Как настроить firewall

Создание правил работы брандмауэра

Правила работы файервола создаются для ограничений работы программ. Ограничения действуют на доступ к Интернету, доступ к выбранным IP-адресам, возможность приложений использовать данные компьютера и многое другое.

Для наглядного примера можно рассмотреть порядок установки правила:

В главном окне брандмауэре на боковой панели нужно найти раздел «Дополнительные параметры» и перейти в него.
В главном окне показаны профили, с которыми работает защитник — «Профиль домена», «Частный профиль», Общий профиль«. Эти профили работают по правилам, установленным изначально или самим пользователем

Здесь нужно обратить внимание на навигационную панель слева, где присутствуют правили для входящих и исходящих подключений.
Указав на одно из правил подключений, отобразится список приложений, которые работают с тем или иным видом подключений.
В правой части открывшегося окна нужно нажать на строку «Создать правило».
Выбрать тип создаваемого правила — для программы, порта и тому подобное.
Затем нужно указать путь к файлу программы, для которой создается правило, или выбрать пункт «Для всех программ» и нажать «Далее».
В открывшемся окне выбрать один из вариантов — «Разрешить подключение» или «Запретить подключение».

Таким образом пользователь разрешает или запрещает приложению подключаться к Сети, чтобы повысить безопасность.

Создание правила работы брандмауэра, которое можно легко удалить

Обратите внимание! Если выбрать для правила «Безопасное подключение», то возможно, что программа не будет подключаться к Сети вовсе, так как доступ осуществляется без соблюдения правил безопасного подключения. Таким образом брандмауэр будет блокировать подключение приложения к Интернету

Что это такое и какие функции выполняет

С немецкого брандмауэр (brandmauer) переводится как “противопожарная стена”. Определение перекочевало из сферы строительства в информатику, где означает программу, главная функция которой — защита операционной системы от сетевых, хакерских атак. Назначение брандмауэра — выслеживать и блокировать все вредоносные подключения, обеспечивать защиту персональной пользовательской информации. То есть он постоянно прослушивает порты компьютера, чтобы выявить момент подключения к ним нехороших прог, вирусов, червей.

Каковы функции такой защиты:

  • следит за сомнительными соединениями, например, если они пытаются отправить информацию в Интернет;
  • блокирует порты, которые не участвуют в работе, и изучает трафик с открытых портов;
  • наблюдает за работающими приложениями и предупреждает пользователя, если изменяется важная информация запущенных прежде программ.

Синонимы — файрвол (firewall с английского — “противопожарная стена”), сетевой или межсетевой экран. Но файрволом часто именуют приложения сторонних производителей, а брандмауэром стандартную прогу для ОС Windows. Некоторые пользователи дают неверное название: фаервол, брандмауер, брандмаузер, браундмер. Так говорить неправильно, но смысл не меняется, и все друг друга понимают.

Как включить в windows и правильно настроить

Как найти брандмауэр? В панели управления. Во всех версиях операционки Виндовс, кроме 8 и 8.1, его легко находить через “Пуск”.

В Windows 8:

  • на начальном экране нажать правой кнопкой мыши, выйдет “Все приложения”;
  • после нажатия на экране появится список приложений, где нужно найти “Панель управления”.

В Windows 8.1. для отображения меню кликнуть на кружок со стрелкой внизу начального экрана. Есть две программы: “Панель управления HD-графикой Intel@” и просто “Панель управления”. Нужен второй вариант.

Еще один метод — вставить команду firewall.cpl в окошко “Выполнить”, которое открывается комбинацией «Win» и «R» (нажать одновременно).

После открытия файрвола нужно проверить, в каком он состоянии. Зеленый щиток говорит о том, что защита включена, красный — отключена.

Выполнение включения:

  • перейти во вкладку “Включение и отключение” (меню слева);
  • поставить указатель на “Включить”;
  • нажать “Ок” (внизу экрана).

После этого файрвол будет автоматически запускаться при старте системе, то есть постоянно включать его не требуется.

В этом же окне отображаются основные настройки для двух видов сети: общественной и частной.

Что можно сделать:

  • заблокировать все входящие подключения.
  • установить уведомление файрвола, когда он блокирует новую прогу.

Межсетевой экран Windows от Microsoft есть в каждой современной операционке, но можно скачать и запустить брандмауэр от других производителей.

Если на компьютере стоит пиратская версия Windows, скорее всего, файрвол отключен или неправильно настроен.

Как работает брандмауэр — реальные примеры

Сетевой экран функционирует как пограничный блокпост, который пропускает трафик и в соответствии со списком правил не дает проникнуть в систему запрещенной информации. Если в систему пытается попасть вирус или вредоносная прога, пользователь увидит окно с оповещением об опасности, например: “Обнаружены программы, которые могут нарушить конфиденциальность или причинить вред”.

Это значит, что файрвол заподозрил опасность. В окошке будет ее описание, название программы. Это может быть троян, например, Trojan:WIN32/Vundo.MF. В случае подобной опасности нужно удалить вирус и очистить систему, выбрав соответствующие действия в окошке.

Файрвол может оповестить и о попытке доступа к сети. Всплывает окошко с надписью “Брандмауэр обнаружил попытку доступа к сети”. Если это не действие системной службы или известной неопасной программы (можно прогуглить ее), нужно заблокировать и проверить систему антивирусом.

Если какая-то прога хочет получить доступ к Интернету, межсетевой экран может оповестить о том, что заблокировал ее некоторые возможности. Если это было запланировано пользователем, в окошке нажать “Разрешить доступ”. Так ни одна программа не сможет подключиться к сети без ведома владельца.

Дополнительные настройки

Как зайти в дополнительные настройки правил и зон брандмауэра? Открыть то же меню, где включение.

Там можно изменить и проверить разные настройки прокси-сервера и брандмауэра:

  • настроить доменный профиль;
  • просматривать и настраивать правила подключения;
  • создать правило для отдельных приложений и безопасного подключения.

При нажатии на “Дополнительные параметры” и другие элементы меню может выйти окошко с надписью “Вы хотите разрешить следующему приложению внести изменения на этот компьютер?” Для просмотра параметров нужно нажать “Да”.

Как через реестр отключить брандмауэр

Помимо всех описанных способов, брандмауэр Windows также можно отключить при помощи системного реестра (Regedit)

Особенности Regedit

Существует несколько случаев, когда отключение брандмауэра через реестр остаётся единственным верным вариантом. Например, если:

  • один из пользователей компьютера отключил стандартный пользовательский доступ к интерфейсу брандмауэра;
  • работу брандмауэра нарушил непредвиденный сбой сторонней антивирусной программы;
  • системный брандмауэр конфликтует с Защитником Windows.

В этом случае брандмауэр можно легко и быстро отключить с помощью regedit.

Отключение брандмауэра Windows с помощью реестра

Чтобы отключить брандмауэр Windows в редакторе реестра, необходимо перейти в меню «Пуск»> «Выполнить» и ввести regedit в поле ввода.

Затем перейдите в раздел:

HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services SharedAccess ПараметрыFirewallPolicy StandardProfile

Измените значение Reg_DWORD EnableFirewall с 0 на 1, чтобы отключить брандмауэр.

Войти в реестр можно также с помощью командной строки:

Пуск – Служебные – Командная строка

В появившемся окне введите команду «regedit»

Обратите внимание, что доступ к реестру зависит от привилегий пользователя. Все вышеуказанные действия стоит выполнять при условии, что вход выполнен от имени администратора

Вводная

Основное достоинство программы в минимуме лишних настроек, поддержки русского языка, малом ресурсном весе, а так же простым управлением, что вытекает из настроек.

После установки TinyWall скрывает все порты, так сказать, в режим невидимки, что немного схоже с алгоритмикой APS, а так же, после установки, позволяет переводит систему в режим полной блокировки, предлагая, без всяких всплывающих окон, быстро и относительно просто, настроить список исключений.

Вы не увидите никаких привычных всплывающих окон, настройка производится ручками из главного окна программы. В частности есть режим автообучения.

Настройка ssh

Теперь внесем некоторые изменения в настройки сервера ssh. Я рекомендую его запускать на нестандартном порту для исключения лишних общений с ботами, которые регулярно сканируют интернет и подбирают пароли пользователей по словарям.

Существует расхожее мнение, что менять порт ssh это наивность, а не защита. Надо просто настроить сертификаты, fail2ban или еще каким-то образом защитить ssh порт, к примеру, с помощью ограничений iptables, и т.д. Тем не менее, я все же рекомендую порт сменить на нестандартный. Даже если у вас все защищено от подбора паролей, так как вы используете сертификаты, лишние запросы к ssh порту тратят ресурсы сервера, хоть и не очень большие. Идет установка соединения, обмен рукопожатиями и т.д. Зачем вам это нужно?

По-умолчанию в Debian, впрочем как и в любом другом дистрибутиве Linux, ssh сервер работает на 22 порту. Изменим этот порт, к примеру, на 23331. Так же я еще изменяю конфигурацию для разрешения подключения по ssh пользователя root с использованием пароля. В Debian из коробки пользователь root по ssh паролем авторизовываться не может. Изменим и это. Открываем файл настроек:

# nano /etc/ssh/sshd_config

И изменяем там следующие строки. Приводим их к виду:

Port 23331
PermitRootLogin yes

Сохраняем изменения и перезапускаем сервер ssh следующей командой:

# service sshd restart

Проверяем изменения:

# netstat -tulnp | grep ssh

tcp 0 0 0.0.0.0:23331 0.0.0.0:* LISTEN 925/sshd
tcp6 0 0 :::23331 :::* LISTEN 925/sshd

Все в порядке, сервер слушает 23331 порт. Теперь новое подключение будет осуществлено только по порту 23331. При этом, после перезапуска ssh, старое подключение не будет разорвано.

Я знаю, что многие возражают против подключения рутом к серверу. Якобы это небезопасно и т.д. и т.п. Мне эти доводы кажутся не убедительными. Не понимаю, в чем может быть проблема, если у меня нормальный сложный пароль на root, который не получится подобрать или сбрутить. Ни разу за всю мою работу системным администратором у меня не возникло проблем с этим моментом. А вот работать так значительно удобнее, особенно, когда необходимо оперативно куда-то подключиться по форс мажорным обстоятельствам.

Отдельно тему подключения к серверу под root я рассмотрел в статье про sudo. Кому интересно, переходите в нее и делитесь своим мнением на этот счет.

Пример настройки NAT (шлюза)

Включить маскарадинг:

firewall-cmd —permanent —zone=dmz —add-masquerade

* без указания зон, будет включен для public и external.

Для примера берем два ethernet интерфейса — ens32 (внутренний) и ens33 (внешний). Для настройки nat последовательно вводим следующие 4 команды:

firewall-cmd —permanent —direct —add-rule ipv4 nat POSTROUTING 0 -o ens33 -j MASQUERADE

* правило включает маскарадинг на внешнем интерфейсе ens33. Где опция —direct требуется перед всеми пользовательскими правилами (—passthrough, —add-chain, —remove-chain, —query-chain, —get-chains, —add-rule, —remove-rule, —query-rule, —get-rules); nat — таблица, в которую стоит добавить правило; POSTROUTING 0 — цепочка в таблице nat; опция MASQUERADE указывает сетевому экрану менять внутренний IP-адрес на внешний.

firewall-cmd —direct —permanent —add-rule ipv4 filter FORWARD 0 -i ens32 -o ens33 -j ACCEPT

* добавляет в таблицу filter (цепочку FORWARD) правило, позволяющее хождение трафика с ens32 на ens33.

firewall-cmd —direct —permanent —add-rule ipv4 filter FORWARD 0 -i ens33 -o ens32 -m state —state RELATED,ESTABLISHED -j ACCEPT

* добавляет правило в таблицу filter (цепочку FORWARD), позволяющее хождение трафика с ens33 на ens32 для пакетов, открывающих новый сеанс, который связан с уже открытым другим сеансом (RELATED) и пакетов, которые уже являются частью существующего сеанса (ESTABLISHED).

systemctl restart firewalld

* для того, чтобы сервер CentOS заработал в качестве шлюза, также необходимо настроить ядро. Подробнее в статье Настройка Интернет шлюза на CentOS 7.

Для просмотра созданных данным способом правил используем команду:

firewall-cmd —direct —get-all-rules

Настроить брандмауэр Windows

Вы можете настроить большинство параметров своего брандмауэра Windows через левую панель апплета брандмауэра на панели управления.

1. Включить брандмауэр Windows

Этот параметр выбран по умолчанию. Когда брандмауэр Windows включен, большинству программ запрещен обмен данными через брандмауэр. Нажав на Включить или выключить брандмауэр , вы сможете включить или отключить брандмауэр Windows на своем компьютере.

3. Отключите брандмауэр Windows

Не используйте этот параметр, если на вашем компьютере не установлен другой брандмауэр. Отключение брандмауэра Windows может сделать ваш компьютер более уязвимым для ущерба от хакеров и вредоносного программного обеспечения. Нажав на Включить или выключить брандмауэр , вы сможете включить или отключить брандмауэр Windows на своем компьютере.

4. Блокируйте или разрешайте программы через брандмауэр Windows

По умолчанию большинство программ блокируются брандмауэром Windows, чтобы повысить безопасность компьютера. Для правильной работы некоторых программ может потребоваться разрешить им общаться через брандмауэр. Вот как это сделать:

Нажмите Разрешить приложение или функцию через брандмауэр Windows . Если вас попросят ввести пароль администратора или подтверждение, введите пароль или предоставьте подтверждение.

Установите флажок рядом с программой, которую вы хотите разрешить, выберите типы сетевых расположений, для которых вы хотите разрешить связь, и нажмите кнопку ОК.

Если вы хотите разрешить программе взаимодействовать через брандмауэр, вы можете добавить ее в список разрешенных программ. Например, вы не сможете отправлять фотографии в мгновенном сообщении, пока не добавите программу обмена мгновенными сообщениями в список разрешенных программ. Чтобы добавить или удалить программу в список, нажмите ссылку Разрешить приложение или функцию через брандмауэр Windows , чтобы открыть следующую панель, где вы сможете получить дополнительную информацию о разрешенных программах и разрешить другую. приложение для связи через брандмауэр.

Чтение . Брандмауэр Windows заблокировал некоторые функции этого приложения.

5. Как открыть порт в брандмауэре Windows

Вы также можете заблокировать или открыть порт в брандмауэре Windows. Если брандмауэр Windows блокирует программу и вы хотите разрешить этой программе взаимодействовать через брандмауэр, вы обычно можете сделать это, выбрав программу в списке разрешенных программ (также называемых списком исключений) в брандмауэре Windows. Чтобы узнать, как это сделать, см. Разрешить программе взаимодействовать через брандмауэр Windows.

Однако, если программы нет в списке, вам может потребоваться открыть порт. Например, чтобы играть в многопользовательскую игру с друзьями в Интернете, вам может потребоваться открыть порт для игры, чтобы брандмауэр передавал игровую информацию на ваш компьютер. Порт остается открытым все время, поэтому обязательно закройте порты, которые вам больше не нужны.

Нажмите, чтобы открыть брандмауэр Windows. На левой панели нажмите Расширенные настройки .

В диалоговом окне Брандмауэр Windows в режиме повышенной безопасности на левой панели нажмите Правила для входящих подключений , а затем на правой панели нажмите Новое правило .

Далее следуйте инструкциям на экране до его логического завершения.

Вы определенно хотите также проверить Управление брандмауэром Windows с помощью приложения панели управления брандмауэра, утилиты Netsh, редактора объектов групповой политики и т. д. Вы также можете протестировать брандмауэр, используя эти бесплатные онлайн-тесты брандмауэра.

Эти бесплатные программы помогут вам лучше управлять брандмауэром Windows .

  1. Управление брандмауэром Windows
  2. Уведомление о брандмауэре Windows
  3. Управление брандмауэром Windows
  4. Пять инструментов для управления брандмауэром Windows.

Смотрите этот пост, если вам когда-нибудь понадобится восстановить брандмауэр Windows.

Как отключить брандмауэр

Как уже говорилось, системой предусмотрено два варианта отключения. Для обычного пользователя, не желающего вникать в тонкости работы с командной строкой, лучшим станет использование панели управления.

При помощи панели управления

В данном случае последовательность действий крайне проста и понятна:

  1. Кликаем по кнопке «Поиск», расположенной в нижнем меню рядом с кнопкой «Пуск», вводим соответствующий запрос и переходим по первому результату.
  1. В окне «Просмотр» выбираем режим отображения «Крупные значки», после чего переходим к разделу «Брандмауэр Windows».
  1. В отобразившемся разделе переходим к пункту «Включение и отключение брандмауэра Windows».
  1. Чтобы полностью отключить файервол, делаем активным пункт «Отключить брандмауэр Windows» в обоих разделах и нажимаем «ОК».

На этом процедура окончена. Файервол будет отключен, после чего система выведет уведомление о небезопасности использования сетей.

Перейдём к более продвинутому способу – использование командной строки.

С помощью командной строки

Несмотря на кажущуюся сложность, использовать командную строку не так уж и трудно. Последовательность действий в данном случае описана ниже:

  1. Открываем строку от имени администратора. Для этого кликаем по иконке поиска рядом с пуском, вводим нужный запрос, делаем правый клик по первой строке и выбираем пункт «Запустить от имени администратора».
  1. Прописываем команду «netsh advfirewall set allprofiles state off» и жмём Enter. Файервол будет отключен тогда, когда под введённой командой появится значение «ОК».
  1. Чтобы обратно включить брандмауэр, вводим ту же команду, заменив «off» в конце строки на «on».

На этом работа с командной строкой завершена. Данный способ требует знания нужной команды, но экономит значительную часть пользовательского времени.

Для этого:

  1. Делаем правый клик на меню «Пуск» и переходим к пункту «Управление компьютером».
  1. Переходим в раздел «Службы», где будет находиться процесс «Брандмауэр Windows», делаем по нему правый клик и открываем «Свойства».
  1. В поле «Тип запуска» выставляем параметр «Отключена» и нажимаем на «ОК».

Служба отключится. Запуск файервола будет возможен только лишь после обратной активации данной службы.

Возможны ситуации, когда брандмауэр «мешает» лишь одной из многочисленных программ, а полностью отключать его вовсе не хочется. В таком случае самым простым и эффективным решением станет занесение программы в список исключения файервола. Рассмотрим подробнее, как настроить это.

Firewall и базовая настройка безопасности

Давайте теперь немного порассуждаем, зачем нужен файрвол и какие вопросы он решает. Причем не только в контексте микротика, а вообще

Сейчас каждый доморощенный админ рассказывает, как важно всегда настраивать firewall, иногда даже не понимая, для чего он нужен. Лично я не сторонник создания лишних сущностей, поэтому там где межсетевой экран не нужен, я его не настраиваю

Сетевой экран позволяет настраивать доступ как к самому шлюзу, так и к ресурсам за ним. Допустим, у вас не запущено никаких сервисов на роутере, и нет никакого доступа извне в локальную сеть. У вас есть какая-то служба на шлюзе, с помощью которой к нему подключаются и управляют (ssh, winbox, http и т.д.), причем ограничение доступа к этой службе настраивать не планируется. Вопрос — зачем вам в таком случае настраивать фаервол? Что он будет ограничивать и какие правила туда писать? В таком случае вам будет достаточно отключить все сервисы на роутере, которые слушают подключения из вне и все.

На самом деле такой кейс очень популярный дома или в мелких организациях, где нет постоянного админа. Просто настроен какой-то роутер, поднят NAT и все. Я понимаю, что не правильно не настраивать ограничения на доступ к управлению, но я рассказываю, как часто бывает. То есть firewall должен решать конкретную задачу по ограничению доступа к ресурсам, а не существовать просто так, чтобы был.

Еще популярны случаи, когда настроена куча правил, а в конце все равно стоит accept для всех подключений. Такие ляпы я сам иногда делал, когда отлаживал где-то работу сервиса и забывал потом вернуть обратно ограничения. Фаервол вроде настроен, но реально его нет. Если отключить — ничего не изменится.

К чему я все это написал? К тому, что прежде чем настраивать firewall, надо определиться с тем, для чего мы это делаем. Какие разрешения или ограничения и для кого мы будем вводить. После этого можно переходить к настройке.

Я рекомендую первым правилом при любой настройке firewall ставить разрешение на подключение к управлению устройством. Этим вы подстрахуете себя, если где-то дальше ошибетесь и заблокируете доступ к устройству в одном из правил.

В своем примере я буду настраивать межсетевой экран на микротике, находясь в локальной сети. Вам всегда советую поступать так же. Есть старая админская примета — удаленная настройка файрвола к дальнему пути.

Идем в раздел IP -> Firewall. Первая вкладка Filter Rules то, что нам надо. Если делаете настройку firewall с нуля, то там должно быть пусто. Добавляем новое правило.

По идее, надо еще заглянуть во вкладку action, но в данном случае не обязательно, так как там по-умолчанию и так выставляется нужное нам значение accept.

Дальше разрешаем уже установленные и связанные входящие соединения. Для этого создаем следующее правило.

Не забывайте писать комментарии для всех правил. Так вам проще самим будет. Через пол года уже позабудете сами, что настраивали и зачем. Не говоря уже о том, что кто-то другой будет разбираться в ваших правилах.

Теперь сделаем запрещающее правило, которое будет блокировать все входящие соединения через WAN интерфейс. В моем случае ether1.

Данными правилами мы заблокировали все входящие соединения из интернета и оставили доступ из локальной сети. Далее создадим минимальный набор правил для транзитных соединений из цепочки forward.

Возьмем примеры этих правил из дефолтной конфигурации файрвола. Добавляем 2 новых правил для цепочки forward. В первом action выбираем fasttrack connection, во втором accept для established и related подключений.

Дальше по примеру дефолтной конфигурации, запретим и все invalid подключения.

В завершении запретим все подключения из WAN в LAN.

Подведем краткий итог того, что получилось. Вот самый простой, минимальный набор правил firewall в mikrotik для базового случая:

Запрещены все входящие подключения, в том числе ответы на пинги. Включена технология fasttrack для соединений из локальной сети. При этом из локальной сети разрешены абсолютно все подключения, без ограничений. То есть это пример типовой безопасной конфигурации для микротик в роли обычного шлюза в интернет для небольшого офиса или дома.

Но если firewall оставить как есть в таком виде, то раздачи интернета для локальной сети не будет. Для этого надо настроить NAT. Это сделать не сложно, рассказываю как.

Экспорт и импорт готовых настроек

Однако, наверняка, имея несколько компьютеров схожей конфигурации, Вам будет крайне лениво настраивать все правила по новой, поэтому здесь предусмотрена, во-первых, выгрузка глобальной политики (правая кнопка мышки по пункту «Брандмауэр Windows в режиме повышенной безопасности — Экспорт политики»).

А, во-вторых, предусмотрена выгрузка списков правил (входящих и исходящих отдельно) в виде txt, что делается в меню справа, где Вы создавали, собственно, правила:

Это позволит быстрее восстанавливать уже настроенные правила, переносить пути, настройки и другие нюансы, локально или между машинами:

В общем и целом, это тот необходимый минимальный базис, который стоит знать и понимать.

К слову, Вы всегда можете включить-или выключить брандмауэр Windows, используя соответствующий пункт «Включение и отключение брандмауэра Windows», если что-то пойдет (или настроили) не так, или сбросить все настройки, тыркнувшись в пункт «Восстановить значения по умолчанию»:

Так что, в общем-то, поводов для беспокойства при кривых руках нет и сломать что-то крайне сложно. Конечно, в этом всём есть как свои плюсы, так и свои минусы.

Основным из минусов можно считать невозможность быстро создавать новые правила, т.е, в большинстве случаев, при установке нового приложения, требуется открывать брандмауэр, лезть в настройки, потом создавать новое правило и так по кругу.

Это же является и плюсом, — без Вас ничего лишнего (в общем-то даже вирус), толком не сможет чихнуть в системе (при учете, что Вы настраиваете правила именно для приложений, а не портов-адресов и тп).

В двух словах как-то так. Больше бывает в обучалке, но в рамках статьи сейчас, думаю, и этого многим должно хватить с лихвой.

Настройка firewall (iptables) в Debian

В качестве firewall в Debian по-умолчанию используется iptables, его и будем настраивать. Изначально фаервол полностью открыт и пропускает весь трафик. Проверить список правил iptables можно следующей командой:

# iptables -L -v -n

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Обращаю пристальное внимание на то, что настраивать firewall без прямого доступа к консоли сервера не следует. Особенно, если вы не очень разбираетесь в этом и копируете команды с сайта

Шанс ошибиться очень высок. Вы просто потеряете удаленный доступ к серверу.

Создадим файл с правилами iptables:

# mcedit /etc/iptables.sh

Очень подробно вопрос настройки iptables я рассмотрел отдельно, рекомендую ознакомиться. Хотя в примере другая ОС linux, принципиальной разницы нет, настройки iptables абсолютно одинаковые, так как правила одни и те же.

Добавляем набор простых правил для базовой настройки. Все необходимое вы потом сможете сами открыть или закрыть по аналогии с существующими правилами:

#!/bin/bash
#
# Объявление переменных
export IPT="iptables"

# Активный сетевой интерфейс
export WAN=ens18
export WAN_IP=10.20.1.16

# Очистка всех цепочек iptables
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

# Установим политики по умолчанию для трафика, не соответствующего ни одному из правил
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

# разрешаем локальный траффик для loopback
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT

# разрешаем пинги
$IPT -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

# Разрешаем исходящие соединения самого сервера
$IPT -A OUTPUT -o $WAN -j ACCEPT

# Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.
# Пропускать все уже инициированные соединения, а также дочерние от них
$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Пропускать новые, а так же уже инициированные и их дочерние соединения
$IPT -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Разрешить форвардинг для уже инициированных и их дочерних соединений
$IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

# Включаем фрагментацию пакетов. Необходимо из-за разных значений MTU
$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Отбрасывать все пакеты, которые не могут быть идентифицированы
# и поэтому не могут иметь определенного статуса.
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP

# Приводит к связыванию системных ресурсов, так что реальный
# обмен данными становится не возможным, обрубаем
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP

# Открываем порт для ssh (!!!не забудьте указать свой порт, который вы изменили ранее!!!)
$IPT -A INPUT -i $WAN -p tcp --dport 22 -j ACCEPT
# Открываем порт для web сервера
$IPT -A INPUT -i $WAN -p tcp --dport 80 -j ACCEPT
$IPT -A INPUT -i $WAN -p tcp --dport 443 -j ACCEPT

# Записываем правила в файл
/sbin/iptables-save > /etc/iptables_rules

Даем файлу права на запуск:

# chmod 0740 /etc/iptables.sh

Запускаем скрипт:

sh /etc/iptables.sh

Проверяем правила:

# iptables -L -v -n

Проверяем, что правила записались в файл /etc/iptables_rules. Если их там нет, то записываем их вручную.

# /sbin/iptables-save > /etc/iptables_rules

Правила применились и произошла их запись в файл /etc/iptables_rules. Теперь нужно сделать так, чтобы они применялись при загрузке сервера. Для этого делаем следующее. Открываем файл /etc/network/interfaces и добавляем в него строку pre-up iptables-restore < /etc/iptables_rules Должно получиться вот так:

# cat /etc/network/interfaces

allow-hotplug eth0
iface eth0 inet dhcp
pre-up iptables-restore < /etc/iptables_rules

Для проверки перезагрузите сервер и посмотрите правила iptables. Должен загрузиться настроенный набор правил из файла /etc/iptables_rules.

Отключите удалённое администрирование

Для удобства технической поддержки (в основном) во многих бытовых роутерах реализована функция удалённого администрирования, при помощи которой настройки роутера становятся доступны через интернет. Поэтому, если мы не хотим проникновения извне, эту функцию лучше отключить.

При этом, однако, остаётся возможность зайти в веб-интерфейс через Wi-Fi, если злоумышленник находится в поле действия вашей сети и знает логин и пароль. В некоторых роутерах есть функция ограничить доступ к панели только при наличии проводного подключения, однако, к сожалению, эта опция встречается довольно редко.

Настройка и использование

Собственно, после установки и перезагрузки Вам останется только настроить фаерволл для комфортной работы. Сделать это нетрудно, а именно, выставьте всё в соответствии с настройками на скриншотах ниже (настройки обитают по кнопке Settings в главном окне программы):

В настройки, на которые скриншотов выше нету, лучше не лазить, тем более, если не знаете зачем они нужны.

Дальше, что касается приложений. Если какое-то из них вдруг, не хочет работать с интернетом после установки фаерволла — это значит, что её надо добавить в список программ в фаерволле и выставить некоторые настройки для разрешения доступа оной. Чтобы это сделать зайдите в настройки (settings), а там в графу Applications Rules и нажмите кнопочку Add.

После сего  укажите на .exe файлик программы, которая вредничает и не хочет работать и нажмите в кнопочку Open. После сей процедуры программа появится в списке и Вам надо будет выделить её, надавив следом в кнопку Edit. В открывшемся окне выберите второй из трех кружочков и нажмите ОК.

Все, можно бежать смотреть как работает программка, а работает она на ура 🙂

Как вариант, чтобы не добавлять постоянно программы вручную в список, Вы можете переключить фаерволл из состояния Block Most в состояние Rules Wizard.

В этом случае, при каждом запуске программы для которой еще нет правила для доступа в интернет, будет появляться окошко:

Где Вам надо будет попросту поставить первый (или третий) кружочек, если Вы доверяете этой программе и нажать в OK.
Если не доверяете и не понимаете, что это такое лезет в интернет выберите второй кружочек и нажмите в ОК.

Что еще?
Еще на первых порах, особенно если Вы выбрали в настройках выше пункт «Maximum», может донимать следующее сообщение при запуске различных программ:

Если Вы знаете, что за программу запустили, то просто жмите в OK, не меняя установленного кружочка.
Если не знаете, что за программа и чего она хочет, то смените кружок и нажмите в OK.

Настройки Windows Firewall

Для настройки параметров защитника Windows следует перейти в расширенные настройки брандмауэра. Для этого:

Шаг 1. Нажимаем по иконке поиска возле по «Пуск» и вводим фразу «Панель управления».

Шаг 2. В открывшемся окне, выбираем режим отображения «Мелкие значки» и переходим в «Брандмауэр защитника Windows».

Шаг 3. Чтобы перейти в окно расширенных настроек защиты, выбираем пункт «Дополнительные параметры».

Находясь в меню «Дополнительные параметры» можно посмотреть текущее состояние защитника и его основные настройки. Данная информация находится в первом пункте «Монитор брандмауэра».

Для создания собственных блокировок определенных приложений, следует воспользоваться графой «Правила для исходящих подключений», где следует выбрать пункт «Создать правило».

В открывшемся окне присутствует несколько вариантов блокировок сети. К примеру, можно заблокировать целый порт или конкретную программу. В нашем случае будет заблокирована конкретная программа, поэтому выбираем первый пункт и нажимаем далее.

Для блокировки конкретной программы, следует выбрать пункт «Путь программы» и выбрать необходимое приложение. Для примера, блокировка будет произведена на браузере Google Chrome. Исполняемый файл браузера находится по пути «C:\Program Files (x86)\Google\Chrome\Application». Его можно выбрать в пункте обзор, или самостоятельно ввести, скопировав путь из проводника.

Выбрав необходимую программу, следует выбрать действие, которое будет применено. Для блокировки, выбираем пункт «Блокировать подключение» и далее.

В следующем окне следует выбрать те профили, к каким будет применено созданное правило блокировки.

В последнем окне необходимо задать имя правилу. Для удобства поиска данной настройки называем её «Блокировка подключения Google Chrome» и подтверждаем действие кнопкой «Готово».

После выполнения вышеуказанных действий браузер Google Chrome перестанет подключаться к сети Интернет. Перезагрузка компьютера не потребуется.

Чтобы вернуть работоспособность браузера необходимо найти созданное правило в списке, нажать по нему ПКМ и выбрать пункт «Отключить». Если в настройке более нет необходимости, её можно удалить.

Стоит понимать, что не все исполнительные файлы относятся к подключению, поэтому в некоторых случаях блокировка может оказаться неэффективной. Чтобы устранить это, следует узнать через что происходит подключение к интернету и уже блокировать данный элемент. К примеру, многие онлайн игры, работающие на Jawa, подключаются к сети через исполнительный файл Jawa, а не собственный. Таким образом для блокировки игры необходимо заблокировать доступ исполнительного файла Jawa.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий