LINUX.ORG.RU

Для чего нужен файрвол?

 


0

1

Для чего нужен файрвол?
Спрашиваю не для красного словца, просто до сегодняшнего дня как-будто бы знал, для чего он существует.
Как-будто, потому что сегодня наткнулся на один опус и был, мягко говоря, ошарашен :-O.
Поэтому хотелось бы сначала послушать знатоков.


Ответ на: комментарий от Red7

Судя по избирательному игнорированию частей поста собеседника, вы скорее унылый троль, чем ламер обыкновенный. Скучно это все.

erfea ★★★★★
()

сегодня наткнулся на один опус и был, мягко говоря, ошарашен

Что за опус?

dexpl ★★★★★
()
Ответ на: комментарий от anonymous

Иными словами, гаспада хорошие, получается, не только я, но и вы сами не знаете ответа на вопрос? Ну-ну :)

Red7
() автор топика
Ответ на: комментарий от Red7

Так ты даже не знаешь от чего защищаться хочешь? Как так можно жить? Тьфу.

anonymous
()
Ответ на: комментарий от beastie

Ну завалить не завалят, однако насрать могут.

И вот не совсем по пинг (это я уж утрировал, но смысл в этом тоже есть), тоже интересно

https://opennet.ru/opennews/art.shtml?num=42573

Несмотря на то, что протокол RIPv1 был предложен в 1988 году и объявлен устаревшим в 1996 году, он по-прежнему поддерживается во многих домашних маршрутизаторах и точках доступа. В результате сканирования сети, исследователям безопасности удалось выявить 53693 устройств, принимающих запросы по протоколу RIPv1 и пригодных для участия в DDoS. В зафиксированной DDoS атаке было задействовано около 500 устройств с поддержкой RIPv1, которых оказалось достаточно для создания волны трафика в 12.9 Гбит/с. В случае вовлечения атакующими большего числа устройств, возможна генерация значительно более внушительных потоков трафика.

Можно еще вспомнить как NTP эксплуатировали недавно. Сколько еще дыр и специфических возможностей?

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 2)

Ну представьте, вы развернули на сервере samba и apache, хотите, чтобы сайты могли смотреть из интернета, а на файл-сервер заходили только из локальной сети. Вы на внешнем интерфейсе закрываете все порты, кроме 80 и радуетесь исполнению ваших желаний. Как-то так.

ravdinve
()
Ответ на: комментарий от mandala

Ну ребята, вы меня своими бездонными познаниями прямо веселите! Причем бесплатно! :) А подказать простейшее решение для Деба не можете. Печалька...

Red7
() автор топика
Ответ на: комментарий от Red7

Я уже сказал, что тебе в принципе, на локалхосте не уперлось файерволить. А с такими познаниями дальше локалхоста ходить чревато.

mandala ★★★★★
()
Ответ на: комментарий от mandala

И чем тут тебе поможет Brandmauer, если ты таки перлогаешь DNS/NTP/whatever сервисы наружу? (кроме как rate limiting)

TL;DR: Brandmauer: «мы не знаем, что мы запустили на своём сервере, поэтому мы запретим что-то и будем считать, что мы в домике». Выдернуть кабель было бы, в прочем, проще. ;)

Как уже было сказано в самом начале — в «по книжке» настоенной системе firewall излишен, но реальность и теория таки отрогональны.

beastie ★★★★★
()
Ответ на: комментарий от ravdinve

Вы на внешнем интерфейсе закрываете все порты, кроме 80 и радуетесь исполнению ваших желаний. Как-то так.

«По книжке» надо было бы слушать только на внутреннем интерфейсе и не морочить голову. Но, имеем, что имеем.

beastie ★★★★★
()
Последнее исправление: beastie (всего исправлений: 1)
Ответ на: комментарий от mandala

Где нужность brandmauer встаёт в полный рост — это IPv6, ибо всё global. Уютненьких localnet там нет (per design, но нет per implementation).

beastie ★★★★★
()
Ответ на: комментарий от beastie

Я уже порой теряю нить разговора... где я? ... кто мы?....

Red7
() автор топика
Ответ на: комментарий от beastie

Уже вижу как новостные сайты трубят о терабитах трафика флуда, которые генерируют чайники и хлебницы... Уфффф!

Спать пора, дурь мерещится, скорость в байтах считаю хрень какую-то считаю...

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 3)
Ответ на: комментарий от murmur

Приятнейший сайт, чьерт побьери! Сколько знающих и неравнодушных человеков! :-P

Red7
() автор топика
Ответ на: комментарий от Red7

Конечно, не понимаешь, как и вопрошающий. От DDoS-а никакой фаервол не поможет. Он только против DoS-а работает.

peregrine ★★★★★
()
Ответ на: комментарий от mandala

Вайн ты от рута будешь ставить, уж поверь, если я буду туда трояна сажать, первым делом он по возможности будет патчить фаервол, SeLinux и AppArmor. С последними двумя может быть и не просто, а вот iptables не долго будет сопротивляться.

peregrine ★★★★★
()
Ответ на: комментарий от Red7

Дает, но не так много, как некоторые на него надеются.

peregrine ★★★★★
()
Ответ на: комментарий от peregrine

Ну если машина серьезная, то и брандмауэр должен быть уже на отдельном устройстве с чем-то заточенным на работу с сетью. А от рут-прав спасенья нет, я вот сейчас на локалхосте с сонных глаз лишил себя судо при залоченном системном руте. Слава Аллаху это простой локалхост.

mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 3)

Чего ты паришься, поставь касперского в вайн и всё.

anonymous
()

Firewall - он как бекапы, никто про них не задумывается пока не станет поздно...А вообще или на wikipedia.

Deleted
()
Ответ на: комментарий от Deleted

Не «стену огня», а выгоревшую полосу. Не кислород, а горючие вещества на пути распространения пожара. И это не называется словом «firewall».

thesis ★★★★★
()
Ответ на: комментарий от Deleted

log4tmp: дорогой товарищ, ты совершенно прав!
Викикомедия сразу расставила все точки над ё, ибо:

Назначение
Среди задач, которые решают межсетевые экраны, основной является ЗАЩИТА сегментов сети или отдельных хостов от несанкционированного доступа с использованием уязвимых мест в протоколах сетевой модели OSI или в программном обеспечении, установленном на компьютерах сети.

https://ru.wikipedia.org/wiki/Межсетевой_экран

Еще раз для особо: главной задачей является - ЗАЩИТА!!!

Поэтому заумный дебиановец идет в бесплатное пешее путшествие.

Тьфу! Сколько времени зря потратил на этого утырка!

Red7
() автор топика

Для того чтобы ты знал что такое iptables.

hbars ★★★★★
()
Ответ на: комментарий от Red7

главной задачей является - ЗАЩИТА!!!

Да.

Поэтому заумный дебиановец идет в бесплатное пешее путшествие

Если даже и идёт, то точно не «поэтому».

Вернемся к помянутой выше шпаргалке.

Прежде всего, речь только о IPv4 (если IPv6 разрешен, то у него свои таблички/правила).
С машины наружу разрешено любое соединение.
Снаружи внутрь разрешено:
- открыть соединение на порт 22,
- передача данных по любому соединению, установленному изнутри.
Передача пакетов другим машинам запрещена с выдачей icmp-уведомления.

От чего же она защищает?
Если что-то откроет по IPv4 порт на прослушивание, к нему нельзя инициировать подключение извне — да.
Если что-то по IPv4 инициирует соединение наружу, соединение и передача данных состоятся, защиты нет.

Если порт никем не слушается, подключиться на него невозможно, ломать на нём некого.
Вот об этом говорил «дебиановец». Не вешайте внутренние сервисы на внешние интерфейсы, не ставьте ненужных сервисов — не будет точек для подключения, не будет необходимости ограничивать фаерволом подключение на такие точки. Правда гарантировать такое много сложнее, чем централизованная настройка того же самого на фаерволе :)

А теперь главный вопрос: чем наличие этого фаервола отличается от его отсутствия, когда в сервисах только sshd, ip_forward=«0» (не считая icmp-уведомлений)?

bormant ★★★★★
()
Последнее исправление: bormant (всего исправлений: 2)
Ответ на: комментарий от Red7

Слово «файрвол» в частности как переводится?

Огневая стена. Т.е. стена построенная для сдерживания огня. Ваш КО.

no-such-file ★★★★★
()

Здесь не исправить ничего, Господь жги !

Deleted
()

Ос пишут и проектируют люди, всегда рассматривай вариант что писавший просто упоролся и это казалось ему хорошей идеей.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.