بهترین نرم افزار فایروال برای یک سیستم خانگی (home user) از نظر شما چیه ؟

[vegetarian]

من خودم نظری ندارم چون فقط با ufw کار کردم. شما دوستان با هر فایروالی که کار کردین مزایا و معایبش رو لطفا بگین.
با تشکر

[Dragon-]

می‌تونید مستقیم با خود iptables کار کنید. firewalld هم هست. با nft هم می‌تونید کار کنید.

[vegetarian]

می‌تونید مستقیم با خود iptables کار کنید. firewalld هم هست. با nft هم می‌تونید کار کنید.

آقای بهزادی تو یه تاپیکی گفته بودن که برای سیستم خانگی که پشت مودم/روتر هست فایروال نیاز نیست . نظر شما چیه؟
سوال دومم هم اینه که firewalld روی دبیان xfce هم نصب میشه ؟ چون من قبلا روی مانجارو دیده بودم یه نسخه GUI اش بصورت پیش فرض نصب بود

[مرتضی . م]

سوال دومم هم اینه که firewalld روی دبیان xfce هم نصب میشه ؟

بلی

[دانیال بهزادی]

دیوار آتش رو دقیقاً برای انجام چه کاری می‌خوای؟

[Dragon-]

آقای بهزادی تو یه تاپیکی گفته بودن که برای سیستم خانگی که پشت مودم/روتر هست فایروال نیاز نیست . نظر شما چیه؟
سوال دومم هم اینه که firewalld روی دبیان xfce هم نصب میشه ؟ چون من قبلا روی مانجارو دیده بودم یه نسخه GUI اش بصورت پیش فرض نصب بود

معمولا برای سیستم خانگی پشت مسیریاب، لازم نیست دیوار‌آتش فعال بشه. چون چیز‌های خارج شبکه نمی‌تونند مستقیم به کامپیوتر وصل بشن مگه اینکه port forwarding روی مسیریاب فعال باشه. که این بعیده. port forwarding به طور پیش‌فرض خاموشه و برای اینکه درست کار کنه، باید تنظیم بشه.
البته اگه تهدیدی داخل خود شبکه وجود داشته باشه، اونوقت قضیه فرق می‌کنه. ولی معمولا این برای شبکه‌های بزرگ هست که نمیشه همه کامپیوتر‌ها رو مانیتور کرد و ممکنه بعضی‌ها آلوده باشن، که معمولا کامپیوتر خانگی توی چنین وضعیتی قرار نداره.

یا اینکه بخواهید دسترسی بعضی برنامه‌ها رو به اینترنت ببندید. در اینصورت به دیوارآتش نیاز دارید.

ولی کلا داشتن دیوارآتش بد نیست.  اینجور هم نیست که اگه نداشته باشید مشکل خیلی بدی پیش بیاد. اگه قدرت پردازشی کمی در اختیار دارید یا اینکه لینک خیلی سریعی دارید (بیشتر از 10Gib/s) شاید بهتر باشه دیوارآتش رو خاموش کنید.
اگه می‌خواهید دیوارآتش داشته باشید، معمولا بستن تمام پورت‌های ورودی و باز گذاشتن تمام پورت‌های خروجی توی کامپیوتر خانگی انتخاب خوبی هست. محدود کردن خروجی یکم تجربه و دانش لازم داره تا پورت‌هایی که برنامه‌ها لازم دارند رو نبندید.

firewalld و nft هر دو روی دبیان نصب میشن. nft که به طور پیش‌فرض تصب هست.
هردو از nftables استفاده می‌کنند. خود دستور iptables هم دیگه از nftables استفاده می‌کنه. قبلا به‌جای nftables، از iptables استفاده میشد ولی دیگه nftables استفاده میشه. از iptables هم دستورش مونده ولی در اصل داره از nftables استفاده میشه.
ufw هم یه رابط کاربری برای کار با iptanles هست که خود دستور iptables داره از nftables استفاده می‌کنه. پس این هم در اصل داره از nftables استفاده می‌کنه. gufw رو هم که خودتون می‌دونید، یه رابط گرافیکی برای ufw هست.

خود nftables هم از به فریمورک به اسم netfilter استفاده می‌کنه که داخل خود کرنل لینوکس پیاده شده. البته netfilter فقط برای دیوارآتش استفاده نمیشه برای بعضی کار‌های مربوط به شبکه هم هست. همه این ابزار‌هایی که گفتم، اون پایین دارند یه‌جور کار می‌کنند. فقط دستورات و قابلیت‌هایی که هر کدوم ارائه میدن، انتزاع متفاوتی از netfilter هست.

[bed123derkelo]

باسلام

firewalld و nft هر دو روی دبیان نصب میشن. nft که به طور پیش‌فرض تصب هست

رو دبیان من برنامه ای که گفتید نصب نیست

ازکجا میشه فهمید firewalld نصب هست و داره کار میکنه؟

[Dragon-]

من nft رو گفتم نصبه. روی دبیان ۱۱ دیدم نصب بود. حتما لازم نیست firewalld رو نصب کنید. به طور پیش‌فرض nftables نصب هست و می‌تونید قوانین اونها رو با دستورات خانواده iptables و همینطور دستور nft عوض کنید. firewalld یه چیزی هست که از nftables استفاده می‌کنه. در اصل یجور دستورات دیگه به شما ارائه میده ولی در اصل داره مثل iptables و nft از خود nftables استفاده می‌کنه. توی ارسال بالاتر توضیات کاملتری دادم.
اگه کار با اون دستورات برای شما سخته، می‌تونید ufw رو نصب کنید که یه رابط برای iptables هست. کار باهاش هم راحت‌تره.
اگه یه‌چیز گرافیکی لازم دارید، gufw هست. یه رابط گرافیکی برای ufw.

[vegetarian]

آقای بهزادی تو یه تاپیکی گفته بودن که برای سیستم خانگی که پشت مودم/روتر هست فایروال نیاز نیست . نظر شما چیه؟
سوال دومم هم اینه که firewalld روی دبیان xfce هم نصب میشه ؟ چون من قبلا روی مانجارو دیده بودم یه نسخه GUI اش بصورت پیش فرض نصب بود

معمولا برای سیستم خانگی پشت مسیریاب، لازم نیست دیوار‌آتش فعال بشه. چون چیز‌های خارج شبکه نمی‌تونند مستقیم به کامپیوتر وصل بشن مگه اینکه port forwarding روی مسیریاب فعال باشه. که این بعیده. port forwarding به طور پیش‌فرض خاموشه و برای اینکه درست کار کنه، باید تنظیم بشه.
البته اگه تهدیدی داخل خود شبکه وجود داشته باشه، اونوقت قضیه فرق می‌کنه. ولی معمولا این برای شبکه‌های بزرگ هست که نمیشه همه کامپیوتر‌ها رو مانیتور کرد و ممکنه بعضی‌ها آلوده باشن، که معمولا کامپیوتر خانگی توی چنین وضعیتی قرار نداره.

یا اینکه بخواهید دسترسی بعضی برنامه‌ها رو به اینترنت ببندید. در اینصورت به دیوارآتش نیاز دارید.

ولی کلا داشتن دیوارآتش بد نیست.  اینجور هم نیست که اگه نداشته باشید مشکل خیلی بدی پیش بیاد. اگه قدرت پردازشی کمی در اختیار دارید یا اینکه لینک خیلی سریعی دارید (بیشتر از 10Gib/s) شاید بهتر باشه دیوارآتش رو خاموش کنید.
اگه می‌خواهید دیوارآتش داشته باشید، معمولا بستن تمام پورت‌های ورودی و باز گذاشتن تمام پورت‌های خروجی توی کامپیوتر خانگی انتخاب خوبی هست. محدود کردن خروجی یکم تجربه و دانش لازم داره تا پورت‌هایی که برنامه‌ها لازم دارند رو نبندید.

firewalld و nft هر دو روی دبیان نصب میشن. nft که به طور پیش‌فرض تصب هست.
هردو از nftables استفاده می‌کنند. خود دستور iptables هم دیگه از nftables استفاده می‌کنه. قبلا به‌جای nftables، از iptables استفاده میشد ولی دیگه nftables استفاده میشه. از iptables هم دستورش مونده ولی در اصل داره از nftables استفاده میشه.
ufw هم یه رابط کاربری برای کار با iptanles هست که خود دستور iptables داره از nftables استفاده می‌کنه. پس این هم در اصل داره از nftables استفاده می‌کنه. gufw رو هم که خودتون می‌دونید، یه رابط گرافیکی برای ufw هست.

خود nftables هم از به فریمورک به اسم netfilter استفاده می‌کنه که داخل خود کرنل لینوکس پیاده شده. البته netfilter فقط برای دیوارآتش استفاده نمیشه برای بعضی کار‌های مربوط به شبکه هم هست. همه این ابزار‌هایی که گفتم، اون پایین دارند یه‌جور کار می‌کنند. فقط دستورات و قابلیت‌هایی که هر کدوم ارائه میدن، انتزاع متفاوتی از netfilter هست.

ممنون از توضیحات کاملتون.
راستش من قبلا فکر می کردم که هکرها می تونن به سیستم های خانگی حمله کنن و بهشون نفوذ کنن
پس با این حساب فقط با نصب نرم افزار آلوده به بد افزار هست که سیستم ما نفوذ پذیر میشه درسته؟
حالا یه سوال دیگه اینکه آیا از طریق حملات xss نمی شه سیستم رو آلوده کرد؟ مثلا بازدید از یک سایت آلوده؟
حالا فرض کنیم که یه تروجان (از هر راهی که ممکنه) روی سیستم نصب بشه و اون تروجان برای رد و بدل اطلاعات از پورت ۱۰۸۰
استفاده کنه خب در اینصورت ما با نصب فایروال وبستن پورت مزبور جلوی رد و بدل کردن اطلاعات بوسیله اون تروجان رو گرفتیم . اشتباه می گم؟

دیوار آتش رو دقیقاً برای انجام چه کاری می‌خوای؟

برای افزایش امنیت
در ضمن اون ویدیویی که دوستمون اشکان هم گفته بود در کانال nullbyte پیدا کردم که حاج Kody Kinzie 
در این ویدیو داره فایروال برای یک سیستم خانگی رو تنظیم می کنه چون اگر برای سرور بود شما بعد از بستن پورت های ورودی و خروجی عملا ارتباط با سرور رو از دست می دین  و مجبور میشین دوباره سیستم عامل سرور رو نصب کنید .
پس این سوال پیش میاد که چرا یک کسی مثل Kody Kinzie که تو کار آموزش هک هست توصیه می کنه فایروال رو سیستم خودتون داشته باشید؟؟
https://www.youtube.com/watch?v=2IosbILbMWQ

یا اینکه لینک خیلی سریعی دارید (بیشتر از 10Gib/s) شاید بهتر باشه دیوارآتش رو خاموش کنید.

آره سرعتم الان بیشتر از ۱۰ گیگابیت بر ثانیه هست حدود 3.2 مگابیت بر ثانیه به امید خدایان عامون یه ۱۰۰ سال دیگه نوه هامون شاید بتونن با این سرعتی که شما گفتین وصل بشن به نت

[bed123derkelo]

باسلام
ممنون از Dragon- بابت پاسخ

اگر به طور پیش فرض firewalld نصبه و فعال من نمیخوام تغیری بدم.
اگر لازمه نصب بشه نصب کنم.
یه جستجو هم زدم در مورد ufw آموزش به فارسی هم داره خوندم جالب بود.

[دانیال بهزادی]

هیچ‌چیزی در حوزهٔ امنیت غیرممکن نیست. ولی اگه فقط از مخازن رسمی استفاده کنی و همیشه به‌روز باشی، بدون هیچ کار اضافی‌ای، بالای ۹۹٫۹۹ درصد امنیت داری. اگه تمام کارهای ممکن رو هم بکنی، از نظر آماری، امنیتت همون‌قدره؛ فقط کلی کار اضافی کردی و منابعت رو هدر دادی.

[Dragon-]

ممنون از توضیحات کاملتون.
راستش من قبلا فکر می کردم که هکرها می تونن به سیستم های خانگی حمله کنن و بهشون نفوذ کنن
پس با این حساب فقط با نصب نرم افزار آلوده به بد افزار هست که سیستم ما نفوذ پذیر میشه درسته؟
حالا یه سوال دیگه اینکه آیا از طریق حملات xss نمی شه سیستم رو آلوده کرد؟ مثلا بازدید از یک سایت آلوده؟
حالا فرض کنیم که یه تروجان (از هر راهی که ممکنه) روی سیستم نصب بشه و اون تروجان برای رد و بدل اطلاعات از پورت ۱۰۸۰
استفاده کنه خب در اینصورت ما با نصب فایروال وبستن پورت مزبور جلوی رد و بدل کردن اطلاعات بوسیله اون تروجان رو گرفتیم . اشتباه می گم؟

دیوار آتش رو دقیقاً برای انجام چه کاری می‌خوای؟

برای افزایش امنیت
در ضمن اون ویدیویی که دوستمون اشکان هم گفته بود در کانال nullbyte پیدا کردم که حاج Kody Kinzie 
در این ویدیو داره فایروال برای یک سیستم خانگی رو تنظیم می کنه چون اگر برای سرور بود شما بعد از بستن پورت های ورودی و خروجی عملا ارتباط با سرور رو از دست می دین  و مجبور میشین دوباره سیستم عامل سرور رو نصب کنید .
پس این سوال پیش میاد که چرا یک کسی مثل Kody Kinzie که تو کار آموزش هک هست توصیه می کنه فایروال رو سیستم خودتون داشته باشید؟؟
https://www.youtube.com/watch?v=2IosbILbMWQ

باز هم میشه به سیستم شما نفوذ کرد. اگه یه نرم‌افزار آلوده نصب کنید، میشه به سیستم شما نفوذ کرد. اجرای فایل‌های آلوده حتی بدون دسترسی روت باز هم می‌تونه راه نفوذ رو باز کنه. بازدید از یه سایت آلوده هم می‌تونه مشکل درست کنه.
ممکنه خود مسیریاب یا مودم مشکل امنیتی داشته باشه و به طریقی بشه مستقیم از خارج از شبکه، بدون تنظیمات خاصی به کامپیوتر‌های داخل شبکه وصل شد. در این شرایط معمولا باید صبر کرد تا خود سازنده مودم یا مسیریاب، آپدیت بیرون بده. ولی این کم اتفاق میوفته که کسی بخواهد نفوذ کنه. معمولا برای شرکت‌ها این خطر هست.
درمورد تروجان دارید درست می‌گید اما معمولا تروجان انقدر خنگ نیست و اگه یه پورت بسته باشه، یه پورت دیگه رو امتحان می‌کنه. ولی اگه فقط از همون پورتی که گفتید استفاده کنه و شما اون پورت رو ببندید، حرف شما درسته. البته توی این مورد باید خروجی بسته باشه.

در مورد سرور‌های لینوکسی و یونیکسی، معمولا از ssh استفاده میشه. به خاطر همین اگه اول اجازه بدیم پورتی که ssh از اون استفاده می‌کنه باز باشه و بعد بقیه پورت‌ها رو ببندیم، دیگه این مشکل پیش نمیاد. ssh به طور پیش‌فرض از پورت ۲۲ استفاده می‌کنه ولی میشه تغییرش داد. قوانین دیوار‌آتش رو باید بر اساس اون پورت، تنظیم کرد تا ارتباط قطع نشه.
اگه هم ارتباط رو اشتباهی قطع کنید، راه‌حل دسترسی فیزیکی به سرور هست. باید فیزیکی رفت سراغ سرور، وارد یه حساب شد و تنظیمات رو درست کرد. یا اینکه یه باگی چیزی پیدا کرد و از دور به سرور نفوذ کرد و تنظیمات سرور رو تغییر داد.

هرچند راه برای نفوذ باز هم زیاده. خود همین x11 نقص‌های امنیتی زیادی داره ولی wayland خیلی از اونها رو برطرف کرده اما تا زمانی که بعضی برنامه‌ها که درست از wayland پشتیبانی نمی‌کنند و از طریق لایه تطبیق‌پذیری xwayland کار می‌کنند، هنوز اون مشکلات هست. مشکل دیگه wayland اینه‌که هنوز برنامه‌ها درست از اون پشتیبانی نمی‌کنند (که بیشتر مشکل خود برنامه‌ها هست تا wayland) و اکثرا مجبور میشید از همون x11 استفاده کنید. مثل من که هنوز روی x11 هستم چون wayland درست با درایور‌های انحصاری انویدیا و kde کار نمی‌کنه.

اگه هم کسی دسترسی فیزیکی به کامپیوتر داشته باشه، کل کار‌های بالا تقریبا بی‌اثر هستند. در این شرایط رمزنگاری کل دیسک (یا حداقل همه قسمت‌ها به غیر از بوتلودر) و فعال بودن secure boot می‌تونه اثربخش باشه.
هرچند secure boot رو هم میشه با فلش کردن دوباره چیپ‌های مادربورد دور زد. ولی خوب یکم دانش فنی می‌خواهد. برای جلوگیری از اون میشه از tpm استفاده کرد که نمی‌دونم میشه اون رو دور زد یا نه.

خود دستگاه‌هایی که به اسلات‌های pcie وصل هستند، دسترسی کامل به محتوای رم دارند و تقریبا کار زیادی شما نمی‌تونید انجام بدید. (مگه اینکه سخت‌افزار رو با چیزی شبیه tpm احراز هویت کنید) ولی این دیگه چیزی نیست که به همین راحتی انجام بشه و اکثر نفوذگر‌ها، چنین دانشی ندارند.
دستگاه‌های firewire هم تقریبا مثل بالا هستند. دستگاه‌های thunderbolt هم مثل بالا هستند ولی میشه دسترسی مستقیم به حافظه رو محدود کرد.

رمزنگاری کل دیسک می‌تونه خیلی از راه‌های نفوذ رو وقتی که نفوذگر دسترسی فیزیکی داره، محدود کرد.
همونطور که گفتند، فقط نصب برنامه‌ها از مخازن رسمی، می‌تونه خیلی نفوذگر رو محدود کنه.
سعی کنید تا میشه توزیع رو بروز کنید تا اگه مشکل امنیتی حل شده، شما هم اون رو داشته باشید.
یه دیوار‌آتش هم می‌تونه از بعضی تهدیدات جلوگیری کنه.
این صفحه از ویکی آرچ توضیحات کاملی درباره امنیت داره.

می‌تونید ابزار lynis رو نصب کنید و لیستی از بعضی از مشکلات امنیتی سیستم تهیه کنید. برای بعضی از اونها هم راهنمایی داره.
برای نصبش، بسته lynis رو نصب کنید.

کد: [انتخاب]

sudo apt install lynis
بعد می‌تونید اینجوری ازش استفاده کنید.

کد: [انتخاب]

sudo lynis audit system
برای اطلاعات بیشتر هم صفحه man اون رو ببینید.

کد: [انتخاب]

man lynis

[Dragon-]

باسلام
ممنون از Dragon- بابت پاسخ

اگر به طور پیش فرض firewalld نصبه و فعال من نمیخوام تغیری بدم.
اگر لازمه نصب بشه نصب کنم.
یه جستجو هم زدم در مورد ufw آموزش به فارسی هم داره خوندم جالب بود.

firewalld که نصب نیست. دستورات nft و iptables به طور پیش‌فرض در دسترس هستند.
شما الان یه دیوار‌آتش دارید ولی قانونی به طور پیش‌فرض روی اون تنظیم نیست و هیچ چیزی رو محدود نمی‌کنه به خاطر همین عملا مثل این هست که دیوارآتش نداشته باشید. اگه لازم دارید، می‌تونید برای اون قانون بنویسید که ورودی رو محدود کنه. به نظرم اگه تاحالا با دیوارآتش کار نکردید، ufw یا رابط گرافیکی اون، gufw رو نصب و استفاده کنید.

[bed123derkelo]

باسلام

firewalld که نصب نیست. دستورات nft و iptables به طور پیش‌فرض در دسترس هستند.
شما الان یه دیوار‌آتش دارید ولی قانونی به طور پیش‌فرض روی اون تنظیم نیست و هیچ چیزی رو محدود نمی‌کنه به خاطر همین عملا مثل این هست که دیوارآتش نداشته باشید. اگه لازم دارید، می‌تونید برای اون قانون بنویسید که ورودی رو محدود کنه. به نظرم اگه تاحالا با دیوارآتش کار نکردید، ufw یا رابط گرافیکی اون، gufw رو نصب و استفاده کنید.

بسیار سپاس گذارم از پاسخ شما

اگه لازم دارید، می‌تونید برای اون قانون بنویسید که ورودی رو محدود کنه.

منظور شما چیه اگه لازم دارم؟

به جز مرورگر و تور و مدیریت دانلود هیچ برنامه ای به اینترنت متصل نمیشه.
apt هم که تکلیفش مشخصه
آیا نیاز برای این برنامه ها هست یا به طور کلی برا تمام سیستم؟

[vegetarian]

خیلی ممنون از توضیحات کامل آقای Dragon- و همینطور آقای بهزادی .