Практично кожен інтернет-користувач рано чи пізно стикається з проблемою мережевої безпеки, з необхідністю більш тонкої настройки мережевих інтерфейсів комп'ютера. Сучасні операційні системи надають чудовий засіб для вирішення цих проблем. Фаєрвол. Напевно багато користувачів, встановивши вперше Ubuntu, дивуються: «а де ж тут фаєрвол?» Ось і давайте розберемося, де тут фаєрвол і як його налаштовувати.
У ядрі Linux існує підсистема, яка називається netfilter. Всі пакети, що приходять на ваш комп'ютер, або йдуть з нього через мережу, обробляються цією підсистемою. Саме вона виконує функції фаєрвола. Для управління netfilter зазвичай використовується утиліта iptables, яка перетворює команди користувача в ланцюжка правил, зрозумілі ядру. Однак, щоб ефективно користуватися даною утилітою, необхідно досить добре розуміти, як влаштована підсистема netfilter і потрібно витратити досить значний час на вивчення документації.
Щоб спростити користувачам завдання, були розроблені більш дружні інтерфейси до підсистеми netfilter, які дозволяють в кілька кліків мишкою отримати досить непогано налаштований фаєрвол. Один з них ми з вами сьогодні і розглянемо. Називається він Firestarter.
Щоб його встановити, скористаємося Центром додатків Ubuntu:
Далі все просто і зрозуміло. При першому запуску нам пропонують налаштувати фаєрвол.
На жаль інтерфейс програми майже повністю англійською мовою. Але тексту там зовсім небагато, і то що вам може знадобитися для настройки персонального фаєрвола ми постараємося освятити в цій статті.
Якщо ви отримуєте мережеві настройки з сервера DHCP (тобто мережу вам ніхто не налаштовував, і вона сама заробила після установки Ubuntu), поставте відповідну галочку.
На наступній сторінці, нам запропонують налаштувати розподілений доступ в Інтернет. Оскільки метою даної статті є допомога шановному читачеві в налаштуванні саме персонального фаєрвола, а не маршрутизатора, то ми залишаємо все як є.
Тепер наш фаєрвол готовий для першого запуску.
Зараз фаєрвол запущений і нормально функціонує. При перезавантаженні, настройки зберігаються, а це значить, що вам не потрібно турбуватися про те, щоб налаштовувати його автозапуск.
Тепер давайте придивимося до інтерфейсу програми. Там ніби все лаконічно, просто і зрозуміло. Кнопка у вигляді замку служить для того, щоб «відрізати» комп'ютер від мережі. Ви отримаєте приблизно той же результат, як якщо б відключили всі мережеві пристрої від комп'ютера одночасно в одну мить. Так що будьте обережніше з цією кнопкою!
За замовчуванням фаєрвол налаштований так, що він дозволяє будь-які вихідні з'єднання з вашого комп'ютера. Тобто ви можете спокійно гуляти по інтернету, заходити на інші комп'ютери і т. Д. Тут же можна додати який-небудь комп'ютер в чорний список. Можна, до речі, зробити і навпаки: заборонити доступ з вашого комп'ютера до всіх інших, крім тих, які знаходиться в білому списку.
А ось вхідні з'єднання на комп'ютер за замовчуванням практично повністю заборонені. Тобто вас як би видно (комп'ютер пінгуєтся), але зайти до вас в гості без дозволу тепер буде не можна. У мене на комп'ютері запущено чат для локальної мережі TriX, і, судячи з логам, фаєрвол блокує всі з'єднання на його порт.
Це звичайно дуже добре, що фаєрвол функціонує, але в чаті-то я тепер нікого не бачу! Прийшов час трошки підправити настройки фаєрвола, щоб він не блокував потрібні нам з'єднання.
Якщо ваш комп'ютер не підключений ні до якої локальної мережі, то цей крок можна (і навіть потрібно) пропустити.
В даному випадку, я вказав фаєрвол, що хочу дозволити ВСЕ вхідні з'єднання з моєї локальної мережі, тому що:
1) я довіряю своїй локальній мережі
2) в локальній мережі набагато менше комп'ютерів, ніж в Інтернеті і обчислити зловмисника набагато простіше
Якщо ж ви не хочете повністю відкривати свій комп'ютер для локальної мережі, а тільки хочете відкрити доступ, припустимо, до чату або якийсь інший мережевий програмі, тоді можна додати в виключення порт (в розділі Allow service):
Чат TriX і номер порту 9009 я взяв природно тільки заради прикладу. Швидше за все вам доведеться вказувати інші порти і сервіси, які ви захочете зробити доступними.
Тепер давайте трохи пройдемося по налаштуваннях Firestarter'а.
Я знайшов 2 опції, які вам швидше за все захочеться включити.
Згорнути програму в трей при закритті вікна:
Застосовувати зміни в правилах відразу (відпадає необхідність щоразу кликати на кнопку «Застосувати», щоб зміни вступили в силу):
Якщо інформації в даній статті вам здалося мало, можу порекомендувати вам ще одну чудову статтю про налаштування фаєрвола в Linux:
Керівництво по Iptables 1.1.19