Jak opanować profesjonalną obsługę zapory ogniowej ?
Jakiego firewalla użyć gufw czy iptables?
Czy wystarczy sam firewall w routerze ?
Cytat: linux4ever w Październik 31, 2025, 03:49:34 PMJak opanować profesjonalną obsługę zapory ogniowej ?
Profesjonalną? To kupić Checkpointa, Stormshielda, Sophosa, FortiGate'a lub coś podobnego i pójść na szkolenie.
Czyli UTM. Niestety, to nie są tanie rzeczy, w domu to raczej rzadkość. Do domu najczęściej zwykły IDS. Na Windows używam Snorta.
CytatCzy wystarczy sam firewall w routerze ?
To pierwsza linia obrony, zatrzymuje większość prostych ataków. Ale nie po to każdy współczesny system operacyjny ma firewall, aby polegać na samym routerze. Którego firmware może przecież być dziurawe.
CytatJak opanować profesjonalną obsługę zapory ogniowej ?
Moim zdaniem, najlepiej wybrać taką zaporę, która jest popularna. Zmieniamy distro i od razu konfigurujemy firewall, zamiast uczyć się wszystkiego od zera. Sam z siebie opanujesz, jak nie będziesz w kółko zmieniał zapór.
Ja wszędzie używam IPFilter, który jest dołączony do większości systemów uniksowych.
Cytat: microsofter w Październik 31, 2025, 05:46:38 PMCzyli UTM. Niestety, to nie są tanie rzeczy, w domu to raczej rzadkość. Do domu najczęściej zwykły IDS. Na Windows używam Snorta.
To może jakaś specjalizowana dystrybucja, jak np. IPFire, ClearOS, OPNsense czy pfSense? Budowanie firewalla w oparciu o dystrybucję ,,ogólnego przeznaczenia" uważam za bardzo ryzykowne, jeśli się nie jest ekspertem od bezpieczeństwa i nie poświęca się życia na monitorowanie zagrożeń. Hardeningowanie Linuksa to trudne zagadnienie i łatwo ,,dziurę" zostawić.
Cytat: linux4ever w Październik 31, 2025, 03:49:34 PMJakiego firewalla użyć gufw czy iptables?
GUFW to graficzna nakładka na UFW, który to pracuje na iptables. Teraz jednak standardem jest nftables.
CytatTo może jakaś specjalizowana dystrybucja
Dokładnie czegoś takiego używam jako centralny router i firewall, już niemal 3 lata - patrz mój podpis.
CytatBudowanie firewalla w oparciu o dystrybucję ,,ogólnego przeznaczenia" uważam za bardzo ryzykowne, jeśli się nie jest ekspertem od bezpieczeństwa i nie poświęca się życia na monitorowanie zagrożeń.
Ależ nie! Pierwotnie planowałem zbudować swój firewall w oparciu o najzwyklejszy Solaris 10 (bez GUI). Jest to jak najbardziej możliwe, a hardening łatwo zrobisz za pomocą non-global zones. Jednakże po głębszym namyśle zrezygnowałem, gdyż efekt końcowy byłby taki sam jak przy specjalistycznym distrze, lecz musiałbym ręcznie edytować wszystkie zasady zapory i NATu. Latwo wtedy o pomyłkę.
Dedykowane rozwiązanie jest po prostu praktyczne: masz przyjazne GUI do zarządzania regułami, a dodatkowo różne zaawansowane funkcje, jak QoS czy Proxy ARP. No i hardening masz out-of-the-box: wszystko co zbędne jest wykastrowane, zainstalowany m0n0wall zajmuje tylko 20 MB, a dostęp do shella (i tak o ograniczonej funkcjonalności) jest wyłącznie przez webGUI. Nie zrootkitujesz tego nawet gdybyś odgadł hasło, praktycznie twierdza.
CytatHardeningowanie Linuksa to trudne zagadnienie i łatwo ,,dziurę" zostawić.
Dlatego Linuxa nawet nie brałem pod uwagę. Rozważałem Solaris, OpenSolaris, OpenBSD no i m0n0wall.
CytatOPNsense czy pfSense
Te distra - notabene oba będące rozwinięciem m0n0wall - to coś więcej niż pierwowzór. Można je rozbudowywać pluginami i wykorzystać jako centralny IDS. Z pewnością kiedyś je przetestuję. Ale to w przyszłości, one potrzebują raczej czegoś więcej niż mój wysłużony Duron.
Cytat: microsofter w Listopad 02, 2025, 12:24:39 PMDokładnie czegoś takiego używam jako centralny router i firewall, już niemal 3 lata - patrz mój podpis.
Widziałem, toteż moja odpowiedź była nie tyle dla Ciebie, ile dla @linux4ever. Ty jesteś fachowiec kuty na cztery nogi. A posłużyłem się Twoimi cytatami, bo mi pasowały.
CytatJednakże po głębszym namyśle zrezygnowałem, gdyż efekt końcowy byłby taki sam jak przy specjalistycznym distrze, lecz musiałbym ręcznie edytować wszystkie zasady zapory i NATu. Latwo wtedy o pomyłkę.
Między innymi to właśnie miałem na myśli.
CytatDlatego Linuxa nawet nie brałem pod uwagę. Rozważałem Solaris, OpenSolaris, OpenBSD no i m0n0wall.
Mimo to wiele profesjonalnych firewalli jest opartych właśnie na hardeningowanym Linuksie. Między innymi CheckPoint i jakiś francuski, którego nazwa wyleciała mi z głowy. Ale nie polecam robić tego w domu, firmy które się tym zajmują mają o wiele większe możliwości.
Dzięki za miłe słowa, Mirek. Z kolei przed tobą, Linux praktycznie nie ma tajemnic. Więcej takich userów, jak Ty. Pozdro.
Cytat: microsofter w Listopad 03, 2025, 12:54:33 AMDzięki za miłe słowa, Mirek. Z kolei przed tobą, Linux praktycznie nie ma tajemnic. Więcej takich userów, jak Ty. Pozdro.
Oj ma... Ale się tym specjalnie nie przejmuję. Na Linuksie to można zęby zjeść, a i tak zawsze znajdzie się coś takiego, czego się nie wie.