# [SOLVED]Kto potrzebuje Iptables?

## Pryka

Dawno nie używałem Iptables(kilka lat temu na Ubuntu i Debianie) i chciałem się zapytać was szanowni koledzy i może koleżanki, jak wiele osób z was używa ów programu? 

Myślicie, że jest on niezbędny niczym firewall na Windowsie?

Czy można sobie go odpuścić w środowisku linuksowym? 

Ostatnio nurtuje mnie to pytanie i sam nie potrafię sobie odpowiedzieć "czy jest mi on potrzebny?"... dlatego chciałbym zasięgnąć rady.Last edited by Pryka on Tue May 04, 2010 12:14 pm; edited 1 time in total

----------

## Bialy

Jest potrzebny, jak prawa ręka  :Wink: 

W logach mam pełno informacji nt. prób dostania się na rożnych portach.

W dzisiejszych czasach bez firewall'a i antywirusa się nie obejdzie  :Confused: 

----------

## no4b

Bez iptables jak bez ręki :)

----------

## nUmer_inaczej

jakilinux.org

Być może przedstawione rozwiązania do czegoś się przydadzą.

----------

## SlashBeast

Bez iptables to jak bez roota. Ostatnio tez uzywam ipfw dla linuksa i musze powiedziec, ze wymiata.

----------

## no4b

Wolałbym pf od ipfw :)

----------

## mbar

Shorewall FTW   :Exclamation: 

----------

## SlashBeast

 *no4b wrote:*   

> Wolałbym pf od ipfw 

 

Znajdz kogos kto to sportuje na linuksa, to Ci postawie 0.7.  :Wink: 

----------

## BeteNoire

Macie iptables na laptopach i pecetach?

----------

## SlashBeast

 *BeteNoire wrote:*   

> Macie iptables na laptopach i pecetach?

 

Ja mam generalnie na wszystkim, nawet na telefonie komorkowym.

----------

## Garrappachc

A ja w ogóle tego nie używam i żyję oO

----------

## BeteNoire

Ja też nie - nigdzie, ale pewnie SlashBeast ma serwer na swojej Nokii, więc musi filtrować ruch  :Smile: 

----------

## SlashBeast

 *BeteNoire wrote:*   

> Ja też nie - nigdzie, ale pewnie SlashBeast ma serwer na swojej Nokii, więc musi filtrować ruch 

 

Prawie, mam duzo aplikacji z android market i wielu chce zabronic dostepu do internetu, wiele aplikacji na sile ciagle cos chce pobrac z sieci a nie musi, aktualnie mam dosc drogi internet przez telefon wiec po prostu blokuje je, a ze na androidzie kazda aplikacja pracuje z innego usera jest to dziecinnie proste.

----------

## Bialy

 *BeteNoire wrote:*   

> Ja też nie - nigdzie, ale pewnie SlashBeast ma serwer na swojej Nokii, więc musi filtrować ruch 

 

To według Ciebie:

kto ma serwer, ten musi go zabezpieczyć,

a ten kto ma zwykły komputer, to nie?

Z takim podejściem krzyż na drogę.

----------

## BeteNoire

Można też nie wychodzić z domu, żeby się nie zarazić grypą  :Smile: 

A nie jest wystarczającym zabezpieczeniem brak odpalania zbędnych usług? A jeśli już w ogóle odpalać na laptopie/pececie (tylko po co?), które przeważnie nie są publicznymi komputerami, tylko w jakimś lanie (często domowym albo firmowym), to nie wystarczą wbudowane w te usługi zabezpieczenia?

----------

## SlashBeast

No ale chociaz connlimit i limitrate na wszystko, co nasluchuje publicznie to moim zdaniem must-have.

----------

## timor

 *no4b wrote:*   

> Bez iptables jak bez ręki 

 Bez iptables jak bez jądra... można bez niego żyć... ale co to za życie  :Very Happy: 

Przynajmniej minimalna konfiguracja jest potrzebna, wszędzie. Nawet w lanie wpadnie czasem komuś jakiś wirus i zacznie po portach kombinować...

----------

## Raku

 *timor wrote:*   

> Przynajmniej minimalna konfiguracja jest potrzebna, wszędzie. Nawet w lanie wpadnie czasem komuś jakiś wirus i zacznie po portach kombinować...

 

ale jak na interfejsy LAN/WAN wystawiasz wyłącznie usługi, które tam mają działać i mają być dostępne dla wszystkich?

po co blokować firewallem porty, na których i tak nic nie nasłuchuje?

bez firewalla da się spokojnie żyć - wystarczy umieć konfigurować usługi działające w systemie. Za koniecznością posiadania firewalla IMO przemawia jedynie argumentacja SlashBeasta (connlimit i connrate i tego typu moduły).

----------

## timor

 *Raku wrote:*   

> ale jak na interfejsy LAN/WAN wystawiasz wyłącznie usługi, które tam mają działać i mają być dostępne dla wszystkich?
> 
> po co blokować firewallem porty, na których i tak nic nie nasłuchuje?

 

Jeżeli działa tylko to co ma działać to nie ma zbytnio się czym przejmować... ale czasem zdarza się że coś testujesz, doinstalujesz i wisi to dostępne dla wszystkich. Akurat w gentoo zależności dają się ładnie wycinać, ale na pakietowych distro często zależności instalują różne śmieci i wystawiają na świat: jakieś bonjour itp... wtedy postawiony firewall zadba aby takie rzeczy nie pojawiły się dla wszystkich - chyba że sami dodamy wyjątek.

Lubię też wykorzystywać iptables w połączeniu z fail2ban'em - na postfixie, ssh i czasem apache.

----------

