Linux firewall web gui

Netfilter → iptables → UFW + GUI

Межсетевой экран / Сетевой экран (Firewall) — комплекс аппаратных или программных средств для осуществления контроля и фильтрации проходящих, через него, сетевых пакетов в соответствии с заданными правилами.

Расположение файрволла в сети:

Сетевые экраны часто называют фильтром, Файрволлом (от английского Firewall) , или Брандмауером (Brandmauer от немецкого Brand/Пожар и Mauer/Стена) .

Netfilter — межсетевой экран (сетевой экран) , встроенный в ядро Linux версий 2.4 и 2.6, предназначенный для защиты компьютерных сетей (система связи компьютеров и/или компьютерного оборудования) или отдельных узлов от несанкционированного доступа.

Защита осуществляется фильтрацией (блокировкой) пакетов не подходящих под определённые в конфигурации параметры. В системе используется «метод цепочки«, где » цепочкой » является список правил, а каждое правил может содержать критерии и действие или переход.

iptables — консольная утилита (приложение выполняющее узкий круг специфических задач) являющаяся стандартным интерфейсом для управления работой межсетевого экрана Netfilter.

Утилита позволяет создавать и изменять правила управляющие фильтрацией и перенаправлением пакетов (часто под словом iptables имеется в виду сам сетевой экран Netfilter) .

Uncomplicated Firewall / UFW (незамысловатый межсетевой экран. англ) — пользовательская консольная утилита для конфигурации и управления межсетевым экраном с помощью небольшого числа простых команд. Несмотря на простоту использования утилиты, для неё было создано несколько графических интерфейсов.

GUI for Uncomplicated Firewall / Gufw — интуитивно понятный и простой Python / GTK+ графический интерфейс для консольной утилиты UFW.

Gufw предназначается для лёгкого и интуитивно понятного управления сетевым экраном (управления настройками UFW) .

Gufw это персональный сетевой экран поддерживающий общие задачи, такие как разрешение или блокирование предварительно настроенных общих или отдельных портов, фильтрация по интерфейсу, удаление по номеру правила и пр.

Первоначально утилита была разработана для Ubuntu, автор Gufw Developers, но в дальнейшем была портирована для использования на других платформах.

UFW-Frontends — простая Python утилита, имеющая как GTK так и Qt графический интерфейс (GUI) , предназначенная для упрощения конфигурации и управления консольной утилитой UFW (из названия следует что это front-ends для UFW) .

Frontends / front-ends (фронт-энд) — в компьютерной терминологии это означает, часть программной системы непосредственно взаимодействующей с пользователем. Например по этой концепции взаимодействия, все графические файловые менеджеры являются » front-ends » к файловой системе компьютера.

Читайте также:  Linux mint как переустановить загрузчик

UFW-Frontends работает (взаимодействует) с iptables непосредственно как UFW , минуя кодовое дублирование (CLI / интерфейс командной строки), не имеет лишнего кода (в отличии от Gufw) и лишних команд (ufw-frontends —► iptables в отличии от Gufw —► CLI —► iptables) .

UFW-Frontends даёт возможность добавлять новые, корректировать, цепочку и удалять существующие правила (изменять цепочку правил) , включить и отключить поддержку IPv6 (новая версия IP-протокола) . Утилита таким образом не является » оболочкой для оболочки «, а для каждой операции непосредственно использует команды UFW и другие, (для обеспечения прямого доступа к возможностям iptables) . Для расширения функциональных возможностей утилита может быть расширена модулями (в том числе и сторонними) . Имеется возможность просмотра отчётов, а так же импорта и экспорта правил (правила являются простыми скриптами/сценариями, содержащими серию команд для ufw) .

Источник

Soft Gufw – графический интерфейс для настройки файервола (сетевого экрана) в Linux

30805

Т.е. на целевой машине имеется 998 закрытых порта. Закрытые — значит нет приложений, которые бы их прослушивали, использовали. Два порта открытые. И впечатляет время сканирование — полсекунды.

Ну и ещё парочка портов открыта:

139/tcp open netbios-ssn 445/tcp open microsoft-ds

Использование Gufw
По умолчанию брандмауэр отключен. Чтобы запустить Gufw, введите в терминале:

30806

Для начала разблокируем окно. Чтобы включить брандмауэр, просто нажмите кнопку Состояние и правила по умолчанию будут установлены. Deny (Запретить) для входящего трафика и Allow (Разрешить) для исходящего трафика.

30807

Давайте ещё раз просканируем нашу систему:

30808

Во-первых, сканирование длилось значительно дольше. А во-вторых, у нас опять две интересные строчки:

All 1000 scanned ports on 192.168.1.33 are filtered Nmap done: 1 IP address (1 host up) scanned in 21.62 seconds

Было опять просканировано 1000 портов и все они теперь фильтруются. Само сканирование заняло почти 22 секунды.

Вывод: файервол уже работает!

Добавление правил в файервол
Чтобы настроить брандмауэр, добавим правила. Просто щелкните кнопку Add (+), и появится новое окно. Для получения подробной информации посетите домашнюю страницу UFW. Правила могут формироваться для TCP и UDP портов. UFW имеет несколько предустановленных правил для конкретных программ/услуг, они убыстряют типичную настройку сетевого экрана.

  1. Разрешить: система позволит вход трафика для порта.
  2. Запретить: система запретит вход трафика для порта.
  3. Отклонить: система запретит вход трафика для порта и будет информировать систему связи, что он было отклонено.
  4. Ограничение: система запретит соединения, если IP-адрес пытался инициировать 6 или более соединений за последние 30 секунд.
Читайте также:  What is imagemagick linux

Использование предустановленных правил дает несколько вариантов для управления параметрами брандмауэра для распространённых программ и услуг.

30809

30810

Предустановленные правила не охватывают все возможные программы и услуги, дополнительные правила можно добавить во вкладке Простые.

Возьмём в качестве примера службу SSH – давайте просто представим на минуту, что отсутствует предустановленное правило для неё. Откроем для неё порт: вкладка Простые, выберем “Allow”, “In” “TCP”, “22” и нажмём кнопку Добавить.

30811

30812

Чтобы настроить доступ на основе определенного IP, используем вкладку Расширенные.

30813

Есть несколько настроек, доступных для установки в Gufw. Можно настроить в Изменить->Preferences

Здесь вы можете управлять ведением журнала для UFW и Gufw, создавать профили и установить общие предпочтения интерфейса. По умолчанию включено ведение журнала для UFW и отключено для Gufw.

ANDREY
31.07.2015 в 13:57
Довольно познавательно, но зачем файервол в Linux?

WEBWARE TEAM
31.07.2015 в 14:30
Почему-то ваш комментарий попал в спам…

  • Позволяет сводить на нет некоторые виды флуда (установкой надлежащих правил файервола) и другие виды DoS-атак (с помощью дополнительных программ и скриптов, которые сами добавляют правила в файервол) (актуально для защиты серверов)
  • Уведомляет о подозрительной деятельности, попытках зондирования
  • Можно контролировать доступ к различным службам: например, закрыть доступ к веб-серверу, SSH и прочему без остановки самих служб. Т.е. сервером на локалхосте можно пользоваться, а другие к нему подключиться не могут.
  • Фильтрация доступа к заведомо незащищенным службам.

ИВАН
19.02.2016 в 14:00
А как настроить белый список: запретить все входящие и исходящие подключения и разрешить выход в интернет только для Firefox, Центра приложений Ubuntu и как разрешить доступ для Samba в диапазоне IP-адресов с 192.168.0.1 по 192.168.0.254?

ИВАН
23.02.2016 в 19:27
И как разрешить входящие и исходящие подключения для qbittorrent только для определенного порта?
Неужели для Linux не существует хороших графических программ для настройки файервола?

XYZ
01.11.2016 в 12:26
Приветствую.
Настроил GUFW – все замечательно. Только при рестарте системы ufw – inactive. При запуске GUFW галочка выключена. Посоветуйте что делать? Спасибо!

Pirnazar

zxzmrxzxz

alfabuster

В целом неплохая статья. Познавательно. Но если вы арендуете сервер, то как правило в базовом администрировании уже входит панелька, таже бесплатная vesta, и файрвол уже предустановлен и можно порты закрывать через GUI. Поэтому это подойдет если полностью сам систему админишь либо для домашнего ПК.

Читайте также:  Linux grep двоичный файл совпадает

Pushy

В начале статьи должно красоваться написанное большими красными буквами предупреждение.
ИСПОЛЬЗОВАНИЕ нижеописанной программы противоречит философии Linux .

Только задумайтесь.
Ядро Linux имеет подсистему Netfilter, управляемую фаерволлом iptables.
Но из-за сложности управления прАгрАмистЫ написали более простую программу Ufw, задача которой сводится к управлению фаерволлом iptables — по-сути, это фаерволл для управления фаерволлом.

Gufw фвляется графической оболочкой фаерволла Ufw, который управляет фаерволлом iptables, который в свою очередь управляет подсистемой Netfilter ядра Linux.

Поистине, программа Gufw являет собою большую красную кнопку » ВКЛЮЧИТЬ фаерволл «.
И после использования вот таких программок кто-то имеет совесть причислять себя к миру Linux и что-то пытаться судить о Windows ?
Ведь такого мышления даже в Винде редко встретишь.
Стыдно должно быть за использование таких программ.
Ах-ах-ах .

IPtables и ничего кроме IPtables !

Источник

GUI или Web UI для iptables/nftables (как в WebFig RouterOS)

Я ищу GUI или веб-интерфейс для iptables (лучше — nftables). Требований два:

  • выбирать фильтры и действия, не помня их синтаксис (графически);
  • добавлять/удалять/править/двигать правила на лету без edit-apply-reload цикла.

Какие-либо абстракции не нужны. В целом хочу что-то максимально похожее на WebFig из RouterOS.

fwbuilder совсем не рассматриваешь?

Пробовал этого зверя, но отказался из-за необходимости держать аппликаху для просмотра и редактирования правил. Не мог напрямую с файлами iptables (/etc/iptables/ipv4-rules) работать 🙁

[стеб] А как же firewalld ? [/стеб]

Насколько я понимаю, fwbuilder работает сугубо офф-лайн, работает с собственным форматом данных и в результате просто генерирует скрипт настройки iptables, который нужно закинуть на сервер.

Это неудобно и не выполняется моё второе требование.

Если бы мне ничего больше не было нужно, я бы действительно накатил на машину CHR-образ RouterOS и всё. Но файрволл — это не единственное, что на ней должно быть.

intelfx ★★★★★ ( 16.05.18 02:04:10 MSK )
Последнее исправление: intelfx 16.05.18 02:04:18 MSK (всего исправлений: 1)

Возможно. Он настолько монструозный, что я его даже ставить боюсь. Он умеет на лету конфигурацию менять?

DBUS_SYSTEM_BUS_ADDRESS="unixexec:path=ssh,argv1=outpost.intelfx.name,argv2=systemd-stdio-bridge" firewall-config 

Источник

Оцените статью
Adblock
detector