Lätt textbaserat program som hanterar iptables - finns det?

Det är en ganska skarp inlärningskurva för iptables, men när man väl förstått grundprinciperna så är det inte alls svårt att göra det som du vill åstadkomma. Mitt eget iptables-script gör i princip det du vill, så det kanske kan vara till någon hjälp.

IPTABLES="/sbin/iptables"

# Set standard policies
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT

# Flush rules
$IPTABLES -F
$IPTABLES -X

# Drop invalid packets
$IPTABLES -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPTABLES -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPTABLES -A INPUT -m state --state INVALID -j DROP
$IPTABLES -A OUTPUT -m state --state INVALID -j DROP

# Drop all 127.0.0.1 packets not going through lo
$IPTABLES -A INPUT -i ! lo -s 127.0.0.1 -j DROP
$IPTABLES -A INPUT -i ! lo -d 127.0.0.1 -j DROP
$IPTABLES -A OUTPUT -o ! lo -s 127.0.0.1 -j DROP
$IPTABLES -A OUTPUT -o ! lo -d 127.0.0.1 -j DROP

# Accept ICMP echo-request
$IPTABLES -A INPUT -p icmp --icmp-type 8 -j ACCEPT

# Accept loopback
$IPTABLES -A INPUT -i lo -j ACCEPT

# Allow established and related connections
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Accept incoming to port 31771 (sshd), block for 100s after 3 login attempts
$IPTABLES -A INPUT -p tcp -m state --state NEW --dport 31771 -m recent --update --seconds 100 --hitcount 3 -j DROP
$IPTABLES -A INPUT -p tcp -m state --state NEW --dport 31771 -m recent --set -j ACCEPT

# Accept incoming to port 4112 (DC)
$IPTABLES -A INPUT -p tcp --dport 4112 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 4112 -j ACCEPT

# Accept incoming to port 53520 (rtorrent)
$IPTABLES -A INPUT -p tcp --dport 53520 -j ACCEPT

# Accept CUPS traffic from local network
$IPTABLES -A INPUT -p tcp --dport 631 -s 192.168.1.0/24 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 631 -s 192.168.1.0/24 -j ACCEPT

# Accept NFS traffic from local network
$IPTABLES -A INPUT -p tcp -m multiport --dport 111,2049,49018:49020 -s 192.168.1.0/24 -j ACCEPT
$IPTABLES -A INPUT -p udp -m multiport --dport 111,2049,49018:49020 -s 192.168.1.0/24 -j ACCEPT

# Reject other incoming data
$IPTABLES -A INPUT -j REJECT

EDIT: Det finns flera program som är till för att vara behjälpliga med iptables-konfigurering, men det är inget som jag har någon erfarenhet av.

shorewall brukade jag använda förr i tiden, men är det bara några små enkla saker så är nog rena iptables det minst problematiska. HerrEkbergs skript ser ju bra ut, det är väl bara att eventuellt ändra portar och ta bort överflödiga tjänser.

Ta en titt på ferm.

De är regler som accepterar inkommande TCP- och UDP-paket från det lokala nätet på särskilda portar. Behöver du inte göra det så är det naturligtvis bara att ta bort dem.

Nja, det måste inte finnas med, men det är ganska vanliga regler.

Det är bara att ändra som du vill ha det. Alla rader som börjar med # är dock kommentarer om du inte visste det, de gör ingenting utan är bara förklarande för dem som inte är flytande i iptables, så att säga.

iptables -L -v kan du använda för att lista alla regler som iptables för tillfället använder sig av, men i ett lite annorlunda format än vad som används i scriptet.

Kör man en Ubuntu 8.04 server så är UFW med som
utvecklades för att serveradmins skulle slippa den eländiga IPtables synatxen.

http://www.ubuntu-unleashed.com/2008/05/howto-take-use-setup-...

Utvecklarblog om varför den utvecklades och vad den ska användas till.
http://ubuntu-tutorials.com/index.php?s=ufw

Det är ju bara att testa på...

fail2ban vet jag inte vad det men vet man bara portnummret som används så ska det
bara funka.

Sen kan man testa via Steve Gibson

https://www.grc.com/x/ne.dll?bh0bkyd2

Standardtest eller det mer kompletta.

Här har du en bra iptables guide: http://iptables-tutorial.frozentux.net/

Själv har jag SSH på port 22 som tar emot från kända IP där jag använder SSH ofta. På övriga ställen är en annan port öppen. Fungerar fin fint.

139.

ufw är för dig. textbaserat och betyder "uncomplicated firewall"

http://www.ubuntugeek.com/ufw-uncomplicated-firewall-for-ubun...

I ditt fall räcker följande:

$ sudo ufw default deny
$ sudo ufw allow 22/tcp
...
$ sudo ufw enable

TCP används när man vill ha en förbindelse där paketen garanterat går fram. Mottagaren kvitterar varje paket och om kvittans inte fås inom utsatt tid så skickas paketet om. Används av t.ex. SSH, FTP, HTTP och HTTPS.

UDP har ingen kvittering. UDP är snabbare än TCP, men risken för att data inte kommer fram finns. UDP används t.ex för DNS-förfrågningar och DHCP.

Det tredje viktiga protokollet är ICMP (Internet Control Message Protocol). ICMP används för ping och felmeddelanden. Du bör tillåta ICMP-paket, som är relaterade till dina sända paket. Inkommande ping från Internet är det skäl att stoppa.

gShield har jag använt och det fungerar bra
http://muse.linuxmafia.org/gshield/

Ett tillägg: UDP används väldigt mycket av spel.

Satt precis i dagarna och tittade på en enkel brandvägg att säkra upp min ny installerade och konfigurerade Ubuntu Server 8.04 och ufw är precis vad jag letade efter.

Blockerar allt utom det jag verkligen behöver använda och hoppas att detta åtminstone skall täcka upp en del säkerhetshål man kanske inte annars tänker på.

Nu återstår bara att klura ut en vettig lösning för att göra backup på webbsidorna som hostas samt databasen men det lär väl inte vara så kneppigt det heller.

Mvh,
Viper@God