# Newbie firewall

## Alpo Nestori

Firewall on paha rasti kun tulee suoraan Windows+Zonealarm maailmasta. Olisko kellään tietoa saitista missä olisi valmiit shorewall / iptables konfiguraatitiedostot, jossa olisi kaikki edonkeyt ja p2p:t konfiguroitu valmiiksi ja turva-asetukset kondiksessa?   :Cool: 

----------

## Flammie

Kotikäytössä pärjää usein riittävän hyvin sillä että konffaa porttikohtaisesti nuo sallinnat INPUT ketjuun, sitten kun ketjun kärkeen lisää kotiverkon ja itseavatut yhteydet sallituiksi niin siinäpä se jo on, itse asiassa fedorankin graafinen kilkutin (saisikohan sen portagestakin?) tekee sellaisen iptables-säännön. Ohjeet löytyy muistaakseni netfilterin sivuilta tai gentoon dokumenteista. Jotakuinkin niin jotta:

```

iptables -A INPUT -m state --state INVALID -j DROP 

iptables -A INPUT -s 127.0.0.0/255.0.0.0 -j ACCEPT 

iptables -A INPUT -s 10.0.0.0/255.255.255.0 -j ACCEPT 

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --dport ** -j ACCEPT

iptables -A INPUT -p tcp -m tcp --dport ** -j ACCEPT

...

iptables --policy INPUT DROP

```

missä noihin viimeisiin määritellään sitten dport **:een ne portit mitä auotaan. Ei se varmasti mitään parasta tietoturvaa takaa mutta ehkä jotain samaa luokkaa mitä joku ZA:kin.

----------

## Mikessu

 *Alpo Nestori wrote:*   

> Firewall on paha rasti kun tulee suoraan Windows+Zonealarm maailmasta. Olisko kellään tietoa saitista missä olisi valmiit shorewall / iptables konfiguraatitiedostot, jossa olisi kaikki edonkeyt ja p2p:t konfiguroitu valmiiksi ja turva-asetukset kondiksessa?  

 

Mitenkäs olisi sitten tuo firestarter? En ole itse kokeillut mutta tietääkseni se on joku helppo tapa tehdä palomuurisäännöt.

http://firestarter.sourceforge.net/

----------

## Hartza

Itse ajattelin kokeilla tuota http://www.fwbuilder.org/

----------

## Icer

 *Hartza wrote:*   

> Itse ajattelin kokeilla tuota http://www.fwbuilder.org/

 

Tää näyttää lupaavalta... oiskohan portagessaki.

Edit:No sieltähän se löyty... mitähän kaikkee tossa tarvii. No kaippa se selviää.

Edit2: Postatkaa kokemuksia noista tuliseinistä.

----------

## hanta

minä olen tavallaan tykästynyt softaaqn nimeltä firehol (löytyy myös portagesta). se on jotain iptablesin ja GUI-konffaussoftien väliltä. säännöt kirjoitetaan hyvin yksinkertaisella notaatiolla hireholin konffiin ja firehol laitetaan käynnistymään käynnistyksen yhteydessä. säännöt ovat siistejä ja selkeitä.

kokeilin kyllä joskus jotain firestartereita ja fwbuildereita, mutta minusta tuntui, että niiden kanssa sääntöihinkin tuli turhaa bloattia. voi tuo toki olla vain kuvitteluakin, pääasia kai on, että käyttäjä on itse tyytyväinen.

jos puolestaan haluaa ymmärtää hitusen iptablesin säännöistä ja konffaamisesta, niin eräs Daniel Robbins on kirjoittanut Intelin sivuille (mielestäni) melkoisen hyvän kaksiosaisen johdannon aiheeseen.

Designing Flexible and Secure Firewalls, Part I :

http://www.intel.com/cd/ids/developer/asmo-na/eng/technologies/security/20552.htm

Stateful iptables Firewalls: Part 2 of 2:

http://www.intel.com/cd/ids/developer/asmo-na/eng/technologies/security/20555.htm

ko. sällin muitakin juttuja on aika runsaasti, niin Intelin kuin IBM:nkin saiteilla. haku nimellä Robbins tuottaa molemmissa melkoisesti osumia.

----------

## wilho

Voisikos joku selittää, onko yhdellä koneella mitään hyötyä iptablesin käytöstä? Tuntuu vaan, että moni joka näitä palomuureja pystyttelee vaikka ei omaa lähiverkkoa omaa... Jos ei ole palveluja kuuntelemassa, ei niitä voi exploitata - vai(?), ja eihän gentoossa kai ole yhtään palvelua kuuntelemassa oletuksena?

----------

## Flammie

 *wilho wrote:*   

> Voisikos joku selittää, onko yhdellä koneella mitään hyötyä iptablesin käytöstä? Tuntuu vaan, että moni joka näitä palomuureja pystyttelee vaikka ei omaa lähiverkkoa omaa... Jos ei ole palveluja kuuntelemassa, ei niitä voi exploitata - vai(?), ja eihän gentoossa kai ole yhtään palvelua kuuntelemassa oletuksena?

 

Gentoossahan on kuuntelemassa ne palvelut mitkä asentaa, tosin oletuksena ei mitään juurikaan kun kaikki palvelut käynnistetään /etc/init.d/-hakemistosta joko käsin tai sitten lisäämällä ne jollekin runlevelille. Jotkin monet käyttöohjelmat kyllä sinänsä toimivat jo palvelin-asiakas-periaatteella (X esimerkiksi), mutta niissäkin taitaa olla sen verran järkevät lähtöasetukset ettei ongelmia ole (tiedossa tällä hetkellä). 

Tietysti pahimmat exploitit ovat sitä luokkaa ettei tarvitse kuin saada ohjelma kuulemaan jonkinlainen väännetty kättelykutsu niin tulee jo ongelmia, tai varmaan joskus on ICMP:llä työnnetyllä tauhkallakin ongelmaa aiheutettu. Aika paljon menee kyllä paranoiankin piikkiin palomuurien kanssa.

----------

## Diezel

Toisaalta saa tänäpäivänä melkein ilmaiseksi kotikäyttöön tarkoitettuja palomuureja. Linksys esim. maksaa 80 euron pintaan. Ei paha hinta palomuurille ja 5 porttiselle kytkimelle. Tämä siis jos omistaa ulkoisen DSL modeemin.

Shorewall on myös varteenotettava muuri, voi olla hieman vaikea aloittelialle mutta toisaalta dokumentaatio on todella hyvä.

----------

## Alpo Nestori

kmyfirewall on mielestäni ehdottomasti helpoin. Laittaa kerneliin vaan kaikki iptables hässäkät moduleiksi ja pari muuta juttua:

Networking options

	[*] Network packet filtering (replaces ipchains)

	[*]   IP: TCP syncookie support (disabled per default)

	IP: Netfilter Configuration  ---> ja täältä laittaa kaiken moduleiksi. [M]

Emergettaa kmyfirewallin.  Sitten vain kmyfirewall päälle : file -> new ja sitten valitsee wizardin. Hiiri "nextin" päälle ja painelee naps, naps, naps, naps, naps, ja lopuksi finish  :Razz:  Ohjelma lisää scriptin automaattisesti default runvelelille ja osaa ottaa huomioon Gentoon omat scriptien sijainnit jne. Hyvä käyttöliittymä ja ei tuo mukaan turhaa gnome roinaa kuten fwbuilder/firestarter.

----------

