Как настроить брандмауэр для домашнего ПК
Во-первых, для домашнего ПК за маршрутизатором важно установить / настроить брандмауэр?
Если да, как мне это сделать? У меня установлен lamp-server, поскольку я веб-разработчик. Я хочу, чтобы мой другой компьютер в локальной сети получал доступ к моим файлам или веб-страницам, ssh (возможно, в будущем), но не снаружи. Как я могу настроить это? Из работы я узнал, что я постоянно блокирую себя, а также denyhosts полезен для взлома. Но проблема в том, что я не системный администратор, поэтому я продолжаю блокировать себя (в том числе и других). Возможно, gufw + denyhosts, возможно, хорошее начало
2 ответа
Ваш вопрос достаточно широк, и я постараюсь ответить на некоторые части.
Брандмауэр может быть вам полезен, и вы уже знаете, что хотите - разрешите клиентам в вашей локальной сети и отказать всем остальным.
Итак, во-первых, ваш маршрутизатор. Отключите UPnP и не переадресуйте порт 80 (http) или 443 (https). Если вам нужно, вы можете переслать SSH (порт 22).
На сервере вы можете значительно увеличить безопасность ssh, если используете ssh-ключи (для входа в систему) и отключите пароли.
[d5 ] Ubuntu wiki ssh keysdenyhosts могут быть полезны, но локауты - это хлопот. Вы можете использовать белый список IP или ip.
Для некоторых советов о denyhost см. Ubuntu wiki ssh keys или документации denyhosts.
Теперь для вашего брандмауэра, вы можете легко использовать ufw или хотите графический интерфейс gufw.
Предполагая, что вы хотите только HTTP и SSH (смените 192.168.0.0/24 на вашу ЛВС):
sudo ufw enable
sudo ufw allow from 192.168.0.0/24 to any port 80
sudo ufw allow from 192.168.0.0/24 to any port 443
# for ssh from anywhere
sudo ufw allow ssh
# for ssh from your lan only
sudo ufw allow from 192.168.0.0/24 to any port 22
См. также Ubuntu wiki UFW
Если вы используете свою домашнюю машину для разработки чего-либо для клиента или имеете конфиденциальную информацию, вам стоит посмотреть на преимущества.
Как сказал @medigeek, это может быть излишним для вас, поскольку ваш маршрутизатор / модем вашего провайдера даст некоторую защиту. Он может по умолчанию отклонять все входящие до тех пор, пока вы не откроете маршрут.
Однако - если вы примете общепринятое предположение о безопасности, что в какой-то момент кто-то или что-то злонамеренное может пройти мимо этого маршрутизатора (через непроверенные или нулевые значения, дневную уязвимость, неправильную конфигурацию, через ваш файловый сервер или веб-сервер и т. д.), какая у вас защита и сколько вы хотите?
Я вообще советую всем, кто даже делает онлайн-банкинг, иметь многоуровневый подход:
отклоняют все входящие на брандмауэре хоста маршрутизатора (независимо от того, находятся ли они в Windows, Linux или других), посмотрите на DMZ, если вы запускаете ряд серверов дома, убедитесь, что все доступные машины обновлены до последнего времени ]Все это простые параметры, которые требуют очень небольшого обслуживания стандартной домашней установки с 10 серверами или ПК