Файрволл в Debian

Как мне показалось, в Дебиане файрвол в виде классического iptables присутствует, но по умолчанию не запущен??

Похоже, вы не совсем понимаете как работает утилита iptables и где собственно у вас фаервол... вот тут хорошо написано простым языком: http://www.k-max.name/linux/netfilter-iptables-v-linux/

...такой важнейший сервис, как ntp, по дефолту даже не установлен...

busybox тоже не установлен? Кому нужно больше — ставят полноценный клиент.

...любой юзер может залезть в чужую домашнюю папку...

Во всех «универсальных» дистрибутивах стоит umask 022 по умолчанию... вам нужны более строгие правила — поставьте 077. Будет все закрыто.

Да, так что с дефолтовым статусом этого файрвола, кто-то может просветить?

Если вы загрузили дефолтное ядро дебиана — с фаерволом все ок. Работает в режиме «все разрешено».

вот тут хорошо написано простым языком: http://www.k-max.name/linux/netfilter-iptables-v-linux/

Ну спасибо, конечно, но вы меня погнали в дебри :)

Изучать их, конечно, не буду, потому что точно не осилю.
Мне бы попроще что надо - какой конфиг править?

Зато в Федоре мне таких глубочайших знаний не требувалось - открыл /etc/sysconfig/iptabes, нашлепал правил каких надо (в основном открыл 22-й и 5901 порт), перезапустил сервис - и вуаля, больше ничего не надо!

В Дебиане такое воззззможно? ;)

Как мне показалось, в Дебиане файрвол в виде классического iptables присутствует, но по умолчанию не запущен??

Не совсем так. Он запущен, но находится в режиме «разрешено всё».

Это несколько ошарашило... ничего себе отношение к безопасности!

Тут вам стоит уточнить, о чём идёт речь: о десктопе или о сервере?
Если о десктопе, то, к примеру, в той же ubuntu desktop и server по умолчанию «файрвол» разрешает хождение любого трафика во всех направлениях.
При этом Ubuntu 12.04 продемонстрировал лучшие результаты безопасности при оценке Центром правительственной связи Великобритании.

Впрочем, в Дебиане полно для полно странностей

Эти «странности» являются следствием политики разработки дистрибутива, debian разрабатывается с сильным уклоном в сторону идеологии, которая сложилась вокруг этого дистрибутива. Достаточно часто эта идеология идёт в ущерб удобству.
Возможно, вам стоит попробовать ubuntu (естественно LTS релиз), с ней будет проще. Как пример — http://help.ubuntu.ru/wiki/руководство_по_ubuntu_server/безопасность/firewall

Мне бы попроще что надо - какой конфиг править?

Буду оригинален — https://wiki.debian.org/iptables

Зато в Федоре мне таких глубочайших знаний не требувалось - открыл /etc/sysconfig/iptabes, нашлепал правил каких надо (в основном открыл 22-й и 5901 порт), перезапустил сервис - и вуаля, больше ничего не надо!

емнип там обычный iptables-save лежит

В Дебиане такое воззззможно? ;)

везде возможно

Ты на ЛОРе 6 лет, даже читая только talks, можно стать спецом по линуксу.

Лошара Я в шоке!

Зато в Федоре мне таких глубочайших знаний не требувалось - открыл /etc/sysconfig/iptabes, нашлепал правил каких надо (в основном открыл 22-й и 5901 порт), перезапустил сервис - и вуаля, больше ничего не надо!

apt-get install iptables-persistent
vim /etc/iptables/rules.v4

Все в debian работает. Просто там по умолчанию нет каких-то запрещающих правил как это сделано в CentOS, где это рулится через firewalld. Для дебиана надо поставить iptables-persistent и вперед.

Мне бы попроще

shorewall

Перечитал эти статьи -
- http://webhamster.ru/mytetrashare/index/mtb0/1393570578sq33dpfahy
- https://rusadmin.biz/rukovodstva/bazovaya-nastrojka-iptables/
- http://serveradmin.ru/debian-nastroyka-servera/

- это какой-то звездец! Что ни статья - так всё по разному!

По первой статье команда активации

service iptables-persistent reload

iptables-persistent: unrecognized service

cat /etc/iptables/rules.v4 | iptables-restore -c

Одно то, что сразу после установки открыты все входящие - это пипец....

Ты это, как его, Патрика не трогай!

Одно то, что сразу после установки открыты все входящие - это пипец....

А если серьезно:
1. открою секрет, далеко не все сервера нужно закрывать fw
2. вас никто за руку не тянет сразу устанавливать кучу серверных приложений не думая надо это или не надо.
ЗЫ Восстановление правил ipset и iptable в Centos 7 (комментарий)

1. открою секрет, далеко не все сервера нужно закрывать fw

Попробуйте это опенбиздишникам объяснить ;)

2. вас никто за руку не тянет сразу устанавливать кучу серверных приложений не думая надо это или не надо.

А причем тут это вообще? Это совсем другая тема.
Кстати, я очень придирчиво устанавливаю приложения, минимизируя их состав и выключая работу ненужных сервисов.

Одно то, что сразу после установки открыты все входящие - это пипец....

Ага, причем особенно недовольны те, кто серверы сразу после установки подключает к интернету, без должной настройки ПО.

Скорее еще до установки хвост втыкают.

Достаточно часто эта идеология идёт в ущерб удобству.

Написать свои правила в какой-нибудь rc.local (или дёрнуть свой скрипт с правилами из rc.local) это конечно жуть как неудобно.
Из коробки предусмотренное место для хранения правил фпервола это конечно хорошо, но если человек не способен догадаться дёрнуть /etc/myfirefall.sh из rc.local может ему и не стоит трогать крутить?

Кстати, я очень придирчиво устанавливаю приложения, минимизируя их состав и выключая работу ненужных сервисов.

Тогда зачем тебе отбрасывать фаерволом те пакеты которые ядро и без этого отбросит (потому-что они пришли на порт который никто не слушает)?
Если ты не хочешь что-бы приложение получало пакеты из сети — настрой его так что-бы оно не слушало сеть.
От чего, по твоему, тебя защищают дефолтные запрещающие правила в федоре/редхате/центе? Расскажи.