Как настроить брандмауэр для домашнего ПК
Во-первых, для домашнего компьютера за маршрутизатором важно установить / настроить брандмауэр?
Если да, то как мне это сделать? Я установил lamp-server, так как я веб-разработчик. Возможно, я хочу, чтобы другие мои ПК в локальной сети имели доступ к моим файлам или веб-страницам, используя ssh (возможно, в будущем), но не извне. Как я могу настроить это? Из работы я узнал, что я все время блокирую себя, также denyhosts полезен для взлома грубой силы. Но проблема в том, что я не являюсь системным администратором, поэтому я продолжаю блокировать себя (включая других). Может быть gufw + denyhosts, может быть, хорошее начало
2 ответа
Если Вы используете свою домашнюю машину для разработки чего-нибудь для клиента или имеете уязвимую информацию о там, стоит посмотреть на преимущества.
Как @medigeek сказал, это может быть излишество для Вас, поскольку маршрутизатор/модем Вашего ISP даст некоторую защиту. Это может по умолчанию отклонить всех входящих, пока Вы не открываете маршрут в.
Однако - если Вы берете обычное предположение безопасности, что в какой-то момент кто-то или что-то злонамеренное могут закончить тот маршрутизатор (через уязвимость неисправленного или нулевого дня, неверную конфигурацию, через Ваш файловый сервер или веб-сервер и т.д.), какую защиту Вы имеете, и сколько Вы хотите?
Я обычно советую любому, кто даже делает онлайн - банкинг, чтобы иметь многоуровневый подход:
- отклоните всех входящих на маршрутизаторе
- брандмауэр хоста (являются ли они в Windows, Linux или другом),
- взгляд на демилитаризованную зону, если Вы выполняете диапазон серверов дома
- удостоверьтесь, что все доступные машины исправляются актуальные
Это все простые опции, которые требуют очень небольшого обслуживания для стандарта домой установка с <10 серверов или ПК
Ваш вопрос достаточно широкий, и я постараюсь ответить на некоторые части.
Брандмауэр может быть полезен для вас, и вы уже знаете, что вы хотите - разрешить клиентам в вашей локальной сети и запретить всем остальным.
Итак, во-первых, твой роутер. Отключите UPnP и не переадресуйте порт 80 (http) или 443 (https). Если вам нужно, вы можете переслать SSH (порт 22).
На сервере вы можете значительно повысить безопасность ssh, если используете ssh-ключи (для входа в систему) и отключаете пароли.
Денихосты могут быть полезны, но локауты - это хлопот. Вы можете внести в белый список IP или диапазон IP-адресов.
Некоторые советы по работе с denyhost см. В http://www.cyberciti.biz/faq/block-ssh-attacks-with-denyhosts/ или в документации по denyhosts.
Теперь для вашего брандмауэра вы можете легко использовать ufw или, если вам нужен графический интерфейс, gufw.
Предполагая, что вы хотите использовать только HTTP и SSH (измените 192.168.0.0/24 на вашу локальную сеть):
sudo ufw enable
sudo ufw allow from 192.168.0.0/24 to any port 80
sudo ufw allow from 192.168.0.0/24 to any port 443
# for ssh from anywhere
sudo ufw allow ssh
# for ssh from your lan only
sudo ufw allow from 192.168.0.0/24 to any port 22
См. Также Ubuntu wiki UFW