Debian: ¿Qué firewall?


10

Tengo que instalar un firewall en mi servidor (sin X Server). Es un debian lenny. Si es posible, quiero evitar el uso de iptables. ¿Hay una manera más fácil de instalar / configurar un firewall?

Respuestas:


14

Al principio, un firewall debería ser el último paso para asegurar un servidor. Elimine todo el software y los servicios que no sean necesarios, actualice su sistema con los últimos parches de seguridad disponibles y revise sus archivos de configuración.

¿Por qué quieres evitar iptables?

"Porque soy un novato" no es una excusa real. No existe un firewall de "un clic, todo seguro", y si un producto de software utiliza ese eslogan, es probable que sea solo un software de serpiente.

Si no tiene experiencia en conceptos básicos de redes, deberá aprender esto para configurar un firewall que funcione. :-)

Si no desea crear las reglas de iptable usted mismo, tiene dos opciones:

  • personalizar scripts existentes encontrados en la red
  • use una herramienta GUI para crear las reglas usted mismo

iptables es su interfaz para la capa de red del núcleo. Casi todas las soluciones para Linux dependerán de ello.

Aquí hay algunos ejemplos de guiones / tutoriales comentados . Encontrarás más fácilmente con una búsqueda en Google .

Aquí hay una lista de herramientas GUI que puede usar para crear sus reglas iptable:

Un gran libro sobre servidores Linux y seguridad es "Creación de servidores seguros con Linux" de O'Reilly.

No se desanime y disculpe las palabras "duras", pero un servidor en Internet no es un juguete y usted tendrá alguna responsabilidad por esto.


1
gracias por tu respuesta. Compré un libro sobre la administración de Linux, y estudiaré iptable, pero antes miraré cadenas fáciles o ufw.
fego

10

Podrías considerar probar ufw . Si bien fue creado para Ubuntu Server, creo que también está disponible en Debian. ( ACTUALIZACIÓN : Desafortunadamente, parece que solo está disponible para exprimir y sid de acuerdo con packages.debian.org , pero aún así vale la pena mirarlo.) Si bien diría que eventualmente desea pasar a escribir sus propias reglas iptable , Inicialmente encontré ufw muy fácil de usar y muy fácil de hacer la transición. Aquí hay algunos puntos destacados:

  • Sintaxis conveniente: ufw allow 22o ufw allow sshes todo lo que se requiere para permitir el tráfico ssh entrante si su política predeterminada es DENY.

  • Registro fácil: ufw logging onactivará un registro bastante razonable. Lo bueno del registro es que, por defecto, elimina los servicios especialmente ruidosos (¿el puerto 137 es alguien?).

  • Capacidad para implementar políticas complicadas: en mi máquina doméstica utilizo ufw y actualmente estoy ejecutando una política bastante complicada.

  • Posibilidad de agregar sus propias reglas de iptable. Prácticamente cualquier política puede implementarse con ufw incluso si la interfaz predeterminada no proporciona un mecanismo porque siempre puede agregar sus propias reglas.

  • Excelente documentación: a man ufwmenudo es todo lo que necesita para resolver algún problema o responder alguna pregunta, lo cual es excelente si está configurando su firewall cuando está desconectado.

Este no es un firewall de "haga clic en un botón y estará seguro". Al final del día lo que realmente hace es proporcionar un fácil utilizar la sintaxis de creación de reglas, una abstracción alrededor iptables-savey iptables-restorey trae algunas reglas y práctica que un novato puede no saber acerca de por defecto.


1
+1 ufw es muy fácil de usar y es fácil hacer la transición a iptables después de eso porque el nivel de abstracción es el correcto (no demasiado alto como apuntar y hacer clic, y no demasiado bajo debido a los valores predeterminados agradables).
Barthelemy


0

intentarlo en shorewall ... estoy bastante contento con él y siento que es muy fácil configurar lo que necesito. (Incluyendo la conformación del tráfico, NAT, DNAT y otras cosas).

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.