スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
総合案内当ブログについて
Windowsの目次Linuxの目次Linuxの目次2・ ・自作PC関連の目次Web技術関連の目次
全記事一覧情報サイト新着RSS一覧

Sponsored Link

FireStarterでUbuntuのFirewallを細かく設定してみる

Ubuntuのファイアウォールの設定をするにはuwf、iptableをコマンドで設定する方法や、guwfで設定する方法がありますが、俺のとこでは前からFireStarter使ってたので、これで設定してみることにしました。
Ubuntuのソフトウェアファイアウォール:UFWの利用(1)Ubuntuのソフトウェアファイアウォール:ufwの利用(2)(Ubuntu Weekly Recipe)にてuwfでの設定は詳しく説明してありましたのでこちらを使ってみるって人は覗いてみるといいかも。
あぁ、俺もたいして詳しい方じゃないから設定は試行錯誤でしたよw

guwfもfirestarterもたぶんこのuwfとかの設定をGUIで簡単にできるってだけなんですよね。
けどコマンドでルールを設定するのは結構面倒くさそう。
FireStarterでは設定した効果を確認しながら割と簡単にできました。
まずFireStarter起動。(起動エラーが出る人はFirestarterの起動エラー参考にしてみてください。
ヘルプページを見てみたら、どうやらこのソフトはデフォルトで大抵の人があんまり困らなくてそこそこ安全な設定になってるっぽいです。よーし、今まで何の設定もなく使ってた俺も平気ってことだw
まぁ、Ubuntuではデフォルトでポートは閉じてるって話だし、有効にしてるだけで大抵は平気なんですが。

Screenshot-Firestarter tmin-desktopまず、初期画面でアクティブな接続を確認します。
ここは設定変更後、何かがつながらなくなった時にも戻ってきて確認に使えます。

Screenshot-設定編集>設定>ポリシーで「すぐ適用する」にチェック。
これやっとかないと設定変えるごとにFirestarter再起動とかめんどっちーことをしなくちゃです。
(必要なサービス・ポートを全て理解してる人は大丈夫だと思いますが)

設定自体は「ポリシー」ってタブのとこから。
Screenshot-Firestarter tmin-desktop-2受信側(上り?)のほう。俺の場合はTorrentくらいかな。とりあえず。
サーバー機の場合はたぶんもっと色々追加しなくちゃでしょう。

Screenshot-新しい送信ルールの追加「ルールの追加」でポートorサービスを選ぶか入力するだけ。

Screenshot-Firestarter tmin-desktop-1送信側。普通にデスクトップPCとして使ってる場合はこっちの設定の方が重要。
初期では「デフォルトで許可するリスト」にチェックが入ってて、これは基本的に何の制約もない状態。
ここで下の方の「拒否するリスト」に追加してけばそのリストに登録したサービスやポートの通信は遮断されるってわけですね。

「デフォルトで拒否するリスト」のほうにチェックを入れてみると、今度は全ての通信が遮断されるみたい。FireFoxも読み込みエラーが出ちゃいます。
今回はこっちを使って、利用するサービスを許可していく方向で設定してみることにしました。

「ルールの追加」で許可するサービスを追加していきます。
まずHTTP(80)とHTTPS(443)。これはウェブ閲覧等。SSH(22)も入れとかないとSSH認証使うページに入れなくなります。
POP3(110)とImaps(993)、Pop3s(995)。これはメール(ThunderBird)。Pop3sはLiveMailで使うのか?
POP3、ImapsだけだとLiveMailログインできなかったけどGmail、プロバイダメールは大丈夫っぽかった。Pop3s追加したらLiveも大丈夫になったけど。

こんな感じで一つ一つ設定してけばOK。
設定したらよく使うアプリでネット接続使うものを動作させてみて、正常に動くか試してみるといいでしょう。
動かなかったら一度「デフォルトで拒否するリスト」にチェック入れて、「状態」タブでどのポート使ってるかチェックして、そのポートを追加してあげればいいです。
これの便利かつ安全なとこは、IPorホストによって許可する、しないを選べるとこ。
Screenshot-新しい送信ルールの追加-1例えばTelnet。これは遠隔操作のサービスで、サーバー専用機をメインのデスクトップ機からログインして操作するときなんかに使うんですが、これでホストを指定しとけば操作するマシン(デスクトップ機)からの通信のみ許可したりできるので、より安全ってわけです。
悪意ある人がTelnetで遠隔ログインするのを防げたりするわけですね。(IP偽装とかされたらどーか知りませんが)

通常にFireStarter導入しただけでアクティブな接続状態ってのはリアルタイムで監視できるので、これを参考に設定してみるといいかも。
得にDMZに置いてるサーバー機なんかはいらないサービスのポート許可してるとろくなことにならないと思うので。
逆にルーター通してるデスクトップ機なんかは通常使用に限ってはそんなにシビアに考えなくてもいいように思いますが、気になる人は設定詰めてみればより安心な環境を作れるでしょうね。

関連記事
Ubuntuのセキュリティ対策
Firestarterの起動エラー
rootkit検出ツールでセキュリティチェック ~chkrootkit・rkhunter~
AVG for Linux ってどーよ?
F-prot for Linuxはどう?
関連記事
総合案内当ブログについて
Windowsの目次Linuxの目次Linuxの目次2・ ・自作PC関連の目次Web技術関連の目次
全記事一覧情報サイト新着RSS一覧

Sponsored Link

926:No title
backtrackは何しなくても安全なんですか?

コメントの投稿

管理者にだけ表示を許可する
ブログ内検索

カスタム検索

フリーエリア

クリックで救える命がある。

レンタルサーバー

さくらのマネージドサーバ
さくらインターネットのVPS
ConoHaのVPS
WebARENA VPSクラウド
99円レンタルサーバー
【CloudCore VPS】
GMOクラウドのレンタルサーバー
転送量無制限 ABLENET
@WAPPYレンタルサーバー
SPPDレンタルサーバー

カテゴリー+月別アーカイブ

 

アクセスカウンター

現在の閲覧者数:

プロフィール

Author:tmin
PCヲタ。ライト2ちゃんねら。
スロット好きのギャンブラー。(元
むしろ人生がギャンブルだが目下のところ負けっぱなし。
座右の銘は「結果オーライ」。故に基本適当。
トラブルもまた楽しみのひとつ

コメント、トラバ、相互リンク歓迎。お気軽にどうぞ。
当ブログについて
Twitterでこっちとあっちの更新情報流すことにしてみます。
http://twitter.com/t_min
Project Mikunchu♪Wikiできました。
Mikunchu200x40.png


上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。