przystajnik

Gufw – podaj cegłę

Jak uruchomić w Linuksie obronę przed niechcianymi pakietami? Dla nowoprzybyłych do tego systemu to nie lada wyzwanie, a dla pracujących od lat w trybie tekstowym to niemal pstryknięcie palcem. Dezorientacja często doprowadza do pytań ‚czy w Linuksie jest w ogóle firewall?’. Bo w Linuksie firewall’a nie widać. Kluczowa jest tutaj niewiedza o istnieniu programów (nazwach) do tego zadań.

W innych systemach są ciekawe ikonki na pasku, monity systemu o arcy-niebezpiecznych transmisjach pakietów w stronę komputera, itp. A w Linuksie cisza.

Ale to nie powód do obaw, czy wręcz utraty wiary w poziom zabezpieczeń tego systemu. W Linuksie panuje cisza, bo jego ‚wbudowany’ pseudo-firewall, iptables (narzędzie do filtracji pakietów, nie tylko odbijania ich od ściany), po prostu sobie działa. Działa, o ile ktoś go nakarmi odpowiednimi regułkami. W przeciwnym wypadku, ludzie przez lata używają Linuksa bez skonfigurowanego firewall’a i jakoś to wszystko dalej funkcjonuje.

Osoby obdarzone bujną wyobraźnią przekuły sobie zwrot ‚nakarmi odpowiednimi regułkami’ w obraz zalany czernią konsoli, jaśniejącymi tajemniczo komendami, upstrzonymi dziwnymi parametrami, znaczkami, cyferkami. W rezultacie ta sama wyobraźnia podsuwa obraz niemocy zwykłego użytkownika, gdy bezwiednie wklejane komendy blokują internet, powodują ogólnosystemowy krach i reinstalacje Linuksa. A komputer miał być przyjacielem człowieka.

No właśnie, a co jeśli ktoś skuszony przyjaznością Linuksa stanie przed problemem stworzenia firewall’a na swoim komputerze. Miało być pięknie, przyjaźnie, bezpiecznie i łatwo, a tu trzeba zmagać się z jakimś poleceniem ‚iptables’. Dla wielu zrozumienie jego regułek, łańcuchów, sposobu filtracji pakietów, co gdzie najpierw wchodzi, gdzie wychodzi, jest zadaniem przerastającym. Smutek i przerażenie bijący z twarzy o wyrazie „A ja sobie chciałem tylko port 445 zablokować…”.

Z nastaniem Ubuntu 8.04 mocno reklamowano jego firewall’a. Takiego wbudowanego. Wielu odetchnęło z ulgą, bo w końcu technika blokowania pakietów/portów miała dla nich stać się prosta i przejrzysta, i co tu owijać w bawełnę, klikalna. Okazało się, że ufw (Uncomplicated Firewall), to narzędzie tak samo tekstowe jak i ‚iptables’. Wiele twarzy znowu pogrążyło się w smutku, bo znowu pojawiły się jakieś regułki, komendy, parametry. Nie da się inaczej?

Ależ pewnie, że się da. Ufw to nic innego jak nakładka na iptables, zatem, odkrywcze w niej jest tylko skrócenie i uproszczenie wszystkich reguł. Dlaczego nie zaprezentowano tego od razu w wersji z GUI? Nie wiem. Ale sprawa jest dynamicznie rozwijana i niedawno pojawiła się kolejna wersja programu Gufw. Gufw to nic innego jak z kolei nakładka graficzna na ufw (ach, ta linuksowa modułowość). Wystarczy pobrać paczkę, zainstalować (dpkg, lub dwuklik jak ktoś lubi) i można przystąpić do budowania swojej zapory ogniowej.

Po uruchomieniu program poprosi o hasło administratora. Gufw nie posiada jeszcze polskiego tłumaczenia, stąd wymagane jest minimum zaangażowania w anglojęzyczne komendy. Ale cała sprawa jest banalnie prosta. Firewall można włączyć lub nie (Firewall Enabled). Regułki można aktywować (Deny incoming traffic), lub nie (Allow incoming traffic).

W połowie ekranu konfiguracyjnego mamy trzy zakładki, Simple, Preconfigured, Advanced. W każdej można dodać na różnym poziomie reguły obsługi pakietów.

Simple, podajemy numer portu który chcemy zablokować (Deny)/dopuścić do ruchu (Allow), wybieramy protokół (Both/tcp/udp), dodajemy regułkę (obsługuje ruch do komputera),

Preconfigured, podobnie jak wyżej, tylko port wybieramy z listy skonfigurowanych zestawów – idealne, gdy ktoś nie wie na których portach działa FTP, lub inna usługa/program (obsługuje ruch do komputera),

Advanced, tutaj mamy największe pole do popisu. Możemy odrzucać pakiety nie tylko pod kątem docelowego portu, ale również źródłowego. Dodatkowo, wybór może się opierać na adresach ip źródłowych/docelowych. Ta zakładka jest dla bardziej doświadczonych budowniczych firewall’i (obsługuje ruch w obie strony).

Na samym dole znajduje się przycisk do usuwania pojedynczej reguły (Remove), lub wyczyszczenia wszystkich (Remove all). Menu u samej góry (File) umożliwia zabanowanie adresów IP (z pliku tekstowego), oraz eksport i import reguł.

Prawda, że wygląda to mniej skomplikowanie niż np. komenda: ‚iptables -A INPUT -m state –state RELATED -j ACCEPT’. Choć ‚iptables’ daje większą kontrolę, to dla zwykłego zjadacza chleba jest po prostu nie do przejścia.

Dlaczego Gufw, a nie istniejący i bardziej rozbudowany program Firestarter? Firestarter też umożliwia zbudowanie skutecznego firewall’a, posiada więcej opcji, oferuje jakieś statystyki itp. Jednak, jego stopień skomplikowania w konfiguracji jest nieco wyższy niż Gufw. Gufw, jak sami autorzy się reklamują, to firewall dla ludu.

Jedyne co mi się w programie nie do końca podoba, to ta ikona tarczy. Ja ją już gdzieś widziałem…

Post navigation

Translate »