Gufw – podaj cegłę

Jak uruchomić w Linuksie obronę przed niechcianymi pakietami? Dla nowoprzybyłych do tego systemu to nie lada wyzwanie, a dla pracujących od lat w trybie tekstowym to niemal pstryknięcie palcem. Dezorientacja często doprowadza do pytań ‘czy w Linuksie jest w ogóle firewall?’. Bo w Linuksie firewall’a nie widać. Kluczowa jest tutaj niewiedza o istnieniu programów (nazwach) do tego zadań.

W innych systemach są ciekawe ikonki na pasku, monity systemu o arcy-niebezpiecznych transmisjach pakietów w stronę komputera, itp. A w Linuksie cisza.

Ale to nie powód do obaw, czy wręcz utraty wiary w poziom zabezpieczeń tego systemu. W Linuksie panuje cisza, bo jego ‘wbudowany’ pseudo-firewall, iptables (narzędzie do filtracji pakietów, nie tylko odbijania ich od ściany), po prostu sobie działa. Działa, o ile ktoś go nakarmi odpowiednimi regułkami. W przeciwnym wypadku, ludzie przez lata używają Linuksa bez skonfigurowanego firewall’a i jakoś to wszystko dalej funkcjonuje.

Osoby obdarzone bujną wyobraźnią przekuły sobie zwrot ‘nakarmi odpowiednimi regułkami’ w obraz zalany czernią konsoli, jaśniejącymi tajemniczo komendami, upstrzonymi dziwnymi parametrami, znaczkami, cyferkami. W rezultacie ta sama wyobraźnia podsuwa obraz niemocy zwykłego użytkownika, gdy bezwiednie wklejane komendy blokują internet, powodują ogólnosystemowy krach i reinstalacje Linuksa. A komputer miał być przyjacielem człowieka.

No właśnie, a co jeśli ktoś skuszony przyjaznością Linuksa stanie przed problemem stworzenia firewall’a na swoim komputerze. Miało być pięknie, przyjaźnie, bezpiecznie i łatwo, a tu trzeba zmagać się z jakimś poleceniem ‘iptables’. Dla wielu zrozumienie jego regułek, łańcuchów, sposobu filtracji pakietów, co gdzie najpierw wchodzi, gdzie wychodzi, jest zadaniem przerastającym. Smutek i przerażenie bijący z twarzy o wyrazie “A ja sobie chciałem tylko port 445 zablokować…”.

Z nastaniem Ubuntu 8.04 mocno reklamowano jego firewall’a. Takiego wbudowanego. Wielu odetchnęło z ulgą, bo w końcu technika blokowania pakietów/portów miała dla nich stać się prosta i przejrzysta, i co tu owijać w bawełnę, klikalna. Okazało się, że ufw (Uncomplicated Firewall), to narzędzie tak samo tekstowe jak i ‘iptables’. Wiele twarzy znowu pogrążyło się w smutku, bo znowu pojawiły się jakieś regułki, komendy, parametry. Nie da się inaczej?

Ależ pewnie, że się da. Ufw to nic innego jak nakładka na iptables, zatem, odkrywcze w niej jest tylko skrócenie i uproszczenie wszystkich reguł. Dlaczego nie zaprezentowano tego od razu w wersji z GUI? Nie wiem. Ale sprawa jest dynamicznie rozwijana i niedawno pojawiła się kolejna wersja programu Gufw. Gufw to nic innego jak z kolei nakładka graficzna na ufw (ach, ta linuksowa modułowość). Wystarczy pobrać paczkę, zainstalować (dpkg, lub dwuklik jak ktoś lubi) i można przystąpić do budowania swojej zapory ogniowej.

Po uruchomieniu program poprosi o hasło administratora. Gufw nie posiada jeszcze polskiego tłumaczenia, stąd wymagane jest minimum zaangażowania w anglojęzyczne komendy. Ale cała sprawa jest banalnie prosta. Firewall można włączyć lub nie (Firewall Enabled). Regułki można aktywować (Deny incoming traffic), lub nie (Allow incoming traffic).

W połowie ekranu konfiguracyjnego mamy trzy zakładki, Simple, Preconfigured, Advanced. W każdej można dodać na różnym poziomie reguły obsługi pakietów.

– Simple, podajemy numer portu który chcemy zablokować (Deny)/dopuścić do ruchu (Allow), wybieramy protokół (Both/tcp/udp), dodajemy regułkę (obsługuje ruch do komputera),

– Preconfigured, podobnie jak wyżej, tylko port wybieramy z listy skonfigurowanych zestawów – idealne, gdy ktoś nie wie na których portach działa FTP, lub inna usługa/program (obsługuje ruch do komputera),

– Advanced, tutaj mamy największe pole do popisu. Możemy odrzucać pakiety nie tylko pod kątem docelowego portu, ale również źródłowego. Dodatkowo, wybór może się opierać na adresach ip źródłowych/docelowych. Ta zakładka jest dla bardziej doświadczonych budowniczych firewall’i (obsługuje ruch w obie strony).

Na samym dole znajduje się przycisk do usuwania pojedynczej reguły (Remove), lub wyczyszczenia wszystkich (Remove all). Menu u samej góry (File) umożliwia zabanowanie adresów IP (z pliku tekstowego), oraz eksport i import reguł.

Prawda, że wygląda to mniej skomplikowanie niż np. komenda: ‘iptables -A INPUT -m state –state RELATED -j ACCEPT’. Choć ‘iptables’ daje większą kontrolę, to dla zwykłego zjadacza chleba jest po prostu nie do przejścia.

Dlaczego Gufw, a nie istniejący i bardziej rozbudowany program Firestarter? Firestarter też umożliwia zbudowanie skutecznego firewall’a, posiada więcej opcji, oferuje jakieś statystyki itp. Jednak, jego stopień skomplikowania w konfiguracji jest nieco wyższy niż Gufw. Gufw, jak sami autorzy się reklamują, to firewall dla ludu.

Jedyne co mi się w programie nie do końca podoba, to ta ikona tarczy. Ja ją już gdzieś widziałem…