Firestarter – konfiguracja zapory w Linuxie

Wielu doświadczony użytkowników Linuxa pozwala sobie czasem krzywym okiem zerkać na wynalazki w stylu nakładek na iptables, ale dla mniej doświadczonych, do których należę, rozwiązanie takie ma wiele zalet. Na czoło wysuwa się funkcjonalność. Dzięki nim możemy w prosty i przejrzysty sposób konfigurować zaporę w Linuxie, bez odwoływania się do bardziej skomplikowanych, chociaż może skuteczniejszych, metod.

Po wtóre, dla użytkownika Windowsa, który zdecydował się właśnie na zmianę systemu, nie bez znaczenia jest efekt psychologiczny – okienko w prawym dolnym rogu czuwa nad bezpieczeństwem systemu i od razu czujemy się lepiej.

Trzecim, istotnym powodem przemawiającym za zastosowaniem tego typu rozwiązania, jest popularyzacja Linuxa, jako systemu intuicyjnego, który nie wymaga od użytkownika bóg wie jakich umiejętności, a jedynie prostej analizy faktów wynikających z potrzeb tegoż użytkownika. Każdy kto choć trochę czytał o Linuxie wie, że system ten ma wbudowaną zaporę, ale do jej normalnej konfiguracji potrzeba trochę wiedzy. Firestarter redukuje tę potrzebę do niezbędnego minimum, Aby zaczął działać musimy zainstalować program w systemie. W tym celu korzystamy z menedżera pakietów i przy skonfigurowanych repozytoriach (o czym można poczytać na Forum) instalujemy Firestarter jednym kliknięciem. W konsoli logujemy się jako root (su i hasło, po czym dajemy komendę urpmi firestarter). System zrobi za nas resztę. Jeżeli program nie znajduje się w repozytoriach możemy ściągnąć paczkę ze strony domowej Firestartera. Instalujemy, także z repozytoriów, paczkę rsyslog, która jest niezbędna do prawidłowego działania nakładki. Potem odnajdujemy program w menu KDE (zakładam, że każdy początkujący zaczyna właśnie od tego środowiska) w dziale Programy > Internet, albo otwieramy konsolę i uruchamiamy program poleceniem firestarter. Jeżeli uczynimy to jako root, program odpali od razu. Jeżeli natomiast zrobimy to jako zwykły użytkownik, wyrzuci nam okno dialogowe do którego będziemy musieli wpisać hasło roota.

Firestarter1

Jeżeli uczynimy to jako root, program odpali od razu. Jeżeli natomiast zrobimy to jako zwykły użytkownik, wyrzuci nam okno dialogowe do którego będziemy musieli wpisać hasło roota.

 

Konfiguracja zapory Druid

Na początku naszym oczom ukaże się druid, który przeprowadzi nas przez wstępną konfigurację. Należy wybrać w jaki sposób łączymy się z siecią. Pewne informacje należy bowiem programowi wskazać.

firestarter

firestarter3   

Po wyświetleniu się ekranu powitalnego czeka nas wybór interfejsu, za pomocą którego łączymy się z Internetem. Na rozwijanej liście dialogowej znajdziemy wszystkie odnalezione karty sieciowe i modemy. Najczęściej wybierzemy eth0 (w przypadku korzystania z karty sieciowej) bądź ppp0 (jeśli korzystamy z modemu np. sagema 800 od Neostrady) lub wlan jeżeli korzystamy z sieci WiFi. Istnieje także możliwość zaznaczenia dodatkowych opcji Adres IP przydzielany za pomocą DHCP i Uruchamianie zapory podczas wdzwaniania, których nazwy dokładnie określają to do czego służą. Jeśli zatem komputer podłączony jest do routera w sieci lokalnej lub dostawca internetu przydziela adres IP za pomocą serwera DHCP to zaznaczamy opcję Adres IP przydzielany za pomocą DHCP.

firestarter DHCP

Jeśli komputer dzieli się połączeniem z innym komputerem zaznaczamy opcję Enable Internet connection sharing.

W kolejnym kroku zaznaczamy Start firewall now i klikamy Zapisz.

 

firestarter - start

Nasz firewall zostaje uruchomiony i zaczyna chronić system. Podczas uruchomienia automatycznie zostały utworzone następujące reguły:

– wszelkie połączenia wychodzące z naszego komputera są dozwolone

– wszelkie połączenia przychodzące z „sieci” są blokowane – jeżeli nasz komputer udostępnia połączenia innym komputerom, to mogą one inicjować dowolne połączenia wychodzące, poza połączeniem do naszego komputera, a wszystkie połączenia przychodzące do tych komputerów są blokowane.

Firestarter start1

Druid pozwala nam jedynie wstępnie skonfigurować nakładkę. Musimy ją jeszcze odpowiednio skonfigurować, aby spełniała swoją funkcję.

Policy

W tym celu przechodzimy do zakładki Policy, gdzie poniżej mamy do wyboru dwa pola: inbound traffic policy oraz outbound traffic policy.

firestarter - reguły

Pierwsze oznacza połączenia przychodzące z zewnątrz, a zatem mogące nieść potencjalne zagrożenie i tą kwestią zajmiemy się za moment. Drugie oznacza połączenia wychodzące, nawiązane za pomocą naszego komputera, a zatem bezpieczne. Dlatego dla tego rodzaju połączeń ustawiamy zaporę na Permissive by default, blacklist traffic. Ustawienie to oznacza, że każde połączenie nawiązane z naszej inicjatywy będzie przez zaporę traktowane jako bezpieczne. W praktyce – wszystkie połączenia wychodzące będą przez iptables przepuszczane. Jeżeli jednak ktoś zechce ustawić zaporę w stan restrykcyjny, sposób w jaki to zrobić będzie analogiczny do konfiguracji zapory w przypadku połączeń przychodzących Inbound traffic policy to właśnie połączenia przychodzące i tu już musimy zdecydować jakie porty otworzyć. Jeśli korzystasz np. z Ktorrenta to musimy otworzyć dla niego regułę, aby mógł działać. W tym celu najeżdżamy myszką na białe pole z tytułem Allow serwice i klikając prawym przyciskiem na plus, czyli Ad Rule. Wyskakuje nam okno dialogowe. W pozycji Name szukamy Bit Torrent. Po wyborze porty ustawią się nam same na wartość 6881-6889. Akceptujemy wybór i w ten sposób dodajemy pozostałe, potrzebne nam porty. Warto także zajrzeć do ustawień Ktorrenta czy nie ma potrzeby ustawienia innych wartości. Jeżeli takowe są to dodajemy je do reguł Firestartera.

firestarter - reguły 2

Z doświadczenia wiem, iż problemem będzie Kadu. Dlatego w komunikatorze otwieramy Menu > Konfiguracja > Konto i w zakładkach wybieramy Serwer. Ustawiamy port połączenia z serwerem na 8074, po czym wartość tę w sposób opisany powyżej, dodajemy do ustawień Firestartera. Podobnie robimy z innymi programami, szczególnie jeśli korzystamy z klienta poczty (np. z Thunderbirda) i korzystamy ze skrzynki tlena. W tym przypadku porty należy dodać oddzielnie, ponieważ nie działają one na standardowych protokołach. O tym możemy przeczytać w ustawieniach klienta poczty na serwerze o2. Inną dosyć powszechną czynnością jest dodawanie komputerów do zaufanej strefy, czyli grupę PCetów, która będzie mogła inicjować połączenia z komputerem chronionym zaporą. Domyślnie wszystkie komputery są poza strefą zaufaną i połączenia z nimi są blokowane. Aby dodać jakiś komputer do strefy zaufanej przechodzimy na zakładkę Policy z rozwijanej listy Editing wybieramy parametr Inbound parametr policy, czyli połączenia przychodzące. Uaktywniamy panel Allow connections from host, następnie klikamy ikonę Add rule i w nowym oknie, które się pojawi wpisujemy adres IP zaufanego komputera (np. 182.168.14.34) lub jego nazwę DNS (ccna.us.edu.pl), możemy również wskazać całą grupę zaufanych komputerów (np. 192.168.14.1/254), na zakończenie dodajemy nasze ustawienia, klikając w zielonego ptaszka, który ukaże się w menu okna głównego.

Ważne ustawienia – Preferences

W dalszym ciągu Firestarter wymaga naszej uwagi, aby skonfigurować go do końca. Dlatego przechodzimy do jego bardziej zaawansowanych ustawień które odnajdujemy w lewym górnym rogu głównego okna programu > Preferens, lub przez Edit i na końcu listy dialogowej mamy również Preferences.

firestarter - policy edytor

Najpierw Interface, co chyba tłumaczyć nie musimy. Enable tray icon oznacza, że Firestarter ma chodzić w tacce systemowej, abyśmy go widzieli, jak firewall w Windowsie. Minimize to tray on windows close oznacza, że po najechaniu na znak zamknięcia programu on się nie wyłączy, ale zminimalizuje do traya w tacce systemowej. Radzę zatem, dla własnej wygody, obie opcje zaznaczyć na tak.

firestarter - do traya

Event list pomijam, gdyż są to ustawienia wydarzeń o jakich mamy być informowani. Mam wrażenie, iż na tym etapie nie jest to nam potrzebne, bo jeśli ktoś wie co tam sobie w tych eventach wyświetla nasz program to nie potrzebuje żadnych porad 😀

Policy

Rule editing – to nic innego jak edycja reguł dla programu. Włączamy opcję Apply policy changes immediately która odpowiada za natychmiastowe wprowadzanie w życie reguł ustanawianych np. podczas otwierania czy zamykania portów (dzięki tej opcji nie będziemy musieli każdorazowo klikać na widniejącego w głównym oknie programu w prawym górnym rogu zielonego ptaszka potwierdzającego, po wprowadzeniu nowej reguły).

Firewall

Startup and persistence oznacza kiedy nasz program ma zacząć działać lub się wyłączyć. Musimy po prostu zaznaczyć zdarzenia, które nas interesują. Na pewno jednak zaznaczamy pierwszą opcję, aby program uruchomił się nam wraz z systemem.

Potem będziemy musieli jeszcze dodać odpowiednią regułę w ustawieniach systemowych, a konkretnie System > Zarządzanie usługami systemowymi poprzez ich włączanie i wyłączanie, gdzie odnajdujemy usługę firestarter i włączamy opcję Przy uruchamianiu. Network setting pomijam gdyż są to ustawienia sieci, które powinny być wprowadzone podczas wstępnej konfiguracji programu. Ale dla pewności jeszcze podam, iż w pierwszym wypadku program pyta nas o połączenie z siecią. Dalej – Enable Internet connection sharing – oznacza opcję dzielenia połączenia z innym komputerem. ICMP Filtering, czyli filtrowanie ICMP. Powinniśmy zaznaczyć opcję Enable ICMP filtering, gdyż konfiguracja taka spowoduje całkowite ukrycie naszego komputera dla usług z wyszczególnionej grupy. Jeżeli chcemy zezwolić naszemu komputerowi na uwidocznienie danej usługi, np. ściągamy z netu pliki i są nam potrzebne pakiety ping i pong, uaktywniamy tę opcję Echo request (ping) i Echo reply (pong).

firestarter - Filtrowanie ICMP

Poniżej figuruje ToS Filtering, któremu nadajemy Enable i przed nami jeszcze opcje dodatkowe – Advanced Options. Gdy zaznaczymy opcję Block broadcasts from external network będzie blokowany dostęp do komputera z sieci zewnętrznej a zaznaczając Block broadcasts from internal network zablokujemy dostęp z sieci wewnętrznej (lokalnej).

Firestarter - pozostałe opcje

Po skonfigurowaniu zapory należy sprawdzić, czy działa ona tak jak należy. Czynimy to poprzez przejście do zakładki Events, która szybko zapełnia się listą zdarzeń zablokowanych przez nasz firewall. Pozycje na liście oznaczone są trzema kolorami: – szarym kolorem oznaczone są zdarzenia sklasyfikowane jako nieszkodliwe, – czarnym takie którymi w zasadzie także nie musimy się przejmować, – czerwonym natomiast takie, które mogą być potencjalnie groźne i którym teoretycznie należałoby poświęcić choć trochę uwagi.

Możemy również jednym kliknięciem zablokować cały ruch sieciowy lub otworzyć zaporę. W tym celu z menu Firewall wybieramy Lock Firewall i od tego momentu jesteśmy całkowicie odcięci od sieci. Aby przywrócić możliwość łączenia się z siecią, z tego samego menu wybieramy opcję Start Firewall lub czynimy to za pomocą trójką w głównym oknie programu. Istnieje oczywiście także możliwość zawieszenia działania zapory, np. w przypadku gdy występują problemy z nawiązywaniem połączeń i chcemy sprawdzić, czy to nie przypadkiem wina źle skonfigurowanego firewalla. Z menu Firewall wybieramy wtenczas Stop firewall i nasz komputer przestaje być chroniony. Przycisk Start firewall przywraca wprowadzone ustawienia zapory. Stan, w jakim znajduje się nasza zapora ogniowa odczytamy z koloru ikonki, która pojawia się w zasobniku. Kolor niebieski oznacza normalną pracę zapory. Czerwona ikonka z czarnym kwadracikiem pokazuje, że zapora została wyłączona. Ikona w kształcie kłódki sygnalizuje, że zapora blokuje cały ruch przychodzący i wychodzący. W przypadku wykrycia niepokojącego trafienia ikonka zmienia kolor na czerwony z czarną błyskawicą – będzie on Wam towarzyszył praktycznie przez cały czas pracy Firestartera.

Zapewniam, iż to nie wszystkie opcje Firestartera – jest ich jeszcze troszkę, ale mniej ważnych. Ustawienie wszystkich preferencji nie jest jednak trudne, a przynajmniej nie jest trudniejsze niż w Windowsie, gdzie prawidłowo pracująca zapora wymaga od użytkownika nieco uwagi.

Niestety z uwagi na fakt, że Firestarter nie jest już rozwijany, jego uruchomienie wymaga każdorazowego odpalenia ręcznego po wystartowaniu systemu. Jest to jednak niewielka niedogodność, biorąc pod uwagę szereg zalet. Ważne również, iż brak uruchomienia nakładki powoduje blokowanie całego ruchu internetowego. W praktyce więc system jest nawet bardziej bezpieczny.

Źródła

Firestarter dla każdego

Podstawy Firestartera

4 komentarzy do “Firestarter – konfiguracja zapory w Linuxie

  1. Witam zainstalowałem firestartera na mga3, sama instalacja jak i konfiguracja przebiegły bez zarzutu. Pomimo zaptaszkowania opcji w centrum sterowania aby firestarter uruchamiał się przy starcie systemu nie uruchamia się i muszę go wywoływać z konsoli.

  2. Nie musisz odpalać nakładki z konsoli – masz ikonę w menu.
    Też to zauważyłem, że program nie uruchamia się samodzielnie i jutro dodam ten fakt do artykułu (dziękuję za uwagę-kompletnie o tym zapomniałem).
    Niestety, firestarter nie jest już rozwijany, w starszych dystrybucjach było bez problemu – uruchamiał się za każdym razem.
    Mi to jednak nie przeszkadza szczególnie, że w przypadku braku odpalenia firestartera ruch jest blokowany.
    Niewątpliwym plusem nakładki jest możliwość sprawnej konfiguracji zapory, co w MCC jest dosyć kłopotliwe.

  3. Tak ikonka jest w menu, autostart by mi bardzo nie przeszkadzał, bo ruch jest blokowany i trzeba się zalogować jako root by uruchomić firestartera, ale nie tylko ja korzystam ze sprzętu, pozdrawiam

  4. To faktycznie jest pewna przeszkoda, ale u mnie także zdarza się, że korzystają z laptopa czy stacjonarnych inne osoby – znają hasło więc sobie wpisują.
    Beze mnie nikt tu nic nie zainstaluje więc myślę, że system jest bezpieczny.

Skomentuj