Palomuurin pystyttäminen ja sen käyttäminen [kysytty]

[Vanadium]

Onkohan tuota tiedoston jakoohjelmiin liittyvää portin aukaisua,
mahdollista selvittää yhtään yksinkertaisemmin.
Löytämäni ohjeet ovat olleet englannin kielisiä ja muutenkin menneet vähän yli.

Tottahan toki tätä voi selventää. Selitän ensin taustaa:

Linux -järjestelmissä 2.6.x -sarjan ytimissä (jota Ubuntu ja Kubuntu käyttävät) on itsessään jo palomuuri. Linux "palomuuri" ohjelmistot konfiguroivat siis tätä integroitua palomuuria. Näytän esimerkkinä pätkän siitä miten avataan esimerkiksi portti saapuvalle ftp-liikenteelle.

Koodia: [Valitse]

# Sallitaan palaava liikenne sisältä päin muodostetuista yhteyksistä
$IPTABLES -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# FTP udp, tcp portti 21, sallitaan saapuva liikenne
$IPTABLES -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT
$IPTABLES -A INPUT -i eth0 -p udp --dport 21 -j ACCEPT

Tuollainen toteutus vaatii siis scriptin, joka ajetaan jokaisen kerran järjestelmän käynnistyessä. Näin se periaatteessa menee... Mutta ei hätiä tähän on oikotiekin. Mikäli Linux -järjestelmään on asennettu graafinen työpöytä voi siihen asentaa jo aiemmin mainitseman kaltaisen konfigurointi -ohjelman. KDE:lle suosittelen Guarddog- ja Gnomelle Firestarter palomuuriohjelmistoa.

Käytän itse Kubuntua mutta uskon, että myös Ubuntuun on tarjolla suoraan deb -paketti. Jostain syystä pakettia ei suoraan tarjota "normaaleissa" pakettilähteissä vaan lähde on lisättävä listaan. Tai itseasiassa se on kyllä listalla mutta se on kommentoitu. Lainaan hieman:

Koodia: [Valitse]

So if you enable the "universe" and "multiverse" repositories in your /etc/apt/sources.list file on an Ubuntu system you immediately see everything that you would find in Sid, and most anything else in deb format too, in one shot.
[url]http://interviews.slashdot.org/article.pl?sid=05/04/04/1859255&mode=nocomment&tid=90&tid=163&tid=160&tid=11[/url]

Käyn nyt läpi tuon Guarddog:in asentamisen, tässä ohjeessa oletetaan nyt, että pääkäyttäjän tili on olemassa.

Koodia: [Valitse]

su root
cd /etc/apt
vim sources.list

Ota pois kommenttimerkit näiltä kahdelta riviltä:
deb http://fi.archive.ubuntu.com/ubuntu hoary universe
deb-src http://fi.archive.ubuntu.com/ubuntu hoary universe
Tallenna muutkoset ja poistu

apt-get update
apt-get install guarddog
Järjestelmään on nyt asennetty Guarddog palomuuri. apt-get install guarddog -komennon korvaamalla komennolla apt-get install firestarter olisi asennettu Gnomelle tarkoitettu Firestarter.
Nyt pitäisi aikanaan ilmestyä ikoni järjestelmä -kansioon. Miköli näin ei heti käy aja suorita guarddog pääkäyttäjänä niin pääset konfiguroimaan palomuuria.

Näin helposti.

-Mika

[mikall]

[Järjestelmään on nyt asennetty Guarddog palomuuri. apt-get install guarddog -komennon korvaamalla komennolla apt-get install firestarter olisi asennettu Gnomelle tarkoitettu Firestarter.
Nyt pitäisi aikanaan ilmestyä ikoni järjestelmä -kansioon. Miköli näin ei heti käy aja suorita guarddog pääkäyttäjänä niin pääset konfiguroimaan palomuuria.

Näin helposti.

-Mika

Kiitos ohjeesta itseni ja muitten puolesta.
Guardaddog:in asennus sujui ongelmitta (käytän myös KDE:tä)
Ilmoitus suljetusta portista tulee silti.
Ehkä en osaa käyttää ohjelmaa ,
toisaalta  täällä keskustelualueella jossain mainittiin,
että porttien pitäisi olla oletuksena auki.

[LittleLion]

Ilmoitus suljetusta portista tulee silti.

Siis miten silti? Tuliko se ennen Guarddogin asennusta? Mikä ohjelma ilmoituksen antaa?

[mikall]

Ilmoitus suljetusta portista tulee silti.

Siis miten silti? Tuliko se ennen Guarddogin asennusta? Mikä ohjelma ilmoituksen antaa?

esim amule herjaa että portti 4662 on kiini ja heittää mut pihalle.
Sama juttu oli jo ennen asennusta.

[_Pete_]

Ilmoitus suljetusta portista tulee silti.

Siis miten silti? Tuliko se ennen Guarddogin asennusta? Mikä ohjelma ilmoituksen antaa?

esim amule herjaa että portti 4662 on kiini ja heittää mut pihalle.
Sama juttu oli jo ennen asennusta.

Onko käyttämäsi ADSL (tai joku muu) modeemi sillatussa vai reitittävässä tilassa? Jos jälkimmäisessä, pitää
tehdä "virtual host" määritelmiä, jossa ohjataan portit jotka halutaan modeemista sisäverkon koneeseen.

Kummassa tilassa modeemi on, näkee IP:stä jonka tietokone saa käyttöönsä. Jos se on alueella, jotka on varattu ei
julkiseen käyttöön niin on reititys käytössä. Tällaisia alueita ovat

     10.0.0.0        -   10.255.255.255  (10/8 prefix)
     172.16.0.0      -   172.31.255.255  (172.16/12 prefix)
     192.168.0.0     -   192.168.255.255 (192.168/16 prefix)

[JPK1990]

hmm.. entäs jos se ei herjaa mitään muttei siirrä mitään? paitsi silloin tällöin onko normaalia?

[JPK1990]

siis firestarter niinkuin vain säätää tota integroitua palomuuria vai onko ne täysin toisistaan riippumattomia

[janne]

siis firestarter niinkuin vain säätää tota integroitua palomuuria

jep.

vai onko ne täysin toisistaan riippumattomia

eivät, kaikki 'palomuurit' käyttävät linuxissa tuota ytimen tarjoamaan netfilteriä.

[JPK1990]

amule ei lataa enää edes 5kt:n tiedostoo pitäskö firestrterilla tehä jotain??

[JPK1990]

hmm vaikka pistää palomuurin pois päältä niin ei lataa?? juskus aikoja sitten sain pari tiedostoa ladattua

[mikall]

Sama juttu amule toimii joskus yleensä ei.

[_Pete_]

Sama juttu amule toimii joskus yleensä ei.

Voisiko tästä vetää johtopäätöksen, että vika on muualla kuin palomuurissa. Tämä tietysti olettaen että palomuuri toimii oikein eli
se joko estää tai ei estä liikenteen kokonaan.

[u_b]

Laitanpa tämän tähän, kun ei ole mikään tärkeä aihe, kyselen uteliaisuuttani..

Asensin juuri Ubuntun ensimmöistä kertaa ja siihen Firestarter-palomuurin. Koneeni kovalevyt on jaettu melko prikulleen tasan Windows XP:n ja Ubuntun kanssa. Nyt joudun vähän väliä netistä tulevien hyökkäysten (tai mitä ne sitten ovatkaan) kohteksi, mutta Firestarter torjuu ne kyllä. Tietääkö joku kertoa, että johtuuko moinen ahdistelu netissä kulkevista Windows-pöpöistä, jotka yrittävät päästä koneeni kimppuun, vaikka käyttis onkin Linux? Vai pommittaako minua joku ilkeä kräkkeri? Vai missä lie syy?

Edit: Kiitos, Vanadium. Tuon sinun linkkisi avulla Firestarterin löysin,

[janne]

Nyt joudun vähän väliä netistä tulevien hyökkäysten (tai mitä ne sitten ovatkaan) kohteksi, mutta Firestarter torjuu ne kyllä.

täsmennyksenä tähän se, että firestarter ei varsinaisesti torju yhtään mitään. torjumisen hoitaa linux kernelistä löytyvä netfilter jonka sääntöjä firestarter luo. firestarter ei siis ole palomuuri, vaan ainoastaan palomuurin sääntöjen tekoa ja reaaliaikaisten tapahtumien seuraamista helpottava edusohjelma.

periaatteessa linux-koneet joissa ei ajeta mitään erityisiä palveluita ovat kyllä ilman palomuuriakin melkoisen haavoittumattomia, mutta toki palomuuri on silti hyvä olla olemassa. varsinkin aloitteleva käyttäjä voi hyvinkin tietämättään asentaa koneelle jonkun julkisia portteja kuuntelevan palvelun, jolloin palomuurille voikin olla todellista tarvetta.

Tietääkö joku kertoa, että johtuuko moinen ahdistelu netissä kulkevista Windows-pöpöistä, jotka yrittävät päästä koneeni kimppuun, vaikka käyttis onkin Linux? Vai pommittaako minua joku ilkeä kräkkeri? Vai missä lie syy?

kaipa tämä tänne jotenkin sopii, siis kyseessä voi toki olla montakin eri syytä. toki monet virukset/madot pyrkivät leviämään automaattisesti ja etsivät netistä haavoittuvaisia koneita. niitä matoja on toki linuxillekin, vaikka viruksia ei niinkään ole, oma ssh-palvelimenikin saa päivittäin useita (joskus jopa satoja), selvästi automatisoituja, murtautumisyrityksiä. netti on vaarallinen paikka.

syynä kolkutteluihin voi tietysti olla myös tiedostojenjakosoftat, jos sinä tai joku muu aikaisemmin samaa IP:tä käyttänyt sellaisia olet käytellyt. nuo kun muistavat saatavilla olevat IP:t ja yrittävät yhteyttä vielä jonkin aikaa, vaikka palvelin ei olisikaan enää pystyssä.

porttiskannauksia ja tietysti hyökkäyksiä voi tietysti tehdä joku krakkerikin, mutta jos IP:si on vaihtuvaa sorttia ja koneesi ei ole jatkuvasti päällä, niin tuskin he vaivautuvat. tai mistäpä minä tiedän. luulisi vain, että zombeja haluavan on monta kertaluokkaa helpompaa kirjoittaa mato/virus ja lähettää se murtautumaan vihjeettömine koneille automaattisesti, kuin hoitaa hommaa käsipelillä ja (vähintään kyseenalaista) maineta kaipaavien olisi 'kovempaa' murtautua joihinkin suuremman näkyvyyden koneisiin kuin yksittäisille kotikäyttäjille.

[u_b]

Kiitoksia tiedoista.

[Vanadium]

Jahas, nyt on taas ilmeisesti yhtä ja toista epäselvää käyttäjillä. Koitetaanpa vilkaista tätä palomuuriasiaa vielä uudemman kerran. Joskos se alkais sitten taas valottua.

Nythän on niin, että ytimen palomuurin perustoimintoihin kuuluu viestien blokkaaminen, hyväksyminen tai eteenpäin ohjaaminen. Peruskäyttäjän tuskin tarvitsee ohjata viestejä eteenpäin joten en puutu siihen.
Guarddog määrittelee erilaisia alueita, jotka ovat oletuksena internet(WAN)->local ja local->WAN.

Monesti kuulee sanottavan, että local->WAN liikenne voi liikkua estämättömänä. Tämä onkin ehkä nykyisellään aivan toimiva(?) järjestely, mutta jahka Unix/Linux muotoiset haittaohjelmat lisääntyvät kannattanee avoimien ovien politiikkaansa tarkistaa. Itse olen tehnyt niin, että sallin liikenteen paikalliselta koneelta verkkoon seuraavasti:
Portti   muoto   Perustelu
80    TCP   http
53    TCP/UDP   DNS
20   TCP   FTP
21   TCP   FTP
25   TCP   smtp
110   TCP   pop3
123   UDP   time
443   TCP   https

Ulkoapäin minun koneeseeni ei ole tarvista ottaa minkäänlaista yhteyttä, joten se liikenne on estetty kokonaan. Mikäli kuitenkin tarvista olisi määriteltäisiin sellaiset yhteydet sisään tuleviin määritelmiin. Tälläisiä yhteyksiä voisivat olla esimerkisi FTP, SSH tai vaikkapa Samba jako. Huomaa kuitenkin, ettei internetin ylitse tapahtuva liikenne Sambn 139 porttiin ole yleensä mahdollinen vaan se on hoidettava toisin. Tästä voin tarvittaessa selittää toisessa viestiketjussa.

Miten esim. Guarddog eroaa vaikkapa Windowsin ZoneAlarm -palomuurista?
-ZoneAlarm on softapohjainen "fiksu" palomuuri, joka määrittelee ohjelmien pääsyn tai pääsemättömyyden verkkoon. Guarddog määrittelee ainoastaan portin käyttön.
Esim. mikäli windows palomuuri ZA on määritelty päästämään ZileZilla FTP-ohjelma jollekin palvelimelle se ei välttämättä tarkoita sitä, että vaikkapa Explorer voisi tehdä myös niin. Linuxissa KAIKKI FTP-ohjelmat pääsevät verkkoon.

Tästä johtuen esim. vertaisverkko-ohjelmien määritteleminen palomuuriin on hankalaa. Vertaisverkot käyttävät yleensä laajahkoa alaa portteja ja vaativat siksi suuren määrän avoimia portteja toimiakseen. Esimerkkinä DC++
http://www.dslreports.com/faq/9796

Mikäli tietokonetta käytetään vertaisverkkokäytössä näkisin, että voi olla helpointa sallia kaikki liikenne ulospäin.

[Vanadium]

Asensin Guarddogin ja laittelin asetuksia kohdalleen. Sen jälkeen kun koitin käynnistää Enemy Territoryn kone ei pystynyt yhdistämään yhteenkään käynnissä olevaan peliin (tai edes näyttämään niitä). Kokeilin ilman palomuuria ja toimi. Mitä pitäisi sallia Guarddogin asetuksista että pääsisin pelaamaan?

ookke.
Aloitetaanpa katsomalla minkälaisia portteja ET käyttelee. (Loistava peli muuten!)
Löydän heti pari artikkelia, katsotaanpa mitä ne kertoilevat meille.

"Return to Castle Wolfenstein relies on Internet communication via the IP protocol and UDP ports 27950, 27960, 27965 and 27952. These are the ports that the game uses for connection, message of the day, server browsing, and so forth. [Punkbuster also uses those ports.]"
http://www.rtcw.jolt.co.uk/content/faq/enemyterritory_faq.html#ports

Eli kommunikointia ja punk busteria varten on avattava portit: 27950, 27960, 27965 ja 27952, muotona UDP -paketti.

Edelleen myöhemmin on kerrottu, että:
"The above was for RTCW but pretty much the same applies for Enemy Territory, opening UDP 27950, 27951 & 27960 should do it but might have to resort to 27950-27970. You dont need to open TCP"
http://www.rtcw.jolt.co.uk/content/faq/enemyterritory_faq.html#ports

Enemy Territory käyttää ilmeisestikin suurempaa määrää portteja kuin sisarensa: Return to Castle of Wolfestein. Muutetaanpa määrityksemme siis muotoon 27950-27970 muoto: UDP

Tee siis sääntö palomuuriohjelmistoosi, että lähtevä liikenne porteista 27950-27970, muotona UDP-paketti sallitaan. Pitäis vörkkiä.

[Vanadium]

Laitanpa tämän tähän, kun ei ole mikään tärkeä aihe, kyselen uteliaisuuttani..

-Kysele pois vaan. Niinhän sitä viisastuu. -Toivottavasti.
Vain ääliö nauraa kysyjälle.

Asensin juuri Ubuntun ensimmöistä kertaa ja siihen Firestarter-palomuurin. Koneeni kovalevyt on jaettu melko prikulleen tasan Windows XP:n ja Ubuntun kanssa. Nyt joudun vähän väliä netistä tulevien hyökkäysten (tai mitä ne sitten ovatkaan) kohteksi, mutta Firestarter torjuu ne kyllä. Tietääkö joku kertoa, että johtuuko moinen ahdistelu netissä kulkevista Windows-pöpöistä, jotka yrittävät päästä koneeni kimppuun, vaikka käyttis onkin Linux? Vai pommittaako minua joku ilkeä kräkkeri? Vai missä lie syy?

-Porttien skannaaminen johtuu erinäisistä syistä. Toki kysymyksessä voi olla ilkeä kräkkerikin, mutta epäilen. Yleensä kysymys on virusten tai jodenkin muiden haittaohjelmien tartuttamat tietokoneet. Tälläinen hirvittävä karvainen mörötys tarttuu syystä tai toisesta suojaamattomana olevaan tietokoneeseen ja alkaa sitten ohjelmointinsa mukaisesti etsiä netistä muita haavoittuvia tietokoneita. Siksi skannaus siis.

Näin.

Edit: Kiitos, Vanadium. Tuon sinun linkkisi avulla Firestarterin löysin,

-Ollos hyvä vain. Kiva, että pystyin olemaan avuksi.

[PSa]

Käytössä on pelkkä serveriasennus Ubuntusta. Onko Ubuntuun olemassa tekstipohjaista GUIta iptablesin hallintaan?

[ExF]

Itse en ole ainakaan törmännyt kyseiseen, mutta voihan löytyäkkin itse kumminkin suosittelen vain tuon taikarompsun opettelemista melko yksinkertaisia kun ovat.

Tuolla verkkopuolen howtoissa on iptables howto josta saa hyvät esimerkit sun muuta.