Как настроить Linux-систему в качестве автономного брандмауэра / шлюза?

632
El Zorko

Как мне отделить брандмауэр / шлюз Linux, чтобы изолировать машины, которые сейчас общаются с Microsoft Windows, от Интернета? Разрешить только одобренные пользовательские подключения из окон Windows. Это связано с тем, что Windows 10 и другие не подчиняются большинству тех же подходов, когда звонят домой. Мне бы хотелось, чтобы интерактивная настройка позволяла или запрещала подключения, которые происходят с других компьютеров.

Меня интересуют только исходящие соединения TCP / IP и UDP, так как межсетевой экран маршрутизатора достаточно хорошо блокирует входящий трафик.

enter image description here

Я предполагаю, что я мог бы выдумать что-то наполовину запеченное с хвостами журналов и iptables, но это не даст мне простой пользовательский опыт, и это было бы после факта (так что я мог наблюдать за отклонением журналов, затем возвращаться и изменять правила в дело). Я бы хотел, чтобы соединение зависло (несмотря на тайм-аут), пока я не разрешу / не откажусь.

Возможно ли то, что я ищу, даже не взломав что-то вроде iptables? На какие подводные камни я должен обратить внимание?

Как следствие, эффективно и возможно ли настроить эти блоки в качестве шлюза и DHCP-серверов для блоков Windows? Похоже, я должен был блокировать сами окна Windows от общения с маршрутизатором и, следовательно, заставлять их проходить через шлюз / брандмауэр.

(Изменить: перефразировано.)


1

1 ответ на вопрос

1
NoelC

В последние месяцы я разработал стратегию «запретить по умолчанию» брандмауэра на основе программного обеспечения Sphinx «Windows 10 Firewall Control». У меня есть высококлассное издание «Сеть / Облако».

Этот продукт использует встроенную платформу фильтрации Windows (WFP), но не перекрывает контроль, выполняемый стандартными процессами настройки брандмауэра Windows Advanced. Это немного странно, пока вы не поймете, как все это сочетается. В итоге я полностью отменил настройку стандартного брандмауэра, чтобы все контролировалось через пользовательский интерфейс Sphinx.

Это эффективно - я прекращаю практически все разговоры в Интернете с моих систем Win 7, Win 8.1 и Win 10, которые НЕ МОГУТ быть полностью остановлены посредством настройки, - но я все еще могу завершить операции Windows Update.

Однако в интересах полного раскрытия мое решение с указанным выше продуктом может не соответствовать всем вашим потребностям по нескольким причинам ...

  1. Для фильтрации используется программное обеспечение Windows. До сих пор я не нашел никаких доказательств того, что Microsoft (или кто-либо еще) строит обходной путь, но, конечно, производительность в прошлом не является гарантией будущих результатов. Я думаю, что для Microsoft было бы В высшей степени неловко, если бы они работали над своим собственным брандмауэром, поэтому я предполагаю, что они не сделают этого в ближайшее время.

  2. Это не дает возможность разрешить или запретить, но всегда терпит неудачу с первой попытки, затем появляется диалоговое окно с вопросом, что вы хотите сделать для того же приложения в будущем. Это звучит незначительно, но на самом деле не дает того уровня управления, который вы ищете, и это МОЖЕТ вызвать проблемы (например, если программное обеспечение не повторяет операцию). Эта проблема действительно усложняет использование этого подхода, и, как и вы, я бы предпочел, чтобы в ней была функция, которую вы описали.

  3. Новейшие выпуски Sphinx действительно довольно новы, по-видимому, соответствуют по времени выпуску Windows 10, и поэтому они, по-видимому, до сих пор исправляют некоторые ошибки (однако их техническая поддержка очень отзывчива). К сожалению, при таком сложном процессе, как управление настройкой брандмауэра, любой небольшой сбой (например, невозможность фактически обновить конфигурацию брандмауэра в соответствии с тем, что вы только что изменили без сообщения об ошибке) может привести к тому, что вы по-настоящему будете чесаться и тратить время.

Я здесь, чтобы сказать вам, после работы с этой настройкой и ее доработки в течение нескольких месяцев, что то, что вы хотите, возможно и разумно. Что страшно, так это осознание того, сколько общения действительно происходит (или пытаются). Разумно иметь контроль над тем, что делает ваш компьютер в Интернете, хотя имейте в виду, что это будет стоить вам дополнительных усилий на постоянной основе. Это, безусловно, НЕ процесс «установи и забудь».

Как ни странно, в последнее время все больше внимания уделяется «вторжению в частную жизнь» Windows 10, потому что благодаря разработанным специализированным инструментам я обнаружил, что на самом деле несколько более эффективно перенастроить Windows 10 для его подавления, чем Windows 8.1. И чтобы не остаться в стороне, Windows 7 старается все больше и больше болтать из-за некоторых последних обновлений Windows. Это интересное время, и вы совершенно правы, заботясь о том, что и куда отправляется.

-Ноэль

Похожие вопросы