Автор Тема: как закрыть весь диапазон портов 1:65535 для протоколов TCP, UDP (Прочитано 2267 раз)

ILoveUbuntu · « : 22 Сентября 2014, 02:27:28 »

В Линуксе новичек, установил гуй gufw для iptables, им закрываю весь диапазон портов 1:65535 для протоколов TCP, UDP. Доступ в интернет рубиться всему браузерам и тд. А через центр приложений работает поиск и свободно устанавливаються приложения, почему так?

Что я упустил?

sergey8888

Цитата: ILoveUbuntu от 22 Сентября 2014, 02:27:28

А через центр приложений работает поиск и свободно устанавливаються приложения, почему так? Что я упустил?

Что то вы им много позволяете

по идее они должны были устанавливаться только при вводе пароля

ArcFi

Код: [Выделить]

sudo iptables-saveЧто пишет?

fisher74

Цитата: ILoveUbuntu от 22 Сентября 2014, 02:27:28

закрываю весь диапазон портов 1:65535 для протоколов TCP, UDP
...
Что я упустил?

Думаю в ufw есть "защиту от дураков" (не ради обиды - так проще описать назначение стандартных правил)

ILoveUbuntu

Цитата: sergey8888 от 22 Сентября 2014, 08:42:45

Что то вы им много позволяете по идее они должны были устанавливаться только при вводе пароля

А кто вам сказал, что они устанавливаються без пароля??

Просто сам факт, что что-то без моего ведома лезет в сеть.

Цитата: ArcFi от 22 Сентября 2014, 08:53:10

Код: [Выделить]
sudo iptables-saveЧто пишет?

(Нажмите, чтобы показать/скрыть)

^{# Generated by iptables-save v1.4.21 on Mon Sep 22 12:27:25 2014
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [2:80]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-forward -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-after-logging-input -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-after-logging-output -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW AUDIT] "
-A ufw-before-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW AUDIT] "
-A ufw-before-logging-output -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW AUDIT] "
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m conntrack --ctstate INVALID -j LOG --log-prefix "[UFW AUDIT INVALID] "
-A ufw-logging-deny -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-reject-input -j REJECT --reject-with icmp-port-unreachable
-A ufw-skip-to-policy-forward -j DROP
-A ufw-skip-to-policy-input -j REJECT --reject-with icmp-port-unreachable
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
COMMIT}

Цитата: ArcFi от 22 Сентября 2014, 08:53:10

Думаю в ufw есть "защиту от дураков" (не ради обиды - так проще описать назначение стандартных правил)

Конечное дурак но мне нужно закрыть доступ в сеть всему кроме браузера Chrome. В Windows Outpost Firewall тонко настраиваю с закрытыми глазами, с Ubuntu столкнулся буквально вчера.

ArcFi

Цитата: ILoveUbuntu от 22 Сентября 2014, 12:30:27

[…]

Короче, с текущими настройками ufw разрешён весь исходящий трафик.

DDDstart

Цитата: ILoveUbuntu от 22 Сентября 2014, 12:30:27

... закрываю весь диапазон портов 1:65535 для протоколов TCP, UDP...

Конечное дурак но мне нужно закрыть доступ в сеть всему кроме браузера Chrome. В Windows Outpost Firewall тонко настраиваю с закрытыми глазами, с Ubuntu столкнулся буквально вчера.

80 порт хоть оставьте )

Форум русскоязычного сообщества Ubuntu

Автор Тема: как закрыть весь диапазон портов 1:65535 для протоколов TCP, UDP (Прочитано 2267 раз)

ILoveUbuntu

как закрыть весь диапазон портов 1:65535 для протоколов TCP, UDP

sergey8888

Re: У Центра приложений привелегия?

ArcFi

Re: У Центра приложений привелегия?

fisher74

Re: У Центра приложений привелегия?

ILoveUbuntu

Re: У Центра приложений привелегия?

ArcFi

Re: У Центра приложений привелегия?

DDDstart

Re: как закрыть весь диапазон портов 1:65535 для протоколов TCP, UDP