Administrace komentářů

No a kdyz tam zadna pravidla nemam tak to mam chapat tak ze je muj pocitac nechraneny?

Ne, znamená to, že je veškerá komunikace povolena. To nemusí nutně znamenat nechráněný počítač. Počítač je chráněný jedině v případě, kdy máte ve firewallu pravidla, kterým rozumíte a která tam chcete mít.

Myslel jsme ze iptables aspon v defaultu nejake pravidla maji aspon omezeni prichozi komunikace - takhle na me muze kdokoliv zkouset utoky.

Neexistuje žádné "základní" nastavení firewallu -- resp. základní nastavení je vypnutý firewall, tedy povolení veškeré komunikace. A pokud nevíte, co děláte, je nastavování jakýchkoli dalších pravidel stejně k ničemu.

Útoky může každý zkoušet, ale pokud je bezpečný software na tom počítači, k ničemu mu to nebude. A pokud na tom počítači nemusí běžet žádné síťové služby, není důvod, aby běžely, a pak není co napadat. Pak už může firewall sloužit pouze jako obecná ochrana sítě (proti útokům na infrastrukturu sítě, nikoli na konkrétní programy), jenže taková ochrana musí být z principu před onou sítí, na koncovém počítači je k ničemu.

K te druhe casti vaseho prispevku - uprimne moc Vam nerozumim-mejte se mnou tu trpelivost a vysvetlete mi to polopate. Ja si to predstavuju tak ze napisu do nejakeho textaku(skriptu) prikazy(pravidla) pro iptables. Pak musim nejakym zpusobem zajistit aby se tento skript spustil pokazde kdyz zapnu PC a pravidla se tak aplikovala. Jo jeste bych dodal ze ja tam nemam zadny iptables startovaci skript(mam tim na mysli v /etc//init.d ani nic v /etc). Moc prave nechapu jak je mam ulozit pomoci iptables-save a k cemu je to restore?

Ne, postup je jiný. Spouštíte si příkazy iptables s potřebnými parametry na příkazovém řádku a tím nastavujete firewall. Občas se vám nějaké pravidlo nepovede, odstřihnete se úplně od sítě nebo od ssh -- v takovém případě si poděkujete, že vše děláte z místní konzole, a že nemáte pravidla v nějakém skriptu, který byste takhle upravil a od sítě se odstřihl při příštím restartu (což je typicky v situaci, kdy jste od serveru tisíc kilometrů daleko a za 15 minut má začít prezentace webových stránek, které na tom serveru běží). Takhle si to nastavení firewallu ladíte (přidáváte, upravujete a mažete pravidla), dokud s ním nejste spokojen. Pak zavoláte příkaz iptables-save > /etc/moje-nastaveni-firewallu. Do startovacích skriptů (třeba do rc.local, nebo si vytvoříte nový skript) si pak přidáte příkaz iptables-restore < /etc/moje-nastaveni-firewallu. Ten první vezme aktuální nastavení firewallu a vypíše jej v nějakém formátu (který je shodou okolností čitelný a dost podobný parametrům iptables, kterým se pravidla nastavují), druhý pak data ve stejném formátu zase načte a nastaví příslušným způsobem firewall. Možná je k tomu dobré ještě dodat, že iptables nejsou samotný firewall. Firewall je sada pravidel nastavených v jádře -- iptables je jenom utilita, která s těmito pravidly umožňuje manipulovat (měnit je, přidávat a odebírat). A iptables-save a iptables-restore jsou příkazy, které umí tuhle aktuální sadu pravidel jádra v nějakém formátu uložit a pak zase z toho formátu nahrát zpět do jádra.

Pokud pak chcete pravidla později změnit, zase pomocí příkazů iptables upravíte aktuální nastavení firewallu a pak je pomocí iptables-save uložíte opět do souboru, který používá váš inicializační skript k obnově po startu.