firewall — IT Blog

Настройка nftables

В этой статье я приведу примеры настройки nftables, на замену устаревшему iptables.

Настройка Firewall в Proxmox

Приведу пример включения и настройки Firewall в Proxmox, по умолчанию Firewall отключен и есть открытые порты, например: SSH, 111, 3128, 8006.

Как в CSF разрешить все исходящие порты

Однажды на одном сервере под управлением cPanel, CSF (Config Server Firewall) и LFD (Login Failure Daemon) я хотел запустить Speedtest CLI, но он не запускался так как не мог соединится с серверами, я открыл настройки CSF через WHM панель (в самом низу меню «ConfigServer Security & Firewall» — «Firewall Configuration»), где обнаружил что были открыты только несколько исходящих портов:

Настройка ufw в Ubuntu

ufw расшифровывается как Uncomplicated Firewall (Несложный брандмауэр).

Если ufw не установлен в системе, то установим командой:

sudo aptitude install ufw

Команда активация ufw в системе, он будет также включен при каждом запуске системы:

sudo ufw enable

Если ufw не запустится после перезапуска системы, то отредактируем ENABLED=no на ENABLED=yes в файле:

sudo nano /etc/ufw/ufw.conf

Для отключения используется:

sudo ufw disable

Запрет всех входящих соединений:

sudo ufw default deny

Чтобы разрешить доступ для подсети или адреса:

sudo ufw allow from 10.0.0.0/24

Чтобы вновь разрешить все входящие соединения:

sudo ufw default allow

Разрешение подключения по SSH из вне:

sudo ufw allow ssh

Пример разрешения доступа на конкретный порт:

sudo ufw allow 80/tcp

Просмотр статуса:

sudo ufw status
sudo ufw status verbose

Отключение ведения логов:

sudo ufw logging off

Просмотр профилей для приложений:

sudo ufw app list

Файлы настроек находятся в /etc/default/ufw и /etc/ufw/applications.d

Просмотр официальной документации:

man ufw

Смотрите также мою статью — Настройка IPTables

Блокировка социальных сетей на маршрутизаторах Mikrotik

Запретить доступ к социальным сетям и прочим сайтам на маршрутизаторах Mikrotik можно несколькими способами.

Первый и наиболее эффективный

способ, это включить web-proxy, запретить в нем конкретные сайты, в фаерволе во вкладке NAT добавить правило которое будет нужные IP направлять на web-proxy.
Добавляется правило в IP — Firewall — NAT (Chain: dstnat, protocol: tcp, Dst. port: 80, Action: redirect, To Ports: 8080, в Src. Address или Src. Address List указываем кого необходимо направить на Web proxy)
Включаем Web proxy поставив галочку в IP — Web proxy — Enabled, смотрим чтобы порт был 8080.
Добавляем сайты которые нужно заблокировать в IP — Web proxy — Access (например Dst. host: vk.com, Action: deny)

Второй и один из простых

это добавить статическую DNS запись, тогда все кто подключены к маршрутизатору не смогут зайти на сайт.
Для этого необходимо нажать «IP» — «DNS» — «Add New», в поле «Name» указать домен сайта, в «Address» — 127.0.0.1.
Пример добавления через командную строку:

ip dns static add name youtube.com address=127.0.0.1
ip dns static add name www.youtube.com address=127.0.0.1
ip dns static add name name=".*\.vk\.com" address=127.0.0.1

Команда просмотра статических DNS записей на маршрутизаторе:

ip dns static print

Однако этот запрет можно обойти прописав вручную на компьютерах сторонний DNS сервер, например Google DNS — 8.8.8.8 и 8.8.4.4.

Третий вариант

это посмотреть на каких ip-адресах находится сайт, например набрав в командной строке Windows команду nslookup vk.com, потом в фаерволе заблокировать доступ к ним для всех пользователей или конкретным. Вместо кучи ip адресов можно указать подсеть, например 87.240.131.0/24 (это ip 87.240.131.1-254). На сайтах типа «http://bgp.he.net/AS47541#_prefixes» можно посмотреть диапазоны IP адресов принадлежащие AS компании.
Пример команд:

ip firewall filter add chain=forward src-address-list=socialnetworks action=drop comment="Social Network" disabled=no
ip firewall address-list add list=socialnetworks address=87.240.131.97 disabled=no
ip firewall address-list add list=socialnetworks address=87.240.131.103 disabled=no
ip firewall address-list add list=socialnetworks address=87.240.131.117 disabled=no
ip firewall address-list add list=socialnetworks address=87.240.131.120 disabled=no
ip firewall address-list add list=socialnetworks address=87.240.143.245 disabled=no
ip firewall address-list add list=socialnetworks address=87.240.143.246 disabled=no

Четвертый вариант

через протокол седьмого уровня (все пакеты в которых будут встречаться указанные выражения будут отбрасываться, таким образом могут блокироваться даже сообщения в чате, в которых встречаются выражения):

ip firewall layer7-protocol add name=social regexp="^.+(vk.com|vkontakte|odnoklassniki|odnoklasniki|facebook|youtube|loveplanet).*\$"
ip firewall filter add action=drop chain=forward comment="Block_social" layer7-protocol=social src-address-list=Block_social

Запрет доступа в интернет на Mikrotik

Чтобы запретить доступ в интернет определенным ip-адресам во внутренней сети, необходимо в настройках маршрутизатора нажать «IP» — «Firewall«, во вкладке «Filter Rules» добавить новые правила нажав «Add New» или «+«.

Проброс портов на маршрутизаторах Mikrotik

Чтобы пробросить порт на маршрутизаторе Mikrotik, необходимо открыть меню «IP» — «Firewall», выбрать вкладку «NAT» и добавить новое правило нажав «Add new» или «+«.

Установка и использование Firewall Builder (fwbuilder)

Firewall Builder — утилита позволяющая легко подготовить правила для множества брандмауэров, например iptables, ipfw, acl для HP, Cisco и т.д.

Утилиту можно fwbuilder запускать как под Windows так и Linux, в Linux когда она установлена ее можно запускать из меню или набрав команду fwbuilder.

В Linux Ubuntu fwbuilder можно установить скачав его по ссылке http://sourceforge.net/projects/fwbuilder/files/Current_Packages/ и запустив скачанный файл либо через консоль, например командой:
dpkg -i fwbuilder_5.1.0.3599-ubuntu-precise-1_amd64.deb

Инструкцию по использованию fwbuilder для dd-wrt можно посмотреть на официальном сайте http://www.dd-wrt.com/wiki/index.php/Firewall_Builder