Debian: Quel pare-feu?

10

Je dois installer un pare-feu sur mon serveur (donc sans X Server). C'est un lenny Debian. Si c'est possible, je veux éviter l'utilisation de iptables. Existe-t-il un moyen plus simple d'installer / configurer un pare-feu?

fego
la source

Réponses:

14

Dans un premier temps, un pare-feu devrait être la dernière étape pour sécuriser un serveur. Supprimez tous les logiciels et services qui ne sont pas nécessaires, mettez à jour votre système avec les derniers correctifs de sécurité disponibles et passez en revue vos fichiers de configuration.

Pourquoi voulez-vous éviter les iptables?

"Parce que je suis un débutant" n'est pas une vraie excuse. Il n'existe pas de pare-feu «en un clic tout sécurisé», et si un produit logiciel utilise un tel slogan, il est probable qu'il ne s'agisse que d'un logiciel snakeoil.

Si vous n'êtes pas expérimenté dans les bases du réseautage, vous devrez l'apprendre pour configurer un pare-feu fonctionnel. :-)

Si vous ne voulez pas créer vous-même les règles iptables, vous avez deux options:

  • personnaliser les scripts existants trouvés sur le net
  • utiliser un outil GUI pour créer les règles vous-même

iptables est votre interface avec la couche réseau du noyau. Presque chaque solution pour Linux en dépendra.

Voici sont quelques - uns commentaires par exemple des scripts / tutoriels. Vous en trouverez facilement plus avec une recherche google .

Voici une liste d'outils GUI que vous pouvez utiliser pour créer vos règles iptables:

Un excellent livre sur les serveurs Linux et la sécurité est «Construire des serveurs sécurisés avec Linux» de O'Reilly.

Ne vous découragez pas et désolé pour les mots "durs", mais un serveur sur Internet n'est pas un jouet et vous en aurez la responsabilité.

écho
la source
1
Merci pour votre réponse. J'ai acheté un livre sur l'administration de LInux, et j'étudierai iptable, mais avant de regarder les chaînes faciles ou ufw.
fego
10

Vous pourriez envisager d'essayer ufw . Bien qu'il ait été créé pour Ubuntu Server, je pense qu'il est également disponible dans Debian. ( MISE À JOUR : Malheureusement, il semble qu'il ne soit disponible que pour squeeze et sid selon packages.debian.org , mais cela pourrait encore valoir la peine d'être examiné.) Bien que je dirais que vous voudrez éventuellement passer à l'écriture de vos propres règles iptables , J'ai d'abord trouvé ufw très facile à utiliser et très facile à utiliser. Voici quelques faits saillants:

  • Syntaxe pratique: ufw allow 22ou ufw allow sshest tout ce qui est nécessaire pour autoriser le trafic ssh entrant si votre stratégie par défaut est DENY.

  • Journalisation facile: ufw logging onactive une journalisation assez raisonnable. La bonne chose à propos de la journalisation est que par défaut, elle supprime les services particulièrement bruyants (port 137 n'importe qui?).

  • Capacité à mettre en œuvre des politiques compliquées: sur ma machine domestique, j'utilise ufw et j'utilise actuellement une politique assez compliquée.

  • Possibilité d'ajouter vos propres règles iptables. Presque toutes les politiques peuvent toujours être implémentées avec ufw même si l'interface par défaut ne fournit pas de mécanisme car vous pouvez toujours ajouter vos propres règles.

  • Grande documentation: man ufwc'est souvent tout ce dont vous avez besoin pour résoudre un problème ou répondre à une question - ce qui est génial si vous configurez votre pare-feu hors ligne.

Ce n'est pas un pare-feu "cliquez sur un bouton et vous serez en sécurité". A la fin de la journée ce qu'il fait vraiment est de fournir un outil facile à utiliser la syntaxe des règles de création, une abstraction autour iptables-saveet iptables-restoreet apporte des règles par défaut et la pratique , qu'un débutant pourrait ne pas connaître.

Steven D
la source
1
+1 ufw est très facile à utiliser et il est facile de passer ensuite à iptables parce que le niveau d'abstraction est juste (pas trop élevé comme pointer et cliquer, et pas trop bas en raison des belles valeurs par défaut).
Barthelemy
0

Je recommande le fireholpackage.

Peter Eisentraut
la source
cela semble très intéressant! Thks
fego
0

essayez à shorewall ... Je suis assez content et je pense qu'il est très facile de configurer tout ce dont j'ai besoin. (Y compris la mise en forme du trafic, NAT, DNAT et autres).


la source