LINUX.ORG.RU

KMyFirewall 1.1.0 новая версия после двух лет молчания


0

0

После почти двух лет перерыва вышла новая версия KMyFirewall - графического фронтенда для настройки iptables.

Программы чудес делать не умеют, поэтому Вы должны иметь представление о том, что ваш файрвол должен делать для того, чтобы создать набор правил. KMyFirewall просто старается помочь вам настолько, насколько это возможно, но вы должны понимать что он делает.

Со времени последнего стабильного релиза пользовательский интерфейс был расширен, чтобы сделать настройку более гибкой как для продвинутых пользователей так и для новичков. Кроме того добавлена поддержка настройки NAT.

>>> Домашняя страница

Лучше вот так:

После почти двух лет перерыва вышла новая версия KMyFirewall, графического фронтенда для настройки IPtables.

Программы чудес делать не умеют и вы всё же должны иметь представление о том, что ваш файрволл должен делать для того, чтобы создать набор правил; KMyFirewall просто старается помочь вам настолько, насколько это возможно, но вы должны понимать, что он делает.

Со времени последнего стабильного релиза пользовательский интерфейс был расширен, чтобы сделать настройку более гибкой, как для продвинутых пользователей, так и для новичков. Кроме того, добавлена поддержка настройки NAT.

humand
()
Ответ на: комментарий от Oceanborn

а кому он вообще нужен, если всё равно надо понимать, что хочешь сделать? Если понимаешь, то без особых усилий осилишь man iptables...

Binary ★★★★★
()

Iptables очень лаконичен и прост.

anonymous
()

вот когда сделают "умный" фаервол - тогда и будем радоваться

f3ex ★★
()
Ответ на: комментарий от Binary

Я признаю, что не осилил man iptables, и, честно говоря, осиливать мне лень, я не сервак админю, а десктопный комп с ssh-сервером, к которому надо подключаться извне. В Федоре (GNOME) давно есть подобная графическая програмка. Поклацал галочки, и все.

anonymous
()
Ответ на: комментарий от anonymous

>>ОЛОЛООЛОЛОЛО ОТЖОГ, ЛЕЖИМ ВСЕМ ОФИСОМ РАБОТА ВСТАЛА )))))))))_ >>anonymous (*) (25.01.2008 21:15:30)

конечно в 9 вечера сидеть на работе, у меня бы работа встала еще в 6

z0D5e8n7x
()

Использую транслятор правил ferm. 
Те же яйца, что и iptables, но экономит буквы.

например, такую конструкцию:

chain (INPUT OUTPUT) {
  proto (udp tcp) ACCEPT;
}

Он разворачивает в:

iptables -A INPUT -p tcp -j ACCEPT
iptables -A OUTPUT -p tcp -j ACCEPT
iptables -A INPUT -p udp -j ACCEPT
iptables -A OUTPUT -p udp -j ACCEPT

имхо, так читать и писать удобнее.

дефолтный конфиг у него примерно такой (разрешены все исходящие,
loopback, icmp и ssh, остальное запрещено)

table filter {
    chain INPUT {
        policy DROP;

        # connection tracking
        mod state state INVALID DROP;
        mod state state (ESTABLISHED RELATED) ACCEPT;

        # allow local packages
        interface lo ACCEPT;

        # respond to ping
        proto icmp ACCEPT;

        # allow SSH connections
        proto tcp dport ssh ACCEPT;
    }
    chain OUTPUT {
        policy ACCEPT;
    }
    chain FORWARD {
        policy DROP;
    }
}

smartly ★★★
()
Ответ на: комментарий от smartly

Прошу прощения за офтоп

Почему в винде в Outpost Firewall есть режим обучения а под линукс

ни где такого не видел.

anonymous
()
Ответ на: комментарий от smartly

> Использую транслятор правил ferm. 
> Те же яйца, что и iptables, но экономит буквы.

+1

Отличная штука, особенно когда правил есть дофига.

snp
()
Ответ на: комментарий от anonymous

> Почему в винде в Outpost Firewall есть режим обучения а под линукс ни где такого не видел.

1. А кто кого там учит?

2. "Провайдеры обычно не успевают кликой мышкой на магистральном канале. :-)" (C) ovax

saper ★★★★★
()

Ждем возрождения firestarter'a под Gnome.

anonymous
()
Ответ на: комментарий от HighwayStar

Первым делом на десктопе после инсталляции отключаю всякие сетевые сервисы или перевожу их на 127.0.0.1 , а потом отключаю этот долбанный фаервол.

Виндоус вей - выставить голую попу в интернет, а потом закрыть ее фаерволом.

Подумав догадался , зачем так в Suse сделали:
юзеру удобнее, все сервисы включаются/выключаются в одной программе управления фаерволом; кроме того переходящие с винды уже привыкли именно к такой извращенной логике.

szh ★★★★
()
Ответ на: комментарий от szh

>Первым делом на десктопе после инсталляции отключаю всякие сетевые сервисы или перевожу их на 127.0.0.1 , а потом отключаю этот долбанный фаервол.

кхм... даже не знаю, что сказать, межсетевой экран нужен по любому, есть у тебя сервисы или нет.

anonymous
()
Ответ на: комментарий от anonymous

> зачем файервол, если нет сетевых сервисов, которые открывают порты?

Видимо, для успокоения души.

Он может быть не нужен, даже если и есть сервисы. У меня торчат несколько штук в интернет, но закрывать файерволлом нечего, ибо не для того я их наружу выставляю, чтобы закрывать...

const86 ★★★★★
()
Ответ на: комментарий от saper

Я для десктопа, кагда приложение запращивает сетевой доступ, файервол предлогает создать правило.

Шутку про провайдеров уже слышал.

anonymous
()
Ответ на: комментарий от saper

> 1. А кто кого там учит?

Пользователь по ходу работы.

> 2. "Провайдеры обычно не успевают кликой мышкой на магистральном канале. :-)" (C) ovax

Вообще-то речь о десктопе. Или линакс ещё не готов для десктопа? Ответьте "да" и вас фанатеги закидают помидорами.

DOKA
()
Ответ на: комментарий от anonymous

> Я для десктопа, кагда приложение запращивает сетевой доступ, файервол предлогает создать правило.

Зачем это под линуксом?

sv75 ★★★★★
()
Ответ на: комментарий от anonymous

>Ананимус, ты чего? зачем файервол, если нет сетевых сервисов, которые открывают порты?

1. запускаешь игрушку --- поднимаешь сервер, работаешь с бд - поднимаешь сервер и т.д.; 2. закрывать невалидные пакеты; 3. отслеживать атаки; 4. считать трафик --- если нужно.

anonymous
()
Ответ на: комментарий от smartly

>> разрешены все исходящие

а на сколько это нормально? Вообще, стоит ли париться и закрывать исходящие порты на офисном шлюзе?

vovans ★★★★★
()
Ответ на: комментарий от vovans

>Вообще, стоит ли париться и закрывать исходящие порты на офисном шлюзе?

82% угроз безопасности --- осуществляются сотрудниками организации, думай сам, надо или не надо.

Цифра из учебника, на мой взгляд лучшего: "Информационная безопасность" В.И. Ярочкина. Впрочем в других учебниках (Тороков и т.д.) тоже самое.

anonymous
()
Ответ на: комментарий от anonymous

> 82% угроз безопасности --- осуществляются сотрудниками организации, думай сам, надо или не надо.

И закрытие исходящих портов тут совершенно не поможет ;)

sv75 ★★★★★
()
Ответ на: комментарий от anonymous

> Какая тебе разница зачем это мне, знаешь ответь не знаешь молчи!!!

Э... с чего ты решил, что тебе здесь кто-то хоть что-то должен?

sv75 ★★★★★
()
Ответ на: комментарий от anonymous

>Я для десктопа, кагда приложение запращивает сетевой доступ, файервол предлогает создать правило

запускаем протрояненую аську, вопрос разрешить -- конечно разрешить, тебе же с аськой работать надо, создал правило, троян работает без помех.

anonymous
()
Ответ на: комментарий от sv75

>И закрытие исходящих портов тут совершенно не поможет ;)

защита информации --- это комплекс мер... закрытие исходящих портов, это всего лишь одна из мер.

anonymous
()
Ответ на: комментарий от sv75

А я и не говорил что мне ктото должен, я попросил ответить на вопрос.

anonymous
()
Ответ на: комментарий от sv75

А я и не говорил что мне ктото должен, я попросил ответить на вопрос.

anonymous
()
Ответ на: комментарий от anonymous

>Я это понимаю. Мне интересно в линуксе такое можно реализовать или нет?

можно, почему нет. Поставь какой-нибудь касперский -- то же самое будет, или тебе интересно как это программно сделать?

anonymous
()

Я вот все пытаюсь понять - крутизна администратора определяется тем использует он тока консольные команды или пользуется еще и программами типа помошников? Если тока консолью - то это круто, если нет - то админ лох. Ни кто не отменяет знание консольных команд, но я предпочитаю накидать основные правила в удобной программе типа KMyFirewall и потом добавить хитровыжученные правила руками - получается и быстрее и ошибок меньше. Пользуюсь KMyFirewall-ом и очень доволен. Попробую новую версию!

anonymous
()
Ответ на: комментарий от anonymous

хм... на десктопе у меня вот уже 2.5 года iptables -F... Зачем фаерволл на десктопе в линуксе я за 2.5 года так и ниасилил :( Винда без фаера ложится очень быстро, да...

Binary ★★★★★
()
Ответ на: комментарий от anonymous

> 1. запускаешь игрушку --- поднимаешь сервер, работаешь с бд - поднимаешь сервер и т.д.;

а) вам этот сервер нужен извне? так какого черта его тогда блочить? ну, допустим, надо, чтобы он только с одного/группы IP был доступен - правила простейшие, опять же, что это нужно всем - я бы не сказал;

б) вам этот сервер нужен локально - так нафиг его биндить на всё подряд?

Binary ★★★★★
()
Ответ на: комментарий от anonymous

попался недавно веб-скрипт (походу на пёрле), в котором указываешь основные настройки -- ИП. подсети, есть ли прозрачный прокси, нат, статический или динамический ИП и т.п... Сгенерил им правила, подправил, дополнил и рад пока )) пока не разберусь толком и не напишу свои )))

Ещё попалось вот это:

http://www.babel.com.au/phpfwgen/

vovans ★★★★★
()

Однако, считаю, что самый удобный и гибкий способ настройки всё-таки ручками, особенно, когда понимаешь, что делаешь..

MiracleMan ★★★★★
()
Ответ на: комментарий от vovans

>>> разрешены все исходящие

>а на сколько это нормально? Вообще, стоит ли париться и закрывать исходящие порты на офисном шлюзе?

Не знаю. Я не закрываю. Один раз сотрудник в винде подхватил трояна, который спам рассылал, то я закрыл исходящий 25 порт, кроме smtp-сервера првайдера. Но офис у меня небольшой, сотрудники образованные, вирусы редко бывают. Начну закрывать порты, начнётся нытьё, у меня аська глючит, у меня mrim не работает, у меня торренты не качаются и т.п. А админский терроризм - не мой случай. У нас в офисе довольно либерально.

имхо, для линуксового десктопа - нет смысла закрывать исходящие. левые ломящиеся в инет программы появляются редко. В крайнем случае - netstat и tcpdump поогают выявить нарушителя.

Может кто-то приведёт ещё какие-то примеры необходимости закрывания исходящих.

ps: всё таки дефолтный набор правил в ferm - это для линуксового десктопа, а не для шлюза.

smartly ★★★
()
Ответ на: комментарий от smartly

Йа напесал самуйу безапастную ОСь!

Ана работайет на маем сервире и неглючет. Уже палгода работайет иниадной ошипки йа ни нашел. Неадного пачча или зоплатки ниставил и все работайет безапастно и надежна.

Кагда йа зокончу школу йа буду ийе прадовать на рынке програмново обиспеченийа а микрасовт и линух сасуд!

anonymous
()
Ответ на: комментарий от anonymous

> запускаем протрояненую аську, вопрос разрешить -- конечно разрешить, тебе же с аськой работать надо, создал правило, троян работает без помех.

Доступ будет тут же блокирован как только файервол поймет, что checksumm бинарника или одной из его либ изменилась.

DOKA
()
Ответ на: комментарий от DOKA

> Доступ будет тут же блокирован как только файервол поймет, что checksumm бинарника или одной из его либ изменилась.

а что, если она попала на компьютер УЖЕ протрояненной?

Binary ★★★★★
()
Ответ на: комментарий от DOKA

> Доступ будет тут же блокирован как только файервол поймет, что checksumm бинарника или одной из его либ изменилась.

А у аськи совсем-совсем нет dll-ек и плагинов? Или их суммы тоже будут проверяться?

saper ★★★★★
()
Ответ на: комментарий от Binary

> а что, если она попала на компьютер УЖЕ протрояненной?

От ситуации "юзер - дебил" не спасет ни один файервол. Но это не значит, что файервол не должен предоставить максимум средств для избежания нежелательных ситуаций.

DOKA
()
Ответ на: комментарий от anonymous

>Я для десктопа, кагда приложение запращивает сетевой доступ, файервол предлогает создать правило.

Уважаемый анонимус, сделать такое совсем не сложно. Достаточно лишь отправлять неизвестные запросы на соединеник не в DROP, а в ULOG

И написать графическое приложение, которое будет читать из ULOG'а, и предлагать вам нажать разрешть/запретить. Затем, добавлять соответствующие правила в ИПТАБЛЕС...

только нафиг это нужно...

ovax ★★★
()
Ответ на: комментарий от smartly

>> у меня mrim не работает, у меня торренты не качаются и т.п.

Вот-вот, торренты! Офис наш не в Москве :)) и траф ограничен ))) Да и работать народ дожен, а не искать какой торрент лить. Последнее им для работы не нужно вовсе )) А аськи и прочее... ЗАкрытые порты на них не влияют. Если только они не будут назначать хрен знает что...

vovans ★★★★★
()

KMyFirewall не нужен.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.