Брандмауэр (фаерволл) – это линия обороны в вашей сети, используемая в основном для фильтрации входящего трафика, а также для правил исходящего трафика и других сетевых средств защиты.
Все основные дистрибутивы Linux поставляются со встроенным программным брандмауэром, поскольку он является частью ядра Linux.
Любой пользователь может настроить системный брандмауэр, чтобы приступить к защите сетевого трафика, но есть много альтернатив по умолчанию, которые расширят или упростят функциональность.
В этом руководстве мы составили список лучших брандмауэров, доступных в Linux.
Выбор брандмауэра во многом зависит от ваших целей по обеспечению безопасности сети.
Конечно, корпорациям или крупным сетям потребуется совсем другое решение брандмауэра, чем обычному конечному пользователю.
Ниже вы увидите несколько вариантов, которые помогут вам сориентироваться в правильном направлении, чтобы выбрать брандмауэр, который наилучшим образом соответствует вашим потребностям.
Лучший брандмауэр для Linux
Давайте рассмотрим некоторые из лучших брандмауэров yна Linux.
Имейте в виду, что не всегда необходимо загружать дополнительное программное обеспечение, поскольку Linux уже поставляется с встроенным iptables/nftables – и это одна из наших рекомендаций, как вы увидите ниже.
Существует множество вариантов в дополнение к приведенным ниже, но это одни из наших любимых..
OPNsense
OPNsense – это надежный брандмауэр, который был создан на основе pfSense – известного и уважаемого брандмауэра – в 2015 году.
Это брандмауэр, который работает на специализированном оборудовании, поэтому он не подходит для обычных пользователей.
Вам нужно установить OPNsense на отдельное устройство, которое находится между вашим маршрутизатором и остальной сетью.
Идея заключается в том, что трафик должен пройти через фильтры OPNsense, прежде чем получить доступ к остальным устройствам в вашей сети.
- Как сбросить или восстановить пароль root на OPNsense
- Opnsense Ошибка запуска configd
- OpnSense Ошибка установки на vSphere client
- Двухфакторная аутентификация межсетевого экрана OpnSense
- OpnSense корректное отображение браузером вэб-интерфейса
- OpnSense Как разрешить доступ по ssh
- OpnSense Ошибка запуска
- Как настроить туннель Ipsec в OpnSense
- OpnSense не пингуется Disable all packet filtering
- Как установить OPNSense
- Opnsense работа в терминале
Что нам нравится:
- Более простая настройка по сравнению с предшественником (pfSense)
- Работает на FreeBSD
- Надежные опции, такие как VPN, балансировка нагрузки и формирование трафика.
Что нам не нравится:
- Сложность внедрения для обычного пользователя
pfSense
pfSense – еще одно решение для брандмауэра, требующее специализированного оборудования.
Он существует уже давно и имеет хорошую репутацию, поэтому вы можете найти много бесплатной поддержки в Интернете, а также платную коммерческую поддержку, если вам понадобится дополнительная помощь.
Интерфейс может быть менее удобным, чем у OPNsense, но pfSense обладает широкими возможностями, такими как VPN, шейпинг трафика, NAT, VLANs, динамический DNS и т.д.
Что нам нравится:
- Хорошая репутация и поддержка со стороны известной компании
- Множество функций коммерческого уровня
- Много поддержки и документации в Интернете
Что нам не нравится:
- Сложный пользовательский интерфейс
см. также:
Обзор бесплатных фаерволов для защиты вашей сети
ufw/gufw
Несложный брандмауэр (ufw) – это внешний интерфейс для встроенного брандмауэра iptables, встроенного в каждую систему Linux.
ufw делает управление правилами брандмауэра намного проще.
Это брандмауэр по умолчанию в Ubuntu и Manjaro.
Чтобы сделать его еще проще, вы можете установить gufw, который представляет собой графический интерфейс для ufw.
Что нам нравится:
- Простота использования для любого пользователя
- Устанавливается по умолчанию на некоторые удобные для пользователя дистрибутивы
- Имеет графический интерфейс (опционально)
Что нам не нравится:
- Не подходит как надежный брандмауэр
IPFire
IPFire работает на специализированном оборудовании, как OPNsense и pfSense, но использует Linux вместо BSD.
Он обладает многими расширенными возможностями, но может работать на минимальном оборудовании.
Вы даже можете установить его на Raspberry Pi.
Его легко настроить и начать работу, если вам кажется, что другие специализированные аппаратные решения слишком сложны или просто избыточны для вашей сети.
Что нам нравится:
- Простота настройки
- Может работать на минимальном оборудовании
- Различные варианты развертывания
Что нам не нравится:
- Меньше онлайн-поддержки и документации
см. также:
- Ipfire. Описание дополнений [ аддонов ]
- Nmap ipfire addon. Установка. Пример
- Ipfire Backup. Как сделать резервное копирование IDS/IPS
- Ipfire. Ошибка добавления аддонов
- Ipfire. Изменение начальных настроек после установки
- Как использовать команду Linux Netcat в качестве сканера портов
Shorewall
Shorewall может быть установлен непосредственно на компьютер, который вы хотите защитить, или на отдельное устройство перед вашей DMZ.
Он работает с зонами и простыми текстовыми файлами, что делает его уникальным среди других решений в нашем списке.
Системные администраторы, которым нравится простая и минималистичная конфигурация, найдут Shorewall привлекательным решением.
Что нам нравится:
- Простая конфигурация с помощью текстовых файлов
- Может работать на вашем ПК или на специальном сервере
- Работает за счет настройки различных зон
Что нам не нравится:
- Отсутствие графического интерфейса
см. также:
Как установить Shorewall на Linux
firewalld
firewalld – это front end для nftables в Linux.
Это брандмауэр по умолчанию для Red Hat и производных от него дистрибутивов.
Он делает настройку немного проще, чем работа непосредственно с iptables или nftables.
Как и Shorewall, он в основном настраивает все в различных “зонах”.
Он способен настраивать сложные правила, которые обычно гораздо сложнее реализовать вручную непосредственно в nftables.
Что нам нравится:
- Более простой синтаксис команд по сравнению с iptables / nftables
- Брандмауэр по умолчанию для всех дистрибутивов Red Hat
- Организует правила в различные зоны
Что нам не нравится:
- Отсутствие графического интерфейса
см. также:
- 🖧 Шпаргалка по Firewalld
- 🖧 Как разрешить весь трафик с сервера с помощью firewalld в CentOS/RHEL
- 🐧 Как настроить ведение логов firewalld в системах CentOS/RHEL 8
- 🖧 Как открыть порт для определенного IP-адреса в Firewalld
- 🖧 Как открыть определенный порт на FirewallD
- 🖧 Как ограничить доступ к сети с помощью FirewallD
- 🖧 Что такое FirewallD и как его реализовать в Linux
iptables / nftables
Наша последняя рекомендация – это тот самый брандмауэр, который уже встроен в каждую систему Linux – iptables или nftables.
Многие другие брандмауэры в нашем списке являются просто внешним интерфейсом для этого брандмауэра, что означает, что он уже является хорошим решением в большинстве сценариев.
Грамотным администраторам не покажется слишком сложной работа непосредственно с iptables, и очень приятно реализовать решение без дополнительного программного обеспечения.
Что нам нравится:
- Не требуется дополнительное программное обеспечение
- Возможность сложной конфигурации
- Интегрирован непосредственно в ядро Linux
Что нам не нравится:
- Синтаксис команд требует некоторого времени для изучения
Заключение
В этом руководстве мы узнали о лучших брандмауэрах для использования на Linux.
Сюда вошли различные аппаратные и программные решения, которые варьируются от надежных коммерческих брандмауэров до простых брандмауэров для конечных пользователей.
Выбор лучшего решения во многом зависит от ваших собственных предпочтений и от того, в какой безопасности нуждается ваша сеть или отдельный компьютер.
Спасибо за статью. Если ufw и gufw это интерфейсы iptables, то как они могут быть не надёжны при надёжности самого iptables?
Тут скорее что он не подойдет как промышленный
Есть будет возможность, осветите пожалуйста безопасность битрикса
хорошая идея – сделаем
Это :”OPNsense – это надежный брандмауэр, который был создан на основе pfSense – известного и уважаемого брандмауэра – в 2015 году.” совершенно неверно. Opnsense до 2014 года был m0n0wall’лом.
Из википедии: “Это форк операционной системы pfSense, которая, в свою очередь, была основана из m0n0wall[en], которая была создана на базе FreeBSD[3]. Операционная система была создана в январе 2015 года[2]. Когда разработка m0n0wall прекратилась в феврале 2015 года, его создатель, Мануэль Каспар, передал своё сообщество разработчикам OPNsense[4].”