Jak skonfigurować Linux-a jako samodzielną zaporę ogniową / bramę? [Zamknięte]

1

Jak oddzielić zaporę / bramę systemu Linux, aby odizolować od Internetu komputery z systemem Microsoft Windows? Zezwalanie tylko na zatwierdzone połączenia inicjowane przez użytkownika ze skrzynek Windows. Biorąc pod uwagę, że Windows 10 i in. Nie przestrzegają większości podejść do tej samej maszyny podczas telefonowania do domu. Chciałbym, aby interaktywna konfiguracja zezwalała lub odmawiała połączeń tak, jak są one wykonywane z innych komputerów.

Martwię się tylko o wychodzące połączenia TCP / IP i UDP, ponieważ zapora routera wystarczająco dobrze blokuje ruch przychodzący.

wprowadź opis zdjęcia tutaj

Przypuszczam, że mógłbym sfałszować coś na wpół upieczonego z ogonami z drewna i iptables, ale to nie zapewni mi prostego doświadczenia użytkownika i byłoby po fakcie (więc mogłem oglądać odmowę dzienników, a następnie wrócić i zmienić skrzynkę reguł przez walizka). Chciałbym, aby połączenie zostało zawieszone (pomimo przekroczenia limitu czasu), dopóki nie pozwolę / odmówię.

Czy to, czego szukam, jest w ogóle możliwe bez zhakowania czegoś takiego jak sam iptables? Na jakie pułapki powinienem uważać?

W związku z tym, czy skonfigurowanie tych skrzynek jako bram i serwerów DHCP dla skrzynek Windows jest skuteczne i możliwe? Wygląda na to, że powinienem blokować same okna Windows przed rozmową z routerem, a tym samym zmuszać je do przejścia przez bramkę / zaporę ogniową.

(Edytuj: przeformułowany).


El Zorko
źródło

Odpowiedzi:

1

W ciągu ostatnich miesięcy opracowałem strategię zapory „domyślnie zaprzeczaj” opartą na produkcie Sphinx Software „Windows 10 Firewall Control”. Mam wysokiej klasy edycję „Network / Cloud”.

Ten produkt wykorzystuje wbudowaną platformę filtrowania systemu Windows (WFP), ale nie nakłada się na kontrolę wywieraną przez standardowe procesy konfiguracji zaawansowanej zapory systemu Windows. To trochę dziwne, dopóki w pełni nie zrozumiesz, jak to wszystko do siebie pasuje. Ostatecznie całkowicie zdekonfigurowałem standardową zaporę ogniową, więc wszystko jest kontrolowane przez interfejs użytkownika Sphinx.

Jest skuteczny - zatrzymuję praktycznie całą sprytność online w systemach Win 7, Win 8.1 i Win 10, których NIE MOŻNA całkowicie zatrzymać poprzez konfigurację - ale wciąż mogę dokończyć operacje Windows Update.

Jednak w interesie pełnego ujawnienia moje rozwiązanie z wyżej wymienionym produktem może nie spełniać wszystkich Twoich potrzeb z kilku powodów ...

  1. Do filtrowania używa oprogramowania Windows. Do tej pory nie znalazłem żadnych dowodów na to, że Microsoft (lub ktokolwiek inny) buduje wokół niego objazd, ale oczywiście wcześniejsze wyniki nie stanowią gwarancji przyszłych wyników. Myślę, że byłoby to niezwykle zawstydzające dla Microsoftu, gdyby działały one wokół własnej zapory ogniowej, więc sądzę, że nie zrobią tego w najbliższym czasie.

  2. Nie daje opcji zezwolenia lub odmowy, ale zawsze kończy się pierwszą próbą , TO pojawia się okno dialogowe z pytaniem, co chcesz zrobić dla tej samej aplikacji w przyszłości. To brzmi nieznacznie, ale tak naprawdę nie daje poziomu kontroli, którego szukasz, i MOŻE powodować problemy (np. Jeśli oprogramowanie nie spróbuje ponownie wykonać operacji). Ten jeden problem naprawdę komplikuje korzystanie z tego podejścia i podobnie jak Ty wolałbym, aby miał opisaną funkcję.

  3. Najnowsze wydania Sphinx są rzeczywiście całkiem nowe, najwyraźniej odpowiadające czasowi wydania Windows 10, i jako takie wciąż najwyraźniej pracują nad pewnymi błędami (ich wsparcie techniczne JEST jednak bardzo responsywne). Niestety, przy złożonym procesie, takim jak zarządzanie konfiguracją zapory ogniowej, każda drobna usterka (taka jak brak faktycznej aktualizacji konfiguracji zapory zgodnie z tym, co właśnie zmieniłeś bez komunikatu o błędzie) może sprawić, że naprawdę podrapiesz się po głowie i zmarnujesz czas.

Jestem tutaj, aby ci powiedzieć, po kilku miesiącach pracy i udoskonaleniu tej konfiguracji, że to, czego chcesz, JEST możliwe i JEST rozsądne. Przerażające staje się uświadomienie sobie, jak naprawdę odbywa się (lub próbuje) komunikacja. Kontrola nad tym, co robi komputer w Internecie, jest rozsądna - pamiętaj jednak, że będzie Cię to kosztować dodatkowy wysiłek w sposób ciągły. Z pewnością NIE jest to proces „ustaw i zapomnij”.

Anegdotycznie, z całą uwagą, jaką ostatnio zwróciło „włamanie do prywatności” systemu Windows 10, ponieważ dzięki opracowanym specjalistycznym narzędziom przekonałem się, że bardziej skuteczna jest ponowna konfiguracja systemu Windows 10, aby go wyciszyć niż system Windows 8.1. I nie można tego pominąć, Windows 7 stara się być coraz bardziej czatowy z powodu niektórych ostatnich aktualizacji Windows. To ciekawy czas i masz rację martwiąc się o to, gdzie jest wysyłany.

-Nie

NoelC
źródło