Názory k článku
Ufw: firewall jednoduše a rychle

Uz dlhsiu dobu my chyba nieco na sposob kerio FW vo windows. Konkretne vyskakujuce dialogy pri kazdom novom pokuse o spojenie, ci uz von alebo dnu. Pravidla tak nebolo treba riesit vopred, ale naklikali sa za pochodu.
Je to rozumnejsie ako zakazat vsetko a pri kazdej novej aplikacii riesit ci nahodou nepotrebuje nieco povolit… a nasledne hadat, ze co. (Samozrejme advanced userovi nakoniec dopne ktora aplikacia co potrebuje)

neda se to vycist nekde z logu?

Iste ze sa da.
Ale ak si nastavim prilis restriktivne firewall, budem mat viac prace pri vytvarani vynimiek. Ak nastavim prilis benevolenty filter, je to bezpecnostne riziko. To co chcem je, aby firewall sam detekoval nezname nove spojenie a spytal sa ma v grafickom klikatku ci Povolit / Odmietnut, pripadne Povolit / Odmietnut na trvalo.

hm ale to je docela jednoducha aplikacka. staci se povesit na logy a pri zalogovani zakazu se posle event kamsi do gui, kde bude na eventy cihat dalsi aplikace a ta bude resit pripadne zasahy do pravidel fw.
krome toho, iptables umi posilat zakazane pakety i na nekam na soket, takze to jde propojit i primocarejsi cestou.
otazka je, kdo zaplati vyvoj tohohle programu. :-)

ja nerikal napis si. ja rikal, jak to jde napsat, kdyby nekdo chtel. coz nakonec chtit nebude, protoze se prijde na to, ze za takovy program nedostane zaplaceno. :-)

rozhodne se nepovazuju za uber linuxaka, ale prohledavat logy nejakym jednoduchym skriptem mi neprijde zas tak ulitly ani slozity

a byla to prvni vec, co me hned napadla…

Něco takového?

Tak takovy programek by se mi take libil. To neni jen pro bfu, ale pro kohokoli, kdo pouziva pocitac pro praci a ne kvuli tomu, ze ho to bavi a ze linux je nej…
Pocitac ma byt pro lidi, ne jen pro programatory.
A takovyhle programek je jak se tu vyjadrili celkem jednoduchy, tak se docela divim, ze uz to nekdo nenaprogramoval pro nejakeho sveho znameho, nebo pritellkyni, ci tchana apod.

Taky že naprogramoval. Tenhle prográmek už existuje a je pro Linux ;-)

A k čemu by měl být takový prográmek dobrý? Pokud na počítači běží nějaké síťové služby, které chci pustit ven, tak si (jednou) nastavím pravidla do fw a už se tím dál nepotřebuji zabývat. Což udělá administrátor.
Kerio FW je aplikační fw a povoluje přístup do sítě jednotlivým aplikacím. Nevidím pro něj využití (snad někdo nějaké napíše) ani na Windows ani na Linuxu. Pokud už hodně chci nějakému konkrétnímu programu zabránit v síťování, tak jej mohu omezit v SELinuxu. No ale v takovém případě je skoro lepší jej izolovat úplně a spustit jej ve virtuálním stroji bez síťového spojení.
Nechat nastavovat FW laika „nejakeho sveho znameho, nebo pritellkyni, ci tchana apod“, který nemá vůbec ponětí co dělá) není vůbec dobrý nápad.

Trochu to pripomina unixovsky „packet filter“ a rekl bych, ze tohle je jakysi Linux klon tohoto mocneho unixovskeho nastroje.
Mozna konecne skonci debaty mezi Linuxari a Unixari o tom, ktery ze firewall je lepsi, jestli IPTables nebo prave PF.

Umí ufw nastavit pravidlo na rozhraní? v některých případech je totiž rozumnější udělat pravidlo, které povolí provoz na ppp0 rozhraní, než dělat pravidlo, které povolí provoz na IP adresu, kterou toto rozhraní může dostat pokaždé jinou (ShoreWall tohle AFAIK umí a připadá mi na konfiguraci také vcelku nenáročný).

a kdyby nekdo mel problemy s rozchozenim ufw tak fireHOL >> http://www.root.cz/clanky/firehol-nejsnazsi-firewall/ je celkem take pouzitelny nastroj.

firehol je pro toho, kdo se touží škrábat levou nohou za pravým uchem. Při kombinaci group with src a client se musím ponořit do hlubokého transu abych pochopil, co tím chtěl básník říct.

heled ja jsem si nakonec na iptables napsal vlastni generator prikazu. generuje se to z nastaveni v db, do db se to pise pres www rozhrani. a jen dodam, ze prikazy pro iptables se generuji pres kartezsky soucin zdroju a cilu. :-) chtel jsem pouzit ipset, ale stupidni ubuntu nemelo v kernelu podporu.
jo a ze stejne db se generuji taky konfiguraky pro dhcp a dns server.

Jo, všude by tam mělo být sudo.

Osobne pouzivam na terajsom serveri iptables, V pravidlach vsak pouzivam filtre na interface, napr. tun1 pre VPN namiesto ip adresy, ktora sa moze zmenit. Docital som sa ze UFW v poslednych verziach umoznuje tento filter, ale nedari sa mi ho korektne zadat. GUI zatial tuto volbu nepodporuje.
Mate niekto s tymto skusenosti

S UFW na Ubuntu 10.04 mam jeden zasadni problem: i kdyz povolim SMB presne dle prednastavene konfigurace (odchozi povoleno, prichozi zakazano vyjma SMB), nemuzu od sebe ven na okolni pocitace/sdilene tiskarny. Lide z venku na me sdilene slozky mohou (v poradku). Abych mohl tisknout na sdilene tiskarne, musim povolit prichozi UDP pro vsechny porty >1023. Vsichni odbornici kolem se tvari, ze by ta prednastavena konfigurace mela stacit, nicmene nezavisle na dvou strojich to proste takto nejde.
Mohl by nekdo (treba autor clanku :-)) zkusit zda a jak to funguje u nej ?
Diky moc

Nainstaluj Wireshark, vypni firewall, zapni odchytavanie komunikacie, skus dat nieco tlacit a pozri co, kam a po akych portoch liezlo. :)

sudo ufw allow from any app Samba to "vase-lokalni-IP"