста опыта и знаний. И вот тут возникает вопрос графических конфигураторов. Против них ничего не имею. Если не хочется в это дело вникать - полный вперед! Но выражу сомнение в том, что с их помощью можно "понять суть". В этом деле консоль и набивание правил ручками - приносят несомненную пользу, т.е. не только позволяют защитить систему, но и в определенном аспекте глубже понять ее.

(да простят меня дебианщики, не помню который из двух. Дебиан видел два вечера в жизни и снёс - не моё)

Это он с тобой жить не захотел. Шутка

[rolano]

Уважаемый Warderer!
Вот и я так тоже считаю (может, в прошлый раз не совсем понятно написал). Неужели написать правила для iptables на домашней машине без дополнительных "прослоек" - большая проблема, решение которой тянет на диссертацию? Не, ну если человек не может без GUI - пусть пользует. ИМХО, написать 35-30 строк текста не так уж и сложно. Зачем ради них ставить дополнительное ПО?

2 JaGoTerr: это инсталлер от дистрибутивостроителя. А сами пакеты (в т.ч. исходники) имеют такие вещи?

[Cheh]

Уважаемый rolano, в этой фразе:"Каждой проблеме, своё решение!"(с которой вы почему-то согласились...) всё то, с чем вы упрямо пытаетесь спорить, смысл???
Честно скажу, мне лень разжевывать те протеворечия которые вы пишите, просто может стоит ещё раз, вдумчиво прочитать сей афаризм.

ЗЫ "Век живи - век учись, дураком помреш", это я к тому что всего на свете знать невозможно, да и не нужно, пожалуй...

[rolano]

"Век живи - век учись, дураком помрешь" - сильно, только не совсем в тему. Если не учиться можно не дожить до старости - обучение и приобретение индивидом необходимого опыта является залогом его успешной борьбы в условиях жесткой внутри- и междувидовой конкуренции. И никто не говорит о том, что нужно знать все. Я не призывал автора темы изучать для настройки файервола системные вызовы и программирование, а просто пытался показать, что есть стандартный инструмент, использование которого помимо собственно настройки файервола поможет ему глубже понять принципы его работы.

Что ж , спасибо за "науку" - впредь я не буду ничего советовать людям, задающим такие вопросы.

[Angel_13th]

ИМХО копание в конфигах стимулирует пользователя к изучению системы, к более полному ее пониманию. Линукс - система модульная. Можно поставить древний дистрибутив, а потом обновить его до "последнего слова техники". Очень хочется посмотреть, как вы будете обновлять свою ГУЮ из ГУИ.

Ну про твое имхо я вот что хотел сказать, тебе надо ты и изучай, если мне надо я изучу. А если моей девушке ваще по барабану как там устроен линукс, и если он у нее стоит, то она просто обязана его изучить? И про гую, я ваше всегда так обновляюсь. напимер пересобрал иксы в КДЕ, и прсто нажал Ctrl + Alt + BackSpace. И я уже в обновленых иксах, так же я делаю с KDE.

[Juliette]

Гм, а это, а какие мне порты открыть-закрыть и чего ещё неплохо бы сделать для домашней тачки (vpn), желательно в столбик по порядку, а то я на forums.gentoo.org кучу тем на эту тему прочитала - везде говорят, что вообще не надо, только почту проверять clamAV'ом, для друзей-виндузятников... ???

[rolano]

2 Angel
"И про гую, я ваше всегда так обновляюсь. напимер пересобрал иксы в КДЕ, и прсто нажал Ctrl + Alt + BackSpace." - а потом-то все равно в консоль попадаете?

[elide]

а потом-то все равно в консоль попадаете?

а потом kdm рестартует сессию...... учите мат. часть...

[Juliette]

мужики, ответьте на мой вопрос, плиз, или модеры закройте топик - к iptables он уже никакого отношения не имеет