Kirjoittaja Aihe: Palomuurisääntöjen muokkaus  (Luettu 3514 kertaa)

Pendeli

  • Käyttäjä
  • Viestejä: 829
    • Profiili
Palomuurisääntöjen muokkaus
« : 11.09.22 - klo:15.28 »
Katselin tuota raimon HOWTO -sivua ( https://forum.ubuntu-fi.org/index.php?topic=4107.0)  ja testasin pitkästä aikaa grc:n testisivuja  https://www.grc.com/x/ne.dll?rh1dkyd2.
Testasin Firefoxilla ja Chromiumilla. Molemmilla sama tulos.

Olin aina aikaisemmin saanut kaikki vihreiksi mutta nyt tulee kaikki
portit sinisiksi. En tiedä mitä olisi muuttunut versiosta 18.04 LTS nykyiseen versioon 22.04LTS.
En muista tehneeni mitään erikoisempia ylimääräisiä asetuksia mihinkään vanhemmissakaan Ubuntuversioissani ja silti oli kaikki portit piilossa eli vihreätä näyttämässä.
Jotenkin muistelen, että jos jotkut portit näyttivät sinistä tai peräti punaista, asian sai korjattua jollain yksinkertaisella asetuksella.

Ainoa ero mikä tulee mieleen on se että molemmat selaimet ovat nykyään snapversioita, kun ne aikaisemmin olivat suoraan Canonicalta.

Jos nyt haluan kaikki vihreäksi niin onko ainoa keino ruveta pudottelemaan portteja HOWTO -sivun mukaan ja onko ko. ohjeet vielä käyttökelpoisia. Ovat vuodelta 2006.

Pendeli

  • Käyttäjä
  • Viestejä: 829
    • Profiili
Vs: Palomuurisääntöjen muokkaus
« Vastaus #1 : 11.09.22 - klo:19.14 »
Kokeilin myös toisella koneella ja Debianilla GRC:n sivuja. Kaikilla tulee samat siniset eli ei piilossa UFW:n perusasetuksilla.
Mobiilimodeemi/reititin ehkä(?)  tullut uutena aikaisempien vuosien testien jälkeen. (jolloin oli aina vihreänä eli piilossa) Voisiko modeemilla  olla jotain tekemistä asian kanssa vai onko GRC:n kriteerit muuttuneet? 

AimoE

  • Käyttäjä
  • Viestejä: 2707
    • Profiili
Vs: Palomuurisääntöjen muokkaus
« Vastaus #2 : 11.09.22 - klo:19.28 »
Kyllä tuo minulle näyttää että kaikki on oikein tukittu, joten enpä usko että GRC:n kriteerit ovat muuttuneet.

Pendeli

  • Käyttäjä
  • Viestejä: 829
    • Profiili
Vs: Palomuurisääntöjen muokkaus
« Vastaus #3 : 13.09.22 - klo:21.35 »
Näyttäisi siltä että Ping vuotaa läpi.

GRC: TruStealth: FAILED - NOT all tested ports were STEALTH,
                   - NO unsolicited packets were received,
                   - A PING REPLY (ICMP Echo) WAS RECEIVED.

En löytänyt ymmärrettävää ohjetta sen sulkemiseen.

UFW on perusasetuksilla eli enabled ilman lisäasetuksia.

nm

  • Käyttäjä
  • Viestejä: 16232
    • Profiili
Vs: Palomuurisääntöjen muokkaus
« Vastaus #4 : 13.09.22 - klo:22.38 »
Mobiilimodeemi/reititin ehkä(?)  tullut uutena aikaisempien vuosien testien jälkeen. (jolloin oli aina vihreänä eli piilossa) Voisiko modeemilla  olla jotain tekemistä asian kanssa vai onko GRC:n kriteerit muuttuneet?

Jos se mobiilimodeemi on erillinen purkki, johon kone kytkeytyy wifillä, purkissa itsessään on palomuuri. Laitteeseen kytkeytyvät koneet ovat suljetussa lähiverkossa NAT-osoitteenmuunnoksen takana. Silloin ping-vastaus tulee modeemista, eikä tietokoneella tai UFW:llä ole asian kanssa tekemistä.

Pendeli

  • Käyttäjä
  • Viestejä: 829
    • Profiili
Vs: Palomuurisääntöjen muokkaus
« Vastaus #5 : 14.09.22 - klo:12.52 »
Käytössä kotimokkula Huawei B715. 
https://www.4gltemall.com/blog/tag/huawei-b715-firewall/
Se on kaapeliyhteydessä pöytäkoneeseen.

Olen mokkulan  palomuuriosiossa ruksannut kohdan "Poista käytöstä WAN-portin ping". Eikö silloin modeemikin pitäisi olla piilossa? Ei tunnu auttavan.

Valikossa on seuraavat ruksattuna paitsi Ipv6:

*Ota palomuuri käyttöön (palomuurin pääkytkin)
*Ota käyttöön IP-osoitesuodatus
*Poista käytöstä WAN-portin ping
*Ota toimialuenimien suodatus käyttöön
*Ota MAC-suodatus käyttöön
 Ota käyttöön Ipv6 ulkoverkosta sisäverkkoon

Muitakin vaihtoehtoja löytyy:
MAC-suodatus
IP-suodatin
Portinsiirto
Erityissovellukset
DMZ-asetukset
SIP ALG-asetukset
UPnP-asetukset
NAT-asetukset
Toimialuenimien suodatus

Kokeilin myös GRC-testiä ottamalla modeemin palomuurin pois käytöstä. Näyttää edelleen samaa Ping-vuotoa.

 Onko jotain   mitä voisi tehdä vai onko modeemissa vika ?

Pendeli

  • Käyttäjä
  • Viestejä: 829
    • Profiili
Vs: Palomuurisääntöjen muokkaus
« Vastaus #6 : 14.09.22 - klo:19.24 »
Nyt sitten kun taas kai kymmenennen kerran testasin, niin jostain syystä kaikki näytti salattua eli vihreätä. Myös toisella koneella ja Debianilla sekä Ubuntulla. Eli modeemista kai oli kyse kuitenkin.
En tietääkseni muuttanut mitään modeemin asetuksissa pysyvästi vaikka kaikkea kokeilinkin.  Mutta huomasin ainoastaan että GRC:n ilmoittama IP-osoite oli muuttunut aikaisempaan verrattuna. j
Vähän mysteeriksi jäi ongelman syy ainakin minulle. Jos jollain on järkevä selitys asialle niin  mielenkiintoista tietysti olisi kuulla.

LeHiX

  • Käyttäjä
  • Viestejä: 789
    • Profiili
Vs: Palomuurisääntöjen muokkaus
« Vastaus #7 : 15.09.22 - klo:00.04 »
No yritin aloittajan linkkiä ja huomasin että olen aikaisemminkin sitä käyttänyt. Nyt se ei jostain syystä onnistu?Yritetty Bravella ja Firefoxilla.
| Pros. AMD Phemon(tm) 9950 :) (4cores) | Emo: ASUS M3A78 | Mem 8GT
| x86_64, ubuntu xorg 22.04  | GeForce GTX 750 Ti/PC

mniem

  • Käyttäjä
  • Viestejä: 51
    • Profiili
Vs: Palomuurisääntöjen muokkaus
« Vastaus #8 : 15.09.22 - klo:00.30 »
No yritin aloittajan linkkiä ja huomasin että olen aikaisemminkin sitä käyttänyt. Nyt se ei jostain syystä onnistu?Yritetty Bravella ja Firefoxilla.
Ei onnistu suorasta linkistä. Klikkaa https://www.grc.com/intro.htm Spinrite-ikonia, jonka jälkeen valitse ylävalikosta Services- > Shields up. Tämän jälkeen valitse Proceed ja All Service Ports.

Pendeli

  • Käyttäjä
  • Viestejä: 829
    • Profiili
Vs: Palomuurisääntöjen muokkaus
« Vastaus #9 : 15.09.22 - klo:16.10 »
Nyt sitten kun taas kai kymmenennen kerran testasin, niin jostain syystä kaikki näytti salattua eli vihreätä. Myös toisella koneella ja Debianilla sekä Ubuntulla. Eli modeemista kai oli kyse kuitenkin.
En tietääkseni muuttanut mitään modeemin asetuksissa pysyvästi vaikka kaikkea kokeilinkin.  Mutta huomasin ainoastaan että GRC:n ilmoittama IP-osoite oli muuttunut aikaisempaan verrattuna. j
Vähän mysteeriksi jäi ongelman syy ainakin minulle. Jos jollain on järkevä selitys asialle niin  mielenkiintoista tietysti olisi kuulla.


Eipä sekään ilo pitkään kestänyt. Nyt on taas kaikki sinisellä eli ei salattuna. Ei onneksi kuitenkaan avoimina.

LeHiX

  • Käyttäjä
  • Viestejä: 789
    • Profiili
Vs: Palomuurisääntöjen muokkaus
« Vastaus #10 : 15.09.22 - klo:23.31 »
En ole paljon asetuksia tehnyt enkä muista mitä tein... mutta:
| Pros. AMD Phemon(tm) 9950 :) (4cores) | Emo: ASUS M3A78 | Mem 8GT
| x86_64, ubuntu xorg 22.04  | GeForce GTX 750 Ti/PC

nm

  • Käyttäjä
  • Viestejä: 16232
    • Profiili
Vs: Palomuurisääntöjen muokkaus
« Vastaus #11 : 16.09.22 - klo:00.40 »
En ole paljon asetuksia tehnyt enkä muista mitä tein... mutta:

Nykyisin kotitietokoneet kytketään nettiin lähes aina jonkin NAT-palomuuriboksin kautta. Niissä portit 0 - 1024 ovat oletuksena kiinni, eivätkä ne vastaa mihinkään pyyntöihin.
« Viimeksi muokattu: 16.09.22 - klo:00.42 kirjoittanut nm »

Pendeli

  • Käyttäjä
  • Viestejä: 829
    • Profiili
Vs: Palomuurisääntöjen muokkaus
« Vastaus #12 : 16.09.22 - klo:10.42 »
Nykyinen modeemi näyttää toimivan hyvin epävakaasti ainakin GRC:n testien kanssa. Kokeilin lainamodeemia ja se näytti 100 prosenttisesti  joka kerta vihreätä eli toimii minun mielestäni niinkuin pitääkin.

Onko modeemiin yleensä mahdollista tarttua joku haittaohjelma
ja kuinka ne voi löytää ja poistaa? Tehdasasetuksiin palautus
ei ainakaan näytä auttavan.

On varmaankin tullut aika ostaa uudempi laite. Nykyinen oli jo alusta lähtien vikaostos joka piti vaihtaa ensimmäisen kuukauden aikana takuuvaihtona kahdesti uuteen.

Antakaa vinkkejä luotettavasta mobiilimokkula tyylisestä modeemireitittimestä missä tulisi löytyä kaapeliyhteys pöytäkoneeseen plus   2 - 3  muuta kaapeliulostuloa sekä tietysti wifi. Laite tulisi olla operaattorista riippumaton.
« Viimeksi muokattu: 16.09.22 - klo:10.55 kirjoittanut Pendeli »

AimoE

  • Käyttäjä
  • Viestejä: 2707
    • Profiili
Vs: Palomuurisääntöjen muokkaus
« Vastaus #13 : 16.09.22 - klo:11.02 »
Minulta on mennyt ohi minkälaisen verkon modeemista on kyse?

Pendeli

  • Käyttäjä
  • Viestejä: 829
    • Profiili
Vs: Palomuurisääntöjen muokkaus
« Vastaus #14 : 16.09.22 - klo:12.00 »
Ei mitään verkkoja eikä servereitä. Pelkkä nettiyhteys yhdellä tai kahdella koneella kerrallaan.

AimoE

  • Käyttäjä
  • Viestejä: 2707
    • Profiili
Vs: Palomuurisääntöjen muokkaus
« Vastaus #15 : 16.09.22 - klo:12.05 »
Tarkoitan sitä verkkoa jonka kautta internet sinulle ryömii. Tuleeko se TV-kaapelista vai phelinkaapelista vai mikä on se teknologia jota varten signaalin muunnos  tarvitaan?

Jtkone

  • Käyttäjä
  • Viestejä: 876
    • Profiili
Vs: Palomuurisääntöjen muokkaus
« Vastaus #16 : 16.09.22 - klo:12.46 »

Onko modeemiin yleensä mahdollista tarttua joku haittaohjelma
ja kuinka ne voi löytää ja poistaa? Tehdasasetuksiin palautus
ei ainakaan näytä auttavan.

On mahdollista. Linkissä vanhahko uutinen:
https://www.is.fi/digitoday/tietoturva/art-2000004886729.html
Pelkkä tehdasasetuksien palautus ei poista haittaohjelmaa, mutta modeemin sähköttömäksi tekeminen saattaa auttaa. Oheisessa linkissä hiukan enemmän aiheesta.

Pendeli

  • Käyttäjä
  • Viestejä: 829
    • Profiili
Vs: Palomuurisääntöjen muokkaus
« Vastaus #17 : 16.09.22 - klo:15.39 »
Tarkoitan sitä verkkoa jonka kautta internet sinulle ryömii. Tuleeko se TV-kaapelista vai phelinkaapelista vai mikä on se teknologia jota varten signaalin muunnos  tarvitaan?

 Yhteys on langaton modeemi. Eli kotimokkula/matkamokkula tai mikä lie virallinen nimike. Ylempänä kerrottu merkki ja asetukset.

AimoE

  • Käyttäjä
  • Viestejä: 2707
    • Profiili
Vs: Palomuurisääntöjen muokkaus
« Vastaus #18 : 16.09.22 - klo:16.01 »
Okei, mobiiliverkon modeemi. Tämäpä juuri minulta meni ohi. Onneksi en ole joutunut sellaiseen turvautumaan, joten joku muu saa suositella sellaista. Nyt kun minulla on kotona valokuitu, niin matkakäyttöön riittää kännykkä.

nm

  • Käyttäjä
  • Viestejä: 16232
    • Profiili
Vs: Palomuurisääntöjen muokkaus
« Vastaus #19 : 16.09.22 - klo:17.43 »
Netgear Nighthawk LAX20. Netgear MR2100 tai MR1100 voisivat olla sisustuksellisesti miellyttävämpiä, mutta niissä on vain yksi ethernet-portti, eli useampaa langallista kytkentää varten pitäisi lisäksi olla erillinen Ethernet-kytkin. Taiwanilaiset Asus ja ZyXEL ovat myös päteviä vaihtoehtoja, joiden mallistosta löytynee sopivia laitteita.

5G-modeemilla varustettujen tukiasemien hinnat ovat vielä melko korkeita. Jos asuu 5G-peittoalueella tai 5G on tulossa saataville, kannattanee harkita laitehankinnan lykkäämistä vielä hieman pidemmälle tulevaisuuteen.