NAT/masquerading med ufw - firewall

[thj01]

Er der nogle der har erfaring med NAT/masguerading ved hjælp af UFW. Jeg har brugt nedestående guide flere gange, men den vil ikke virke

https://help.ubuntu.com/10.04/serverguide/firewall.html



Hvad er bedst at anvende som firewall på en server set ud fra et forståelsesperspektiv (undervisning)

ufw
iptables
shorewall
firewall builder

[lath]

Er der nogle der har erfaring med NAT/masguerading ved hjælp af UFW. Jeg har brugt nedestående guide flere gange, men den vil ikke virke

https://help.ubuntu.com/10.04/serverguide/firewall.html



Hvad er bedst at anvende som firewall på en server set ud fra et forståelsesperspektiv (undervisning)

ufw
iptables
shorewall
firewall builder

Måske det er fordi du bruger 10.04 guiden på et nyere system end 10.04?
Mig bekendt skal du også huske at aktivere routing for den protokol type (det er nok IPv4) trafik du vil lave NAT på, for ellers sker der ikke noget.

Det her er linket til 12.04 guiden:
https://help.ubuntu.com/12.04/serverguide/firewall.html - Den ser dog ikke ud til at være ret meget forskellig (om nogen) i forhold til 10.04 firewall guiden.

På Ingeniørhøjskolen i Aarhus (nu Århus Universitet, Teknisk Fakultet) bruge vi iptables til alt der havde at gøre med firewall og NAT.

/Lars

[thj01]

@lath

Man plejer også at bruge iptables ... men som jeg forstår det, så ligger der deri også en holdning til at Linux skal være bøvlet... altså ikke noget med GUI og sådan noget pjat.

Det mener jeg er en urimelig ulempe at sætte på Linuxundervisningen, for det lærer også eleverne at Linux er mere omstændig. Hvis man endelig skulle give Linux og Windows server lige konkurrence skulle man jo også kræve at alt serveropsætning osv. foregik på en CORE installation.

Pointen med firewallen er jo at man skal lære at styre hvad der kommer ind/ud af systemet - ikke iptables.

Men igen... måske skal jeg bare erkende at jeg skal lave selve NAT/MASQUERADE med iptabels og så anvende ufw/shorewall/firewall builder til resten. Pointen er at de skal lære at sætte en firewall op og anvende den ... ikke lære iptables

Jeg vil f.eks. også lave det meste serverarbejde via ssh, da det giver fordele med at man lettere kan scrolle/søge i konfigurationsfiler... hvis jeg da ikke vælger at installere en WM, som de så senere skal konfigurere, så den ikke starter op som default, men med startx. Det giver det bedste fra begge verdener... men giver desværre en del overflødig software på serveren, der kan være sikkerhedsissues med (flere programmer man skal være opmærksomme på).


what to do .... for at de lærer at arbejde med Linux .... ikke at bøvle med det!

Det er ikke til universitetet eller ingeniører, men en introduktion til datateknikkere

[lath]

@lath

Man plejer også at bruge iptables ... men som jeg forstår det, så ligger der deri også en holdning til at Linux skal være bøvlet... altså ikke noget med GUI og sådan noget pjat.

Det skrev du og ikke jeg.

Det mener jeg er en urimelig ulempe at sætte på Linuxundervisningen, for det lærer også eleverne at Linux er mere omstændig. Hvis man endelig skulle give Linux og Windows server lige konkurrence skulle man jo også kræve at alt serveropsætning osv. foregik på en CORE installation.

Pointen med firewallen er jo at man skal lære at styre hvad der kommer ind/ud af systemet - ikke iptables.

Men igen... måske skal jeg bare erkende at jeg skal lave selve NAT/MASQUERADE med iptabels og så anvende ufw/shorewall/firewall builder til resten. Pointen er at de skal lære at sætte en firewall op og anvende den ... ikke lære iptables

Jeg vil f.eks. også lave det meste serverarbejde via ssh, da det giver fordele med at man lettere kan scrolle/søge i konfigurationsfiler... hvis jeg da ikke vælger at installere en WM, som de så senere skal konfigurere, så den ikke starter op som default, men med startx. Det giver det bedste fra begge verdener... men giver desværre en del overflødig software på serveren, der kan være sikkerhedsissues med (flere programmer man skal være opmærksomme på).


what to do .... for at de lærer at arbejde med Linux .... ikke at bøvle med det!

Det er ikke til universitetet eller ingeniører, men en introduktion til datateknikkere

Dit svar giver mig et klart indtryk af at du antager at alle og enhver ved at når du skriver "undervisning" i dit spørgsmål, så mener du "undervisning af datateknikere" - hvor skulle jeg vide fra at målgruppen er datateknikere på det tidspunkt?!?
Du er du selv ude om at jeg svarede som jeg gjorde i mit forrige indlæg, fordi du ikke klart definerede en målgruppe i dit spørgsmål.

Jeg tror at jeg lade en anden svare på dit spørgsmål eftersom stort set alt det man kan finde ude på nettet om Linux firewallen indeholder en reference til iptables værktøjet

/Lars

[thj01]

@lath

Det var faktisk ikke ment som kritik af det du skrev - men simpelthen fordi at jeg har svært ved at finde materiale om firewalls på nettet. Jeg har svært ved at finde materiale der behandler emnet på et "mellem" niveau - altså ikke for totalt begyndere eller avanceret.


Det kan godt være at jeg bliver nød til at bide i det sure æble simpelthen fordi iptables er det bedste bud - men jeg søger med lys og lygte efter nogel "mellem" noget - noget hvor firewall delen kan overstås på måske 4 lektioner - fremfor at skulle fylde en hel dag.

Jeg var i mit "didaktiske" mode da jeg skrev indlægget og derfor var det nogle kritiske overvejelser jeg lige fik fyret af - desværre på en måde der kunne lyde somom jeg brokkede mig over din hjælp. Det var på ingen måde intentionen. Faktisk fik lige netop dit indlæg mig til at overveje om jeg var på rette kurs - og det var faktisk en stor hjælp.

Håber virkeligt at du ikke opgiver mig så hurtigt - fordi det drejer sig jo egentlig om min uvidenhed

[lath]

Ok, indrømmet - jeg var lidt pissed, men godt ord igen

Jeg har fundet den her som måske nok kan bruges i undervisning - den ser ok ud (kun hurtigtlæst den):
https://www.linux.com/learn/tutorials/445652-creating-firewalls-on-linux-manually-using-firewall-builder

Muligvis brugbart:
Det interessante er at den har lister af: Hvis det her skal ske - så skal du køre den her (iptables) kommando.
Den her side: http://www.linuxfromscratch.org/blfs/view/svn/postlfs/firewall.html

I undervisningen kan du bruge gufw: https://help.ubuntu.com/community/Gufw
Hvis det er relevant for datateknikere kan du nævne ufw som er cli udgaven af gufw, med den begrundelse at servere typisk ikke har en grafisk brugerflade.
Her er https://help.ubuntu.com/community/UFW værd at kigge nærmere på, og det er manual siden også : http://manpages.ubuntu.com/manpages/trusty/en/man8/ufw.8.html

Er de ikke bekendt med manual sider kan det nok være på sin plads lige at nævne syntaksen for manual sider, der er som følger (ikke komplet liste, men god nok til at man bagefter kan bruge ufw):

• Der hvor der står [ ] rundt om teksten, så er der tale om valgfrit tekst
• en | betyder et enten-eller valg. Er der mere en | så kan man bare vælge imellem mere end 2 ting.
• Man skal også lige at fortælle at de rent faktisk ikke skal skrive [,], eller | tegene.
• Tekst uden [ ] rundt om er obligatorisk / ikke valgfrit.
• Det skal også nævnes at rækkefølgen tingene bliver skrevet i sommetider er vigtig for om kommandoen forstår hvad der bliver skrevet.
• Man kan til sidst nævne at en cli kommando enten ...
  
  • ... skriver hjælpeteksten ud, ...
  • ... eller, skriver en fejlmeddelelse ud (sjældent), ...
  ... hvis den ikke forstår hvad der bliver skrevet til den.

... og så behøver man vist ikke nævne mere om manual-side syntax.

Tag hvad du kan bruge

/Lars

[thj01]

Kender godt følelsen af at blive "pissed" .

Jeg har gået i mange overvejelser om jeg skal droppe ideen om at arbejde ren tekstbaseret og så smide en GUI på serveren. På den ene side gør det det lidt lettere, men modsat så får man nok lige så meget ud af at bruge ssh fra en klient.

Jeg regner også med at introducere dem til webmin, da det efterhånden kan RIGTIGT meget - også opsætning/vedligeholdelse af RAID (fandt jeg lige ud af).

Men tak for at du med din ekspertise fandt nogle gode sider - de skal granskes grundigt. Mit mål er ihvertfald at de kommer til at opleve at man med Linux, kan lave meget effektive serversystemer både billigt og nemt.

Og så vil jeg nok også introducere dem for smb, sådan at de også får den opsat som domain controller og filserver.

Tak for din hjælp.