Статья Настройка фаервола - firestarter в ubuntu

Практически каждый интернет-пользователь рано или поздно сталкивается с проблемой сетевой безопасности, с необходимостью более тонкой настройки сетевых интерфейсов компьютера. Современные операционные системы предоставляют замечательное средство для решения этих проблем. Фаервол. Наверняка многие пользователи, установив впервые Ubuntu, недоумевают: «а где же здесь фаервол?» Вот и давайте разберёмся, где тут фаервол и как его настраивать.

В ядре Linux существует подсистема, которая называется netfilter. Все пакеты, приходящие на ваш компьютер, или уходящие с него через сеть, обрабатываются этой подсистемой. Именно она выполняет функции фаервола. Для управления netfilter обычно используется утилита iptables, которая преобразует команды пользователя в цепочки правил, понятные ядру. Однако, чтобы эффективно пользоваться данной утилитой, необходимо довольно хорошо понимать, как устроена подсистема netfilter и нужно потратить довольно значительное время на изучение документации.

Чтобы упростить пользователям задачу, были разработаны более дружественные интерфейсы к подсистеме netfilter, которые позволяют в несколько кликов мышкой получить довольно неплохо настроенный фаервол. Один из них мы с вами сегодня и рассмотрим. Называется он Firestarter.
Чтобы его установить, воспользуемся Центром приложений Ubuntu:


Запускаем...


Дальше всё просто и понятно. При первом запуске нам предлагают настроить фаервол.


К сожалению интерфейс программы почти полностью на английском языке. Но текста там совсем немного, и то что вам может понадобиться для настройки персонального фаервола мы постараемся освятить в этой статье.
Если вы получаете сетевые настройки с сервера DHCP (то есть сеть вам никто не настраивал, и она сама заработала после установки Ubuntu), поставьте соответствующую галочку.


На следующей странице, нам предложат настроить разделяемый доступ в Интернет. Поскольку целью данной статьи является помощь уважаемому читателю в настройке именно персонального фаервола, а не маршрутизатора, то мы оставляем всё как есть.


Теперь наш фаервол готов для первого запуска.


Сейчас фаервол запущен и нормально функционирует. При перезагрузке, настройки сохраняются, а это значит, что вам не нужно беспокоиться о том, чтобы настраивать его автозапуск.
Теперь давайте присмотримся к интерфейсу программы. Там вроде всё лаконично, просто и понятно. Кнопка в виде замка служит для того, чтобы «отрезать» компьютер от сети. Вы получите примерно тот же результат, как если бы отключили все сетевые устройства от компьютера одновременно в одно мгновение. Так что будьте осторожнее с этой кнопкой!


По умолчанию фаервол настроен так, что он разрешает любые исходящие соединения с вашего компьютера. То есть вы можете спокойно гулять по интернету, заходить на другие компьютеры и т. д. Здесь же можно добавить какой-нибудь компьютер в чёрный список... Можно, кстати, сделать и наоборот: запретить доступ с вашего компьютера ко всем остальным, кроме тех, которые находится в белом списке.


А вот входящие соединения на компьютер по умолчанию практически полностью запрещены. То есть вас как бы видно (компьютер пингуется), но зайти к вам в гости без спросу теперь будет нельзя. У меня на компьютере запущен чат для локальной сети TriX, и, судя по логам, фаервол блокирует все соединения на его порт.


Это конечно очень хорошо, что фаервол функционирует, но в чате-то я теперь никого не вижу! Пришло время немножко подправить настройки фаервола, чтобы он не блокировал нужные нам соединения.


Если ваш компьютер не подключен ни к какой локальной сети, то этот шаг можно (и даже нужно) пропустить.


Если вы не знаете настройки вашей локальной сети, то вам стоит обратиться к тому, кто выполняет функции администратора в вашей сети, чтобы он вам их сказал. Нас интересуют адрес сети и сетевая маска. Вместо маски 255.255.255.0 я написал просто «/24». Если ваша сетевая маска 255.0.0.0, то вместо 24 ставьте 8, а если 255.255.0.0, тогда 16. Другие сетевые маски обычно не используются.
Нажимаем кнопку «Применить».


В данном случае, я указал фаерволу, что хочу разрешить ВСЕ входящие соединения из моей локальной сети, потому что:

1)я доверяю своей локальной сети

2)в локальной сети гораздо меньше компьютеров, чем в Интернете и вычислить злоумышленника гораздо проще
Если же вы не хотите полностью открывать свой компьютер для локальной сети, а только хотите открыть доступ, допустим, к чату или какой-то другой сетевой программе, тогда можно добавить в исключения порт (в разделе Allow service):


Чат TriX и номер порта 9009 я взял естественно только ради примера. Скорее всего вам придётся указывать другие порты и сервисы, которые вы захотите сделать доступными.
Теперь давайте немного пройдёмся по настройкам Firestarter'а.


Я нашёл 2 опции, которые вам скорее всего захочется включить.

Свернуть программу в трей при закрытии окна:


Применять изменения в правилах сразу (отпадает необходимость каждый раз кликать на кнопку «Применить», чтобы изменения вступили в силу):


Если информации в данной статье вам показалось мало, могу порекомендовать вам ещё одну замечательную статью про настройку фаервола в Linux:

Руководство по Iptables 1.1.19

Источник