Milyen tűzfal programot telepítsek Debian 11-re? (amit webUI-val konfigolhatok, Pl. Webmin alól)

UNIX kezdő

3 hónapja kezdtem VPS szerverrel foglalkozni, és eddig a Webmin nagyon jó szolgálatot tett.

Amíg ki nem derült számomra, hogy még mindig iptables-legacy -t használ.
(Sőt, újraindításkor visszaállítja a szervert valahogy legacy-ra, ezzel összekeverve a tűzfal szabályokat az nftables-szel... :-(  )

  1. Tehát az nftables kifújt, mert a webmin nem kezeli
     
  2. webmin alól nincs ufw
     
  3. A Shoreline FW nekem valahogy érthetetlen, és úgy tűnik 2020 óta nem fejlesztették, tehát szerintem az is iptables-legacy -t használja, ha jól olvastam ki a tömérdek doksiból.
     
  4. Úgy tűnik, a firewalld -nek az egyik legjobb a támogatottsága webmin alól,
    - de Debian 11 alól az "apt install firewalld" csak egy ősrégi 2020-as 0.9.6-os csomagot telepít az 1000 hibajavításon átesett, jelenlegi 1.3.2 helyett.

    - Amely régi változat ráadásul valahogy "nem is kerek", mert azonnal kitiltott a rendszerből és csak KVM-en keresztüli remove után sikerült visszanyernem az irányítást.

    - Feltettem erről kérdést az oldalukon, várom a választ...
     

  5. Illetve ott van még lehetőségként a szintén Webmin kompatibilis, azt kiegészítő: CSF is.
     - de valahogy ez inkább nagyon Fedora -ásnak tűnik,

     - és erős a CPanel integrációja, amire nekem SEMMI szükségem, mert még a 80 portot sem akarom használni.
    ... szóval nem tudom, érdemes-e időt beleölnöm?

Köszönettel, veszek minden építő jellegű ötletet, megoldást, tanácsot,

  • kivéve a : "ne használjak GUI-t", csak közvetlen terminál parancsokat / config fájlokat.

(Próbáltam, próbáltam, de nem, köszönöm NEM! Egy -L opció még az interfészeket sem listázza... így nekem teljességgel átláthatatlan, szóval inkább meghagyom ezt az opciót a hardcore linuxosoknak. Sorry.)

( _ventura_ v | 2023. 06. 06., k – 12:41 )

Személy szerint firewalld -t használom. Mivel RHEL vonalon ez a default így "áthoztam" Debianra. A verzió baromira nem érdekel, amíg azt teszi amit akarok. :D

 

valahogy "nem is kerek", mert azonnal kitiltott a rendszerből és csak KVM-en keresztüli remove után sikerült visszanyernem az irányítást.

Alaptelepítésben a firewalld csak a 22 es portot nyitja, meg talán a dhcpv6-client et. Amennyiben nálad nem 22 esen van az ssh a fenti eset simán előfordulhatott. Ami persze nem a tűzfal hibája ...

Fedora 38, Thinkpad x280

Valóban nem a 22-esen fut nálam az SSH. Amíg azon futott, másodpercenként 15 behatolási kísérletem volt. Ez most kb 50-edére esett vissza.

Valamiért az a meglátásom / megérzésem / tapasztalatom, hogy nem jó, ha mindent a "default" portján használok, mert ezzel direkt támadásnak teszem ki azt a pár szolgáltatást.

De valami akkor sem volt "kerek" a firewallD -vel, mert hiába nyitottam meg a szükséges portokat és nyomtam neki --reload ot, stb,

 - AKKOR SEM volt hajlandó megnyitni a portot !

( veresh | 2023. 06. 06., k – 13:14 )

Mi a problémád az iptables-legacy-val?

Nekem alapvetően nem lenne semmi bajom, de a debian oldalán olvastam, hogy nem javasolt, és már nem az az alap.

(és hogy az újabb nftables gyorsabb. Márpedig egy VPN szerver felépítésénél ez is fontos szempont lehet.)

 

Meg persze az is gond, ahogyan fent írtam, hogy 1-1 szkript lefuttathat olyan parancsot, ami azt feltételezi, hogy már az nftables az alap, és ettől összekeveredik a két tűzfal.

( SzakiLaci | 2023. 06. 06., k – 14:06 )

Csak 1 ötlet:

 - Mennyire lehet abból probléma, ha egyszerűen kikapcsolom a tűzfalat?

(Minden ACCEPT, összes rule törölve.)

( Friczy v | 2023. 06. 06., k – 16:07 )

Szerkesztve: 2023. 06. 06., k – 16:10
  • kivéve a : "ne használjak GUI-t", csak közvetlen terminál parancsokat / config fájlokat.

Ezzel ki is zártad az összes értelmes lehetőséget. Elhiszem, hogy kényelmes egy GUI frontend használata tűzfalbeállításhoz, viszont őszintén szólva én még jót nem találtam. Még parancssori frontendet is próbáltam, aztán amikor egy frissítés során elhasalt a régi konfig file-on, és így nem töltötte be az IPv6 tűzfalat, úgy döntöttem, a stabilitás érdekében visszatérek az alaphoz, de már nft stílusban, hogy a v4 és v6 egyszerre menjen.

Ja, és elsősorban a webmint kéne kidobni. Nem véletlen, hogy nincs benne a disztribúcióban.

Egyetértek, pont ezt akartam én is írni. Annak ellenére, hogy a webmin az nem is GUI, hanem WebUI, de kb. ugyanaz a baj vele. Extra komplexitási szint, nem látja az ember mit kavar a háttérben, meg ki van neki szolgáltatva, hogy ezt se támogassalya, meg újraindításkor vissszaállíccsalya, segítség, miértnemmegyenezaszar.

Értem egyébként, hogy a CLI, meg a konfigfájlheggesztés elsőre pain in the ass, amíg ki nem tapasztalja, meg nem tanulja, de csak addig tűnik kínszenvedésnek, után kamatozik. Ráadásul ezek a unixlike/POSIX rendszerek pont így vannak kitalálva, hogy ebben a műfajban csillogtassák meg az előnyeiket. Igen, lehet GUI-val is használni, csak nem biztos, hogy azzal jobb, érdemesebb, hatékonyabb, stb.. Így adott esetben megérheti időt áldozni. Ugyanezt kikepzo is nehezen értette meg, nagyon nehezen engedte el a normi cpanel-t, ami ugyanez pepitában.

A computer is like air conditioning – it becomes useless when you open Windows.” (Linus Torvalds)

@Friczy

És mit tudsz javasolni webmin helyett értelmes WebUI-t, amivel távolról tudok menedzselni egy VPS-t?

A webmin-ben megtaláltam mindazt, ami nélkül amúgy egy kínszenvedés lett volna a telepítés és felügyelet:

  • proci terhelés
  • memória fogyasztás
  • szabad SSD hely
  • futó processzek / leállítás
  • boot services / futók
  • behatolások (fail2ban 1 katt )
  • update-figyelmeztetések a böngészőm sarkában egy rögzített fix kisikonon
  • stb...
  • .. és elsőre a tűzfal konfig is pofon egyszerűnek tűnt.

VPS alatt itt egy távoli gépet értesz? Ahhoz nem WebUI kell.

proci terhelés: top, memóriafogyasztás: free ,szabad hely: df, futó processzek: top vagy ps, boot services: systemctl, a fail2ban szórakozásnak jó, másra nem nagyon, update figyelmeztetés: cron-apt, ami emailt küld, ha van frissíteni való.

És ha megtanulod az alapvető parancsokat, nem szorulsz rá a mankóra, és olyan dolgokkal is tudsz foglalkozni, amire nincs webmin plugin. De legalább látod, mit csinálsz, a webmin esetében azt látod, amit a webmin és a plugin írói kigondoltak. 

( gabrielakos v | 2023. 06. 06., k – 19:13 )

Igazából neked nagyjából 5-10 sor tűzfal szabályra lehet szükséged, teljesen felesleges bonyolításnak gondolom a UI-t ehhez.

Gábriel Ákos

( zitev v | 2023. 06. 06., k – 19:17 )

Sub

"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség