Alternativa k firewalu Kerio Control.
Dobrý den pánové.
Mám dotaz na osoby znalé síťového prostředí a linuxu.
Můžete mi poradit prosím nějakou linuxovou alternativu k programu Kerio Control?
Děkuji.
Já už asi milión let na Linuxu používám normálně IPtables
Díky, já Ti rozumím ale IP tables není alternativa k tomu Keriu v GUI.
GUI máš tady:
https://linuxhacks.org/gui-for-iptables/
Případně Firestarter
https://www.tecmint.com/firestarter-a-high-level-graphical-interface-iptables-firewall-for-linux-systems/
A proč alternativu? Na Linuxu je firewall integrován téměř do každé distribuce. Na co alternativy nějakého Windowsího paskvilu, když je vše integrované v Linuxu, nastavené a není nutné na to šahat. Nevím jakou používáš distribuci ani jaké GUI, abych poradil blíže.
Na linuxu používám GUFW Firewall.
Nicméně by mě zajímala linuxová alternativa Malwarebytes Windows Firewall Control, teda aplikační firewall, kterým bych jednoduše nastavil pravidla out i in pro každou aplikaci, která se chce připojit do sítě. Žádný takový jsem zatím nenašel.
Jestli chceš mocí mermo klikací aplikaci, tak od přírody je třeba ve Fedora nainstalovaná aplikace firewall-config, kde si nacvakáš, co potřebuješ. Neřeknu ti teď, jestli je součástí Plasmy nebo Gnome.
Do počítače by měly lozit aplikace jen výjimečně. Vše co může z venku vlízt je potenciální nebezpečí.
Další inspiraci pro Firewall najdeš třeba tady
Většina lidí si počítač koupi kvůli tomu, aby si do něj nahrála aplikace.
To jo, ale rozhodně nekupujou aplikace někde v dálce aby šmejdily po počítači. Lozit=lézt dovnitř, pronikat z venku.
Jistě, to není problém v linuxu nastavit. Ale ve Windows jde velmi jednoduše naklikat, aby aplikace nesměly ven z počítače. To mi na linuxu schází. Typickým příkladem je počítačová hra, která má i online funkce. Nechci, aby online funkce byla v provozu a proto aplikaci nastavím zákaz odesílání požadavků do sítě. Hra si pak myslí, že PC není na síti a neotravuje s online funkcema. Tohle ve Windows naklikám během vteřiny, na linuxu to taky nějak jde, ale je to složité, nevím, jak na to jednoduše přes klikátko.
Ano, máš pravdu. To je všeobecně známy. Ale můj problém je v tom, co tady rozvedl RedMaX. Když jsem dělal pro Comox, síť na windows server 2012 , tak tam měli právě Kerio. Stačilo si ho otevřít a já ihnet viděl kdo je připojený na který wifi AP, do Pohody, jak dlouho, Na jaky stránky se chodí (Německo-švýcarsko-francouzský management zakázal přístup na FCB, ICQ, WhatsApp, Insta. a pod.), kdo se chce připojit z venku a odkud je, Jednoduše přidělovat práva jak pro jednotlivé stanice tak i pro mobilní telefony, viděl jsem ktery porty jsou otevřeny, uzavřeny a ktery jsou ve stavu time_wait atd. atd. Když jsem potřeboval něco upravit, zavřít, zablokovat tak to bylo otázkou klik-klik a hotovo. Navíc jsem to viděl vše přehledně a uspořádaně. Takovouto alternativu hledám. V linuxu toto uděláš taky (IP TABLES) ale je to nesrovnatelně složitější, náročnější a to jak na znalosti tak i na zkušenosti správce. UI existuje, najdeš ho ale opět se to nedá srovnat, a to ani náhodou, s UI Keria. Toto mě teď trápí. Distribuci zatím neřeším. U mě bude, kvůli testům, Kali ale na ostatních stanicích nemám ještě jasno. Ti nejvyšší chtějí, ať se k tomu můžou vyjádřit i zaměstnanci. Nevím co víc bych k tomu napsal.
Zkus ten firewall-config, IMHO naklikáš všechno, co tady požaduješ.
Dál vyzkoušej ty aplikace https://www.makeuseof.com/best-free-firewall-linux/, já to nepotřeboval, takže jsem to nezkoušel ale také vypadá, že si naklikáš všechno.
BTW zákaz ICQ a podobných opiček bych neřešil FireWallem (když toho bude plno, pojede to pomalu) ale přes IP TABLES, které danou IP zakážou a basta.
Tady mu IMHO jde o něco jiného - obrana proti jednotlivým aplikacím, aby nedělaly, co nemají.
Například zavést si na počítači pravidla typu:
- firefox může prakticky na jakoukoli adresu pomocí http+https+dns
- ssh+rsync můžou prakticky na jakoukoli adresu pomocí ssh+dns
- AlienShooter.exe nemůže používat síť vůbec
S tím, že by se nemuselo řešit, kam všude by se AlienShooter.exe (nebo obecně nějaká jiná konkrétní gameska) mohl kdy zkoušet jak připojit a zakazovat to jednotlivě (si vezmi, kolik toho je potřeba zakázat, pokud chceš plně odříznou facebook - https://www.github.developerdan.com/hosts/ - asi 30.000 adres - a jak chceš něco podobného tahat z nějakého binárního slizu typu AlienShooter.exe?) (člověk by ho strčit pod uživatele, který není v group NET, jenže takovou grupu vlastně na počítači nemám ... )
A navíc, že by firefox klidně mohl na www.alienshooter.com, abys mohl stahovat patche a nové verze a číst hinty a tak, zatímco AlienShooter.exe tam nemá co hrabat a to už IPtables IMHO neumí.
Šílená paranoia. Nechtěl bych to řešit. Ještěže takové úkoly od nikoho nemám. Nebo bych ho poslal někam. A když bude dotyčný sakra chtít, tak se stejně přes tu zeď dostane (zamaskuje se za jiný program, půjde ven přes nějaké proxy kdesi a podobně).
Nahoře jsem vysvětloval jednoduchý důvod, proč to může člověk chtít. Samozřejmě se ti to nehodí, tak děláš, že jsi to nečetl.
Jistěže jsem to četl.
Já to taky zatím za ta léta nikdy nepotřeboval až v takové míře
A v míře menší to řeším jednoduše více systémy na disku (což používám stejně běžně), kde při bootu do toho "nedůvěryhodného" jednak vytáhnu síťový kabel a jednak v něm vůbec nejsou ovladače pro síťový HW.
Pokud tam potřebuju něco z netu, tak rebootuju do důvěryhodného, stáhnu to a dám to na správný disk do správného adresáře, kde to ten "nedůvěryhodný" po nabootování uvidí. (A samozřejmě i obrácené, pokud zněj chci něco dostat ven na síť.)
A taky se dá použít virtuální počítač(e) místo fyzických, za cenu ztráty nějakého toho výkonu a možná i bezpečnosti a pohodlí a získat za to pohodlí jiného druhu a možnost na jednom HW jich mít naráz puštěných víc a nemuset rebootovat. (Jen se mi to pro mé účely nijak neosvědčilo.)
Obávám se, že jde o naprosté nepochopení. Na linuxu požádáš roota aby ti nastavil firewall a případně sdělil, kdo se kam připojuje. Na to vše má linux defaultní nástroje (a koneckonců i ty Windows) a rozhodně bych nesouhlasil, že to je složitější, naopak. Pokud jsi ty rootem, pak máš velmi podstatné mezery v znalostech a měl by sis je doplnit.
Jak Kerio, tak linux, tak integrované nástroje Windows vyžadují znalosti sítí, tudíž nevidím rozdíl. To, že sis zvykl na jeden nástroj a jeho vizuální interpretaci neznamená, že ty ostatní jsou nepřehledné a/nebo dokonce nepoužitelné.
Asi má práva roota, bez hesla roota by se to s ním vůbec nebavilo.