Назад | Перейти на главную страницу

Какой лучший интерфейс iptables?

Я ищу простое решение, работающее через HTTP или SSH.

Мне необходимо выполнить следующие основные задачи:

  1. NAT / маршрутизатор
  2. Отклонять все входящие соединения, кроме предопределенных портов TCP и UDP и диапазонов портов
  3. ESTABLISHED / RELATED должен работать по умолчанию
  4. Исходящие соединения разрешены по умолчанию
  5. Делегирование некоторых портов определенным хостам внутри сети (виртуальный сервер) Пример: 80 - HTTP-сервер, 51413 - торренты.

Если вы уже используете webmin или cpanel, то я бы сказал, что CSF и LFD - одни из лучших, у него также есть бонусная функция защиты от перебора и других умных блокировок и предупреждений. http://configservers.org/cp/csf.html

Можешь попробовать Shorewall. Это интерфейс для iptables, и он очень мощный.

Он соответствует вашим требованиям.

Короткий ответ - тот, который уже включен в ваш дистрибутив - так вам не нужно беспокоиться о различных инструментах, пытающихся настроить брандмауэр разными способами. Ответ, который вы не хотите слышать, - это команда iptables - лучший интерфейс, потому что она всегда показывает вам, как именно настроен брандмауэр, а не какое-то абстрактное представление, которое затем сопоставляется с набором правил iptables.

Раньше я использовал firestarter (но только после удаление любые связанные скрипты / инструменты для управления брандмауэром) и понравилась его простота, но это инструмент X Window.

В наши дни, если вы используете ssh-сервер, тогда fail2ban существенный - поэтому вам нужно изучить, как любой инструмент, который вы используете, ведет себя с fail2ban.

Обновить:

Осмотревшись еще раз, выбор, который я сделал бы, ясен: fwbuilder, также известный как Firewall Builder. Я слышал об этом раньше, но, глядя на веб-сайт, я всегда думал, что это коммерческий продукт. Однако оказывается, что это бесплатно и с открытым исходным кодом для программы linux, и только программы для MS Windows и Mac являются закрытыми и оплачиваются.

Он работает как Firestarter в том смысле, что вы запускаете его на своей рабочей станции, а затем он передает конфигурацию на целевой брандмауэр с помощью ssh и scp. Мне это нравится, потому что это означает, что вам не нужно ничего устанавливать дополнительно, и на вашем брандмауэре нет дополнительных запущенных демонов.

Старый:

Поджигатель. Я не использовал его (пока), но он выглядит наиболее интересным, и я бы попробовал его первым.

Из вводная страница:

Firestarter можно установить на отдельные серверы и управлять им графически через SSH или с помощью оболочки.

То или ufw, возможно, с Gufw, который является стандартом Ubuntu.

Обновление: похоже, что есть Turtle Firewall, который является отдельной версией интерфейса iptables, включенного в Webmin. И все еще поддерживается, в отличие от Firestarter.