回答:
最初に、ファイアウォールはサーバーを保護するための最後のステップであるべきです。不要なソフトウェアとサービスをすべて削除し、システムを最新の利用可能なセキュリティパッチで更新し、構成ファイルを確認します。
なぜiptablesを避けたいのですか?
「私は初心者だから」というのは言い訳にはなりません。「すべてが安全なワンクリック」ファイアウォールは存在せず、ソフトウェア製品がこのようなスローガンを使用している場合、それはおそらく単なる蛇のようなソフトウェアです。
ネットワーキングの基本に慣れていない場合は、ファイアウォールを設定するためにこれを学ぶ必要があります。:-)
自分でiptableルールを作成したくない場合は、2つのオプションがあります。
iptablesは、カーネルのネットワーク層へのインターフェースです。Linuxのほぼすべてのソリューションは、それに依存しています。
ここにあるいくつかのコメントの例のスクリプト/チュートリアル。あなたは簡単にグーグル検索でもっと見つけるでしょう。
iptableルールの作成に使用できるGUIツールのリストは次のとおりです。
Linuxサーバーとセキュリティに関するすばらしい本は、O'Reillyの「Building Secure Servers with Linux」です。
「ハード」な言葉に落胆して申し訳ありませんが、インターネット上のサーバーはおもちゃではなく、あなたはこれに対していくらか責任があります。
あなたはufwを試すことを検討するかもしれません。Ubuntu Server用に作成されましたが、Debianでも使用できると思います。(更新:残念ながら、packages.debian.orgによると、squeezeとsidでのみ利用できるようですが、それでも一見の価値があるかもしれません。)独自のiptableルールの作成に移行したいと私は言いますが、私は最初にufwが非常に使いやすく、移行が非常に簡単であることに気付きました。ここにいくつかのハイライトがあります:
便利な構文:ufw allow 22
またはufw allow ssh
、デフォルトのポリシーがDENYの場合に、インバウンドSSHトラフィックを許可するために必要なすべてのことです。
Easy Logging:ufw logging on
かなり妥当なロギングをオンにします。ロギングのいいところは、デフォルトでは特にうるさいサービス(ポート137は誰か?)をドロップすることです。
複雑なポリシーを実装する機能:私のホームマシンではufwを使用しており、現在かなり複雑なポリシーを実行しています。
独自のiptableルールを追加する機能。常に独自のルールを追加できるため、デフォルトのインターフェースがメカニズムを提供していなくても、ほとんどすべてのポリシーをufwで実装できます。
man ufw
優れたドキュメント:いくつかの問題を解決したり、いくつかの質問に答えたりするために必要なすべてのものが揃っています-オフラインでファイアウォールを設定している場合、これは素晴らしいことです。
これは「1つのボタンをクリックするだけで安全です」ファイアウォールではありません。それは本当に何をするか、一日の終わりには周りにいくつかの抽象化、ルール作成の構文を使用して簡単に提供しているiptables-save
とiptables-restore
、いくつかのデフォルトルールや初心者が知っていないかもしれない練習をもたらしますが。
shorewallを試してみてください ...私はそれにとても満足しています。必要なものを構成するのは非常に簡単だと感じています。(トラフィックシェーピング、NAT、DNATなどを含む)。