Автор статьи: EvA

Разумеется, ваш дистрибутив Ubuntu неплохо защищен стараниями разработчиков, включивших в ядро соответствующие модули, независимо от того, расчитан дистрибутив на сервер либо на рабочую станцию.

Причина большинства взломов компьютеров с установленной ОС Linux - неправильно настроенные сервисы. Что делать? Настроить файрвол!
Для управления файрволом, в современных ядрах (ветки 2.4 и 2.6) используется утилита iptables. Настроить ее можно вруную, из командной строки, что повергает новиков в полное уныние.

Но как гласит веб-сайт Firestarter: "Firestarter - это визуальная программа настройки файрвола с открытым кодом". Сразу уточню, что Firestarter - это графическая оболочка для iptables, которая упрощает настройку файрвола для рабочих станций и ноутбуков. Конечно настройка с помощью графической утилиты менее тонка, но обычному пользователю, штатных возможностей Firestarter вполне хватит, вот они: Мастер настройки, монитор событий реального времени, настройка общего доступа к интернету, настройка DHCP-сервера и настройка внешних и внутренних политик.

• Установка
• Настройка
• Просмотр событий
• Разрешение доступа
• Эпилог

Установка

Откройте терминал и введите команду которая установит Firestarter в вашу систему:

sudo apt-get install firestarter

Возможно APT потребует установки дополнительного пакета dhcp3-server, который будет использоваться на шлюзе для предоставления службы DHCP.

Настройка

После завершения установки, выберите в меню "Система" -> "Администрирование" -> "Firestarter".

Смело жмем кнопку "Далее"

Здесь будет приведен список найденных сетевых устройств, у меня выбрано Ethernet device (eth0).

Флажок " Включать межсетевой экран при дозвоне" предлагает запуск файрвола при использовании соединения dial-up.

Флажок "IP адреса получаются по DHCP" - предполагает, что IP-адрес будет получен динамически от DHCP-сервера Интернет-провайдера.

Диалоговое окно "Internet Connection Sharing" позволяет настроить общий доступ к Интернет, используя систему в качестве шлюза. Если у вас есть второе сетевое устройство, можно будет указать, что оно обращено к внутренней сети. Так же, здесь можно включить или выключить DHCP-сервер в локальной сети.

Последнее диалоговое окно "Запустить фаервол сейчас" ("Start firewall now"), позволяет сохранить указанные настройки с помощью кнопки "Сохранить" и запустить файрвол немедленно.

Это вид главного окна Status.

Внизу открыто окно в котором в реальном времени отображаются IP адреса хостов, которые работают с вашим сервером и с которыми работаете вы. Здесь же можно заблокировать фаервол нажатием: "Lock to firewall" или остановить: "Stop to firewall", что бы запустить потом.

Рекомендую сразу включить настройку "Minimize to tray on windows close" ("Минимизировать в лоток при закрытии окна") и "Enable tray icon" ("Включить иконку в трее").

Чтобы включить функцию минимизации, выберите "Edit" -> "Preferences", либо нажмите на кнопке: "Program preferences".

И выставьте флажки. После этого, нажатие на кнопке закрытия окна будет приводить не к завершению программы, а к минимизации ее в лоток.

В лотке появится значок, отображающий статус файрволла: запущен, остановлен или заперт. Запирание файрволла приводит к запрещению всех входящих и исходящих соединений.

Просмотр событий

Наиболее важная функция Firestarter - способность в реальном времени отображать происходящие сетевые события. Для просмотра событий выберите вкладку "Events" на странице статуса. По умолчанию показаны пять (время, порт, источник, протокол и служба) из 11 столбцов. Столбцы могут быть настроены в разделе "Show Column" пункта меню "Events". События раскрашены в разные цвета в зависимости от серьезности события.

Серые события безобидны (например, широковещательные пакеты).

Черные события - постоянные попытки подключения к случайному порту.

Красные события - возможные попытки обращения к закрытым службам.

Количество отображаемых событий может быть уменьшено с помощью настроек: "Skipping redundant entries" ("Пропускать повторяющиеся события") и "Skip entries where the destination is not the firewall" ("Пропускать записи, приемником которых является не файрвол").

Разрешение доступа

Окно Входящих политик. В окне можно настраивать контроль за входящим трафиком из Интернета к локальной сети до фаервола. По умолчанию ВСЕ ЗАПРЕЩЕНО - каждое разрешающее правило добавляет одну "дырку" в вашей безопасности.

Окно разделено на три поля (сверху вниз):

• Разрешения для хоста.
• Разрешения для портов или служб.
• Разрешение проброс (forward) портов или служб.

В окне на картинке установлены открытыми порты 80 - HTTP и 21-22 - FTP.

Для открытия/изменения/удаления, хоста/портов кликните в нужном поле.

И в открывшимся окошечке откорректируйте необходимые данные. На примере, указала добавление правила, которое открывает доступ из Интернет к 80 порту, т.е. к моему серверу Apache.

Абсолютно бесполезная функция, разумеется, если вы не намерены ограничивать свою свободу. Это окно Исходящих политик. Позволяет управлять контролем исходящего трафика в Интернет, машины на которой установлен межсетевой экран, а так же для любого LAN клиента. По умолчанию, внешняя политика является разрешительной. Это значит, что и вы, и любой клиент, подключенных к локальной сети имеют возможность быть в сети Интернет, читать электронную почту и т.д., без ограничений.

Но есть возможность создать "черный список". Окно так же имеет подразделение на три части. В первой верхней части можно запретить конкретный адрес или хост в интернете, например порносайт или несколько. В середине - запретить конкретный хост или ip адрес в локальной сети или несколько. В нижней части - запретить службу или порт.

Нажав радиокнопку: "Restrictive by default, whitelist traffic" - включаем вторичный режим для контроля исходящего трафика. Т. е. запрещаем для себя и локальной сети ВЕСЬ внешний трафик, и создаем "белый список".

В верхнем окне можем разрешить один адрес или хост в интернете. В среднем окне разрешить выход для отдельной машины в локальной сети. В нижнем окне разрешить работы отдельных портов или служб.

Вернувшись к главному окну - "Status" и перейдя: "Edit" -> "Preferences" -> "Policy" (проще нажать кнопку "Program preferences" и выбрать "Policy"), откроем окно:

Где можно выставить галочку "Apply policy changes immediately", что приведет к примению изменений правил сразу же.

Что бы быстро просмотреть все созданные правила, в терминале вводим следующую команду:

sudo iptables -L

Эпилог

Разумеется я не стала в этой статье освещать все детали, т.к. любой желающий сам способен их найти и применить для своих нужд.

Firestarter - графический интерфейс для простой настройки персонального файрвола или шлюза. Веб-сайт Firestarter содержит дополнительную информацию и текущую документацию, хотя разработка, судя по всему, приостановлена. Несмотря на это, список рассылки все еще действует, а сам Firestarter включают в современные GNU/Linux дистрибутивы.