web-dev-qa-db-ja.com

Debian:どのファイアウォール?

サーバーにファイアウォールをインストールする必要があります(Xサーバーなし)。それはdebianレニーです。可能であれば、iptablesの使用は避けたいです。ファイアウォールをインストール/構成する簡単な方法はありますか?

10
fego

最初に、ファイアウォールはサーバーを保護するための最後のステップであるべきです。不要なソフトウェアとサービスをすべて削除し、システムを最新の利用可能なセキュリティパッチで更新し、構成ファイルを確認します。

なぜiptablesを避けたいのですか?

「私は初心者だから」は言い訳にはなりません。 「すべてが安全なワンクリック」ファイアウォールは存在せず、ソフトウェア製品がそのようなスローガンを使用している場合、それはおそらく単なる蛇のようなソフトウェアである可能性があります。

ネットワーキングの基礎知識がない場合は、ファイアウォールを設定するためにこれを学ぶ必要があります。 :-)

自分でiptableルールを作成したくない場合は、2つのオプションがあります。

  • ネットで見つかった既存のスクリプトをカスタマイズする
  • gUIツールを使用して自分でルールを作成する

iptablesは、カーネルのネットワーク層へのインターフェースです。 Linuxのほとんどすべてのソリューションはそれに依存します。

ここ一部 コメント付き スクリプト/チュートリアルです。 google search を使用すると、簡単に詳細を見つけることができます。

Iptableルールの作成に使用できるGUIツールのリストは次のとおりです。

Linuxサーバーとセキュリティに関するすばらしい本は "Building Secure Servers with Linux" from O'Reillyです。

「ハード」な言葉に落胆して申し訳ありませんが、インターネット上のサーバーはおもちゃではなく、あなたはこれに対していくらか責任があります。

14
echox

fw を試してみてください。 Ubuntu Server用に作成されましたが、Debianでも利用できると思います。 ([〜#〜] update [〜#〜]:残念ながら、それはsqueezeとsidでのみ使用できるようです packages.debian.org ですが、それでも一見の価値があるかもしれません。)最終的に独自のiptableルールの作成に移行したいと思いますが、最初はufwが非常に使いやすく、移行が非常に簡単であることに気付きました。ここにいくつかのハイライトがあります:

  • 便利な構文:ufw allow 22またはufw allow sshは、デフォルトのポリシーがDENYの場合に、インバウンドsshトラフィックを許可するために必要なすべてです。

  • 簡単なロギング:ufw logging onはかなり妥当なロギングをオンにします。ロギングのいいところは、デフォルトでは特にうるさいサービス(ポート137は誰か?)を落とすことです。

  • 複雑なポリシーを実装する機能:私のホームマシンではufwを使用しており、現在かなり複雑なポリシーを実行しています。

  • 独自のiptableルールを追加する機能。常に独自のルールを追加できるため、デフォルトのインターフェースがメカニズムを提供していなくても、ほとんどすべてのポリシーをufwで実装できます。

  • 優れたドキュメント:man ufwは、問題を解決したり、質問に答えたりするために必要なすべてのものであることがよくあります。オフラインでファイアウォールを設定している場合に便利です。

これは「1つのボタンをクリックすれば安全です」というファイアウォールではありません。結局のところ、それが実際に行うことは、使いやすいルール作成構文、iptables-saveおよびiptables-restoreに関するいくつかの抽象化を提供し、初心者が知らないかもしれないいくつかのデフォルトのルールと実践をもたらします。

10
Steven D

shorewall ...で試してみてください。とても満足しています。必要なものを簡単に構成できると感じています。 (トラフィックシェーピング、NAT、DNATなどを含む)。

0
user1460

fireholパッケージをお勧めします。

0