Debian: Quel pare-feu pour un novice?

Je dois installer un pare-feu sur mon server (donc sans server X). C'est un Lenny debian. Si c'est possible, je veux éviter l'utilisation d' iptables . Existe-t-il un moyen d'installer / configurer un pare-feu pour un débutant?

Au début, un pare-feu devrait être la dernière étape pour sécuriser un server. Supprimez tous les logiciels et services inutiles, mettez à jour votre système avec les derniers correctifs de security disponibles et examinez vos files de configuration.

Pourquoi voulez-vous éviter iptables?

"Parce que je suis un débutant" n'est pas une vraie excuse. Un pare-feu «tout en un tout sécurisé» n'existe pas et si un produit logiciel utilise un tel slogan, il est probable qu'il ne s'agisse que d'un logiciel snakeoil.

Si vous n'êtes pas expérimenté dans les bases de la mise en réseau, vous devrez l'apprendre pour configurer un pare-feu fonctionnel. 🙂

Si vous ne souhaitez pas créer vous-même les règles iptable, vous avez deux options:

  • personnaliser les scripts existants trouvés sur le net
  • utiliser un outil graphique pour créer les règles vous-même

iptables est votre interface avec la couche réseau du kernel. Presque toutes les solutions pour linux en dépendront.

Voici quelques exemples de scripts / tutoriels commentés. Vous findez facilement plus avec une search google .

Voici une list d'outils charts que vous pouvez utiliser pour créer vos règles iptable:

  • FirewallBuilder
  • EasyChains
  • Allume feu

Un excellent livre sur les servers Linux et la security est "Building Secure Servers with Linux" de O'Reilly.

Ne vous découragez pas et désolé pour les mots "dur", mais un server sur Internet n'est pas un jouet et vous aurez une certaine responsabilité pour cela.

Vous pourriez envisager d'essayer ufw . Bien qu'il ait été créé pour Ubuntu Server, je pense qu'il est également disponible dans Debian. ( UPDATE : Malheureusement, on dirait qu'il est disponible uniquement pour squeeze et sid selon packages.debian.org , mais cela vaut peut-être la peine d'être regardé). Bien que je dirais que vous voulez éventuellement passer à l'écriture de vos propres règles iptable , J'ai d'abord trouvé ufw très facile à utiliser et très facile à faire la transition. Voici quelques points saillants:

  • Convienient Syntaxe: ufw allow 22 ou ufw allow ssh est tout ce qui est nécessaire pour autoriser le trafic ssh entrant si votre politique par défaut est DENY.

  • Journalisation facile: la journalisation de l' ufw logging on relativement raisonnable. La bonne chose à propos de l'logging est que par défaut, il abandonne les services particulièrement bruyants (port 137 quelqu'un?).

  • Possibilité de mettre en œuvre des politiques compliquées: sur ma machine à la maison, j'utilise ufw et suis en train d'exécuter une politique assez compliquée.

  • Possibilité d'append vos propres règles iptable. À peu près n'importe quelle politique peut toujours être implémentée avec ufw même si l'interface par défaut ne fournit pas un mécanisme parce que vous pouvez toujours append vos propres règles.

  • Grande documentation: man ufw est souvent tout ce dont vous avez besoin pour résoudre un problème ou répondre à une question – ce qui est génial si vous configurez votre pare-feu lorsqu'il est hors ligne.

Ce n'est pas un "clic un button et vous serez sécurisé" pare-feu. À la fin de la journée, il fournit une syntaxe de création de règles facile à utiliser, une abstraction autour d' iptables-save et d' iptables-restore et apporte quelques règles et pratiques par défaut dont un novice pourrait ne pas savoir.

Je recommand le package firehol .

essayer à shorewall … Je suis plutôt content et je pense qu'il est très facile de configurer tout ce dont j'ai besoin. (Y compris la mise en forme du trafic, NAT, DNAT et d'autres choses).