Gufw – podaj cegłę

Jak uruchomić w Linuksie obronę przed niechcianymi pakietami? Dla nowoprzybyłych do tego systemu to nie lada wyzwanie, a dla pracujących od lat w trybie tekstowym to niemal pstryknięcie palcem. Dezorientacja często doprowadza do pytań ‘czy w Linuksie jest w ogóle firewall?’. Bo w Linuksie firewall’a nie widać. Kluczowa jest tutaj niewiedza o istnieniu programów (nazwach) do tego zadań.

W innych systemach są ciekawe ikonki na pasku, monity systemu o arcy-niebezpiecznych transmisjach pakietów w stronę komputera, itp. A w Linuksie cisza.

Ale to nie powód do obaw, czy wręcz utraty wiary w poziom zabezpieczeń tego systemu. W Linuksie panuje cisza, bo jego ‘wbudowany’ pseudo-firewall, iptables (narzędzie do filtracji pakietów, nie tylko odbijania ich od ściany), po prostu sobie działa. Działa, o ile ktoś go nakarmi odpowiednimi regułkami. W przeciwnym wypadku, ludzie przez lata używają Linuksa bez skonfigurowanego firewall’a i jakoś to wszystko dalej funkcjonuje.

Osoby obdarzone bujną wyobraźnią przekuły sobie zwrot ‘nakarmi odpowiednimi regułkami’ w obraz zalany czernią konsoli, jaśniejącymi tajemniczo komendami, upstrzonymi dziwnymi parametrami, znaczkami, cyferkami. W rezultacie ta sama wyobraźnia podsuwa obraz niemocy zwykłego użytkownika, gdy bezwiednie wklejane komendy blokują internet, powodują ogólnosystemowy krach i reinstalacje Linuksa. A komputer miał być przyjacielem człowieka.

No właśnie, a co jeśli ktoś skuszony przyjaznością Linuksa stanie przed problemem stworzenia firewall’a na swoim komputerze. Miało być pięknie, przyjaźnie, bezpiecznie i łatwo, a tu trzeba zmagać się z jakimś poleceniem ‘iptables’. Dla wielu zrozumienie jego regułek, łańcuchów, sposobu filtracji pakietów, co gdzie najpierw wchodzi, gdzie wychodzi, jest zadaniem przerastającym. Smutek i przerażenie bijący z twarzy o wyrazie “A ja sobie chciałem tylko port 445 zablokować…”.

Z nastaniem Ubuntu 8.04 mocno reklamowano jego firewall’a. Takiego wbudowanego. Wielu odetchnęło z ulgą, bo w końcu technika blokowania pakietów/portów miała dla nich stać się prosta i przejrzysta, i co tu owijać w bawełnę, klikalna. Okazało się, że ufw (Uncomplicated Firewall), to narzędzie tak samo tekstowe jak i ‘iptables’. Wiele twarzy znowu pogrążyło się w smutku, bo znowu pojawiły się jakieś regułki, komendy, parametry. Nie da się inaczej?

Ależ pewnie, że się da. Ufw to nic innego jak nakładka na iptables, zatem, odkrywcze w niej jest tylko skrócenie i uproszczenie wszystkich reguł. Dlaczego nie zaprezentowano tego od razu w wersji z GUI? Nie wiem. Ale sprawa jest dynamicznie rozwijana i niedawno pojawiła się kolejna wersja programu Gufw. Gufw to nic innego jak z kolei nakładka graficzna na ufw (ach, ta linuksowa modułowość). Wystarczy pobrać paczkę, zainstalować (dpkg, lub dwuklik jak ktoś lubi) i można przystąpić do budowania swojej zapory ogniowej.

Po uruchomieniu program poprosi o hasło administratora. Gufw nie posiada jeszcze polskiego tłumaczenia, stąd wymagane jest minimum zaangażowania w anglojęzyczne komendy. Ale cała sprawa jest banalnie prosta. Firewall można włączyć lub nie (Firewall Enabled). Regułki można aktywować (Deny incoming traffic), lub nie (Allow incoming traffic).

W połowie ekranu konfiguracyjnego mamy trzy zakładki, Simple, Preconfigured, Advanced. W każdej można dodać na różnym poziomie reguły obsługi pakietów.

Simple, podajemy numer portu który chcemy zablokować (Deny)/dopuścić do ruchu (Allow), wybieramy protokół (Both/tcp/udp), dodajemy regułkę (obsługuje ruch do komputera),

Preconfigured, podobnie jak wyżej, tylko port wybieramy z listy skonfigurowanych zestawów – idealne, gdy ktoś nie wie na których portach działa FTP, lub inna usługa/program (obsługuje ruch do komputera),

Advanced, tutaj mamy największe pole do popisu. Możemy odrzucać pakiety nie tylko pod kątem docelowego portu, ale również źródłowego. Dodatkowo, wybór może się opierać na adresach ip źródłowych/docelowych. Ta zakładka jest dla bardziej doświadczonych budowniczych firewall’i (obsługuje ruch w obie strony).

Na samym dole znajduje się przycisk do usuwania pojedynczej reguły (Remove), lub wyczyszczenia wszystkich (Remove all). Menu u samej góry (File) umożliwia zabanowanie adresów IP (z pliku tekstowego), oraz eksport i import reguł.

Prawda, że wygląda to mniej skomplikowanie niż np. komenda: ‘iptables -A INPUT -m state –state RELATED -j ACCEPT’. Choć ‘iptables’ daje większą kontrolę, to dla zwykłego zjadacza chleba jest po prostu nie do przejścia.

Dlaczego Gufw, a nie istniejący i bardziej rozbudowany program Firestarter? Firestarter też umożliwia zbudowanie skutecznego firewall’a, posiada więcej opcji, oferuje jakieś statystyki itp. Jednak, jego stopień skomplikowania w konfiguracji jest nieco wyższy niż Gufw. Gufw, jak sami autorzy się reklamują, to firewall dla ludu.

Jedyne co mi się w programie nie do końca podoba, to ta ikona tarczy. Ja ją już gdzieś widziałem…

16 komentarzy

  1. To taki trochę Firestarter, niet? (:
    A nie lepiej po prostu dograć sobie np. jakieś arno-iptables-firewall i mieć święty spokój? (:

  2. @Hadret
    Owszem, taki nieco firestarter, ale prostszy i bardziej komunikatywny – frontem do klienta.
    A gotowe skrypty firewall’owe… Pewnie, czemu nie – ale znasz ludzi, każdy lubi sobie łatwo i przyjemnie poklikać tu i ówdzie 🙂

  3. Nie wiem jak u szanownego koleżeństwa, ale u mnie GUI Firestartera uwielbiało się wywalać.

    Bardzo sobie za to chwalę ufw, którego składnia, zbliżona do naturalnej, bardzo do mnie przemawia. Nie da się tym zrobić wszystkiego, ale do zbudowania kompletu prostych reguł w 10 minut nadaje się idealnie.

  4. Ech, kolejny raz się przekonałem, że graficzne nakładki komplikują sprawę. O wiele łatwiej korzysta mi się z konsolowego ufw. 🙂

  5. jesli kiedys nastanie dzien, ze xterm (i jemu podobne) beda zbedne – wtedy bedzie mozna zaczac myslec i linuxie pod strzechami na powaznie…

  6. bob_er: nie sądzę by kiedykolwiek stały się zbędne, a przynajmniej taką mam nadzieję (konsola ma swój urok, tylko trzeba przestać się jej bać).
    Litera x w języku polskim się odmienia – właśnie dlatego jest Linux, Linuksa, Linuksie (:

  7. mi nie chodzi o to, by wywalac xterma z systemu (sam go lubie). mi chodzi o to, by _absolutnie_ kazda administracyjna czynnosc w linuksie bedzie sie dalo zrobic poprzez przyjazne gui. bedzie to pewna forma lizaka/zachety, by obejrzec ten system. konsola wtedy przyjdzie z czasem.

  8. Bardzo dobrze, że są nakładki, że można klikać. Co prawda ufw jest bardzo prosty, właściwie lepiej się go ustawia w terminalu, ale, fakt, dla całkiem zielonych GUI się przyda.

  9. Jak (G)ufw traktuje domyślną konfigurację iptables? Nadpisuje swoje własne reguły, dodaje swoje do istniejących, czy robi jeszcze coś innego? I co się dzieje po wyłączeniu ufw? Jego reguły pozostają aktywne, czy znikają?

    Ja używam Guarddoga, bo w nim przynajmniej widzę, że jak coś pozmieniam, to gdzieś to tam zapisuje, przełącza ustawienia, restartuje iptables itd. No i po wyłączeniu Guarddoga regułki w nim poustawiane nadal są aktywne. Poza tym Guarddog umożliwia podawanie zakresu portów w jednej regułce (nie znalazłem tej możliwości w żadnych przykładach w dokumentacji ufw, nie wiem czy jest to w nim możliwe).

  10. “Dezorientacja często doprowadza do pytań ‘czy w Linuksie jest w ogóle firewall?’. Bo w Linuksie firewall’a nie widać. Kluczowa jest tutaj niewiedza o istnieniu programów (nazwach) do tego zadań.”

    To nie jest do końca prawda – choć generalnie tak. Kiedyś miałem okazje sporadycznie pracować na Mandrivie chyba w wer. 2006 i ona przy konfiguracji sieci miała opcję (prymitywnego – ale miała!) konfigurowania firewalla. Potem (chyba) w KDE pojawiała się ikonka na pasku zadań (tarcza 😀 😉 ) i co ciekawe faktycznie po kliknięciu w nią można było zobaczyć logi – wszystko zrobione z sensem.
    Co więcej nawet kilka razy ikonka ta zrobiła się (chyba) czerwona, pojawił się napis o przeprowadzeniu “ataku”, po kliknięciu okazywało się że był to “atak” skanowania protów. Tak więc działało to całkiem znośnie, obecnie mam Ubuntu 7.x i nic takiego tam nie ma (co więcej pod tym względem to konfigurowalność tamtej starej mandrivy była dosłownie kilkanaście razy lepsza od Ubuntu – co widoczne jest właśnie tak jak w przypadku tego firewalla)

    W mojej ocenie ten firewall to namiastka i z tego co pamiętam to chyba niewiele miał wspólnego z iptables, ale miałeś i ikonkę i sens całości 😉

  11. Widzę, że wpis nieświeży dosyć i pewnie nikt już tutaj nie zagląda, ale chciałem podzielić się refleksją. Jestem dzieckiem DOS’a. Mój pierwszy PC 286 16MHz z mono monitorem 14′ i bez dysku twardego przez 4 lata – uruchamiałem DOS’a z dyskietki 1.44. Na turbo Pascalu programowałem w wersji 4.0 bo działał swobodnie na dyskietce. Ale wracam do sedna. Odbyłem niedawno szkolenie z “Windows 7” – dokładnie chodziło o migrację z VISTY w korporacjach. Szkolenie było świetne – doskonały prowadzący. Byłem jedynym programistą na sali – reszta ekipy to administratorzy. Prowadzący kazał wykonać ciąg jakiś komend z DOS’a podajrze MD cośtam, CD cośtam i DIR
    Napisał to na tablicy. Usłyszałem na sali pytania w stylu “co tam jest ?” “CD ?”. Ludzie pomyślałem. Jak można się nazywać się administratorem ? Wydawało mi się to nieprawdopodobne. Zapytałem prowadzącego czy często zdarzają mu się ekipy informatyków nie znających podstawowych poleceń DOS’a. Usłyszałem, że bardzo często.
    Nawiązałem do tej rozmowy z prowadzącym szkolenie: (http://skalski.info/) – naprawdę dobry prowadzący – gdy spotkałem się z facetem mojej szwagierki – świetnym matematykiem – geniuszem matematycznym, który studiuje informatykę – już chyba 3 rok. Zapytałem czy uczyli się jakiś systemach konsolowych – starociach w stylu DOS’a. “Trochę”. “A znasz jakieś polecenia DOS’a ?” – żona krzyczy: “Egzaminuj go !” – “Czy wiesz czym w DOS’ie wyświetlić plików w bierzącym katalogu ?” – “Nie, nie wiem”.
    A wy wiecie ? 🙂

    KONSOLA MUSI BYĆ !

  12. Aaa i dodam jeszcze jedno. W porównaniu z Wami to jestem leszcz – używam linuxa od miesiąca – nie zamienił bym go na nic innego. Straciłem naprawdę dużo czasu na Windows. Chwała Gates’owi, że kupił za grosze dobry system i go trochę popsuł tym samym rozpowszechniając komputery w naszym świecie. Jednak wszystko co jest robione przez ludzi kochających jakąś dziedzinę pełnym sercem jest najlepsze. Chwała Linus’owi za Linuxa, chwała ludziom odpowiedzialnym za Canonical. Linux rządzi.

  1. Pingback: Ufw | Ubunciak

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Post comment

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.