Настройка фаервола, ufw.

[fdrl]

 Здравствуйте.

   Скажите как настроить фаервол. Если, хотелось бы. Все запретить, разрешить только браузер и обновления.
Но смотрю, посредством     $ ss state all     , много чего есть. Наверно внутренние сокеты, которые вероятно при такой логике, от желания, перестанут работать. Да и вопрос, как разобрать сокеты внутренние и для работы с провайдером. Если реализация соединения провайдера интернета предполагает, смотрю соединение с моего адреса 10._._._.

[jura12]

ufw на сколько я знаю запрещает входящие подключения. как запретить исходящие я не знаю.

[The Green Side]

jura12, нет, можно и исходящие запрещать
man ufw

       ufw  supports  both  ingress and egress filtering and users may optionally specify a direction of either in or
       out for either incoming or outgoing traffic. If no direction is supplied, the rule applies to  incoming  traf‐
       fic. Eg:

         ufw allow in http
         ufw reject out smtp
         ufw reject telnet comment 'telnet is unencrypted'

[AnrDaemon]

А зачем вы на своём компьютере запускаете приложения, которым вы не доверяете?

[fdrl]

 Здравствуйте.

   Скажите как настроить фаервол. Если, хотелось бы. Все запретить, разрешить только браузер и обновления.
Но смотрю, посредством     $ ss state all     , много чего есть. Наверно внутренние сокеты, которые вероятно при такой логике, от желания, перестанут работать. Да и вопрос, как разобрать сокеты внутренние и для работы с провайдером. Если реализация соединения провайдера интернета предполагает, смотрю соединение с моего адреса 10._._._.

Стал устанавливать gufw:


(gufw.py:3320): dbind-WARNING **: 15:46:44.448: Error retrieving accessibility bus address: org.freedesktop.DBus.Error.ServiceUnknown: The name org.a11y.Bus was not provided by any .service files

(WebKitWebProcess:3346): dbind-WARNING **: 15:46:45.594: Error retrieving accessibility bus address: org.freedesktop.DBus.Error.ServiceUnknown: The name org.a11y.Bus was not provided by any .service files

((gufw.py:3320): dbind-WARNING **: 15: 46: 44.448: Ошибка при получении адреса шины доступности: org.freedesktop.DBus.Error.ServiceUnknown: Имя org.a11y.Bus не было предоставлено никакой службой .service файлы

(WebKitWebProcess: 3346): dbind-WARNING **: 15: 46: 45.594: Ошибка при получении адреса шины доступности: org.freedesktop.DBus.Error.ServiceUnknown: Имя org.a11y.Bus не было предоставлено никакими файлами .service )


Стал настраивать правила:

 Ошибка выполнения: /usr/sbin/ufw allow out proto tcp from any to any port 80 > Skipping adding existing rule | Skipping adding existing rule (v6) |

( Ошибка выполнения: / usr / sbin / ufw разрешает протокольный tcp с любого на любой порт 80> Пропуск добавления существующего правила | Пропуск добавления существующего правила (v6) |)


Подскажите, как решить проблему.


___

А, скажите, то что порт прослушивается и политика для всех портов (программ) исходящие разрешены, входящие запрещены. Не даст в принципе прослушиваемые порты (компоненты )заработать. Тоесть, если порт прослушивается это он ждет запроса, т.е. входящего соединения. Которое запрещено. А, значение исходящие разрешены значит, что программа может запросить, и ответ в данной терминологии будет означать.... Вот как правильно будет означать в термине отображения мониторинга соединений?
ESTAB - да? То есть сам уже ответ той программе, что инициировала исходящее и было установлено соединение в ответ, пощол обмен (двусторонний обмен) информацией будет - ESTAB . И запрос и двусторонний обмен, это ESTAB ?
И еще, вот если программа (порт, компонент) в состояние LISTEN. Она (оно) может перейти в режим иной?  Тоесть программа повисело в состояние LISTEN, а потом (раз) и переключилось в иной алгоритм, и стало запрашивать.

Еще сомнения. Сомнения в части, что как внутренние сокеты, так и на внешний (компонент), в алгоритме определения совпадут в распознавании ufw. Ну скажем по признаку, что адрес 10 ..., грубо как пример. То есть gufw, не будет (замарачиватся).
Для понимания, как пример в аналогии -  ifconfig не показывает одноранговые IP адреса.

LISTEN углеродный след оставляет?

[AnrDaemon]

ESTABLISHED - пакеты в рамках ранее согласованной сессии.

[fdrl]

 Здравствуйте.

   Скажите как настроить фаервол. Если, хотелось бы. Все запретить, разрешить только браузер и обновления.
Но смотрю, посредством     $ ss state all     , много чего есть. Наверно внутренние сокеты, которые вероятно при такой логике, от желания, перестанут работать. Да и вопрос, как разобрать сокеты внутренние и для работы с провайдером. Если реализация соединения провайдера интернета предполагает, смотрю соединение с моего адреса 10._._._.

Стал устанавливать gufw:


(gufw.py:3320): dbind-WARNING **: 15:46:44.448: Error retrieving accessibility bus address: org.freedesktop.DBus.Error.ServiceUnknown: The name org.a11y.Bus was not provided by any .service files

(WebKitWebProcess:3346): dbind-WARNING **: 15:46:45.594: Error retrieving accessibility bus address: org.freedesktop.DBus.Error.ServiceUnknown: The name org.a11y.Bus was not provided by any .service files

((gufw.py:3320): dbind-WARNING **: 15: 46: 44.448: Ошибка при получении адреса шины доступности: org.freedesktop.DBus.Error.ServiceUnknown: Имя org.a11y.Bus не было предоставлено никакой службой .service файлы

(WebKitWebProcess: 3346): dbind-WARNING **: 15: 46: 45.594: Ошибка при получении адреса шины доступности: org.freedesktop.DBus.Error.ServiceUnknown: Имя org.a11y.Bus не было предоставлено никакими файлами .service )


Стал настраивать правила:

 Ошибка выполнения: /usr/sbin/ufw allow out proto tcp from any to any port 80 > Skipping adding existing rule | Skipping adding existing rule (v6) |

( Ошибка выполнения: / usr / sbin / ufw разрешает протокольный tcp с любого на любой порт 80> Пропуск добавления существующего правила | Пропуск добавления существующего правила (v6) |)


Подскажите, как решить проблему.


___

А, скажите, то что порт прослушивается и политика для всех портов (программ) исходящие разрешены, входящие запрещены. Не даст в принципе прослушиваемые порты (компоненты )заработать. Тоесть, если порт прослушивается это он ждет запроса, т.е. входящего соединения. Которое запрещено. А, значение исходящие разрешены значит, что программа может запросить, и ответ в данной терминологии будет означать.... Вот как правильно будет означать в термине отображения мониторинга соединений?
ESTAB - да? То есть сам уже ответ той программе, что инициировала исходящее и было установлено соединение в ответ, пощол обмен (двусторонний обмен) информацией будет - ESTAB . И запрос и двусторонний обмен, это ESTAB ?
И еще, вот если программа (порт, компонент) в состояние LISTEN. Она (оно) может перейти в режим иной?  Тоесть программа повисело в состояние LISTEN, а потом (раз) и переключилось в иной алгоритм, и стало запрашивать.

Еще сомнения. Сомнения в части, что как внутренние сокеты, так и на внешний (компонент), в алгоритме определения совпадут в распознавании ufw. Ну скажем по признаку, что адрес 10 ..., грубо как пример. То есть gufw, не будет (замарачиватся).
Для понимания, как пример в аналогии -  ifconfig не показывает одноранговые IP адреса.

LISTEN углеродный след оставляет?

тем неимение правило установилось:

 sudo ufw status verbose
Состояние: активен
Журналирование: on (full)
По умолчанию: deny (входящие), allow (исходящие), disabled (маршрутизированные)
Новые профили: skip

В                          Действие    Из
-                          --------    --
80/tcp                     ALLOW IN    Anywhere                 
80/tcp (v6)                ALLOW IN    Anywhere (v6)             

8080/tcp                   ALLOW OUT   Anywhere                 
443/tcp                    ALLOW OUT   Anywhere                   (log)
80/tcp                     ALLOW OUT   Anywhere                 
8080/tcp (v6)              ALLOW OUT   Anywhere (v6)             
443/tcp (v6)               ALLOW OUT   Anywhere (v6)              (log)
80/tcp (v6)                ALLOW OUT   Anywhere (v6)

Пользователь добавил сообщение 14 Марта 2020, 11:58:35:Скажите, еще, как limit ufw, лимит на все установить?

[fdrl]

что делать?


стал удалять правила
методы:   sudo ufw delete 2

ufw delete allow out 80/tcp

не удаляется 443   -   


:~$ sudo ufw status numbered
Состояние: активен

     В                          Действие    Из
     -                          --------    --
[ 1] 443/tcp                    ALLOW OUT   Anywhere                   (log, out)
[ 2] 443/tcp (v6)               ALLOW OUT   Anywhere (v6)              (log, out)



 ufw delete 2
Удаление:
 allow out log 443/tcp
Продолжить операцию (y|n)?
Прервано

_:~$ sudo ufw delete 1
Удаление:
 allow out log 443/tcp
Продолжить операцию (y|n)?
Прервано
_:~$ sudo ufw status numbered
Состояние: активен

     В                          Действие    Из
     -                          --------    --
[ 1] 443/tcp                    ALLOW OUT   Anywhere                   (log, out)
[ 2] 443/tcp (v6)               ALLOW OUT   Anywhere (v6)              (log, out)


что делать?

[fdrl]

Сделал так: sudo ufw reset

В настойках так: sudo ufw default reject incoming

__-------------------------------------------

еще

делал так, в процессе шнур интернета вытащил, браузер отвалился - TIME-WAIT
Не разу, не порты по умолчанию для браузера, там и другие, кроме 480хх.

~$ ss state all


172.217.21.138:https       
tcp       TIME-WAIT      0           0                                               10.х.х.х:480хх

_____________________
получается Динамически назначаемые номера портов, наверно браузер изначально включает в посыл информации: что принимать будет - Динамически назначаемые номера портов. Вопрос, мне это наверно не нужно, наверно это не безопасно.
в файла /etc/services (предназначений) портов нет и вопрос является или в какой мере информация в файла /etc/services является предназначенной ?


Спросить, от какой логики идти при настройке брандмауэра. ?

Так же не понимаю: по какой причине и в принципе, сказал бы кто, что написано:





не понимаю, как получились:

Chain ufw-before-input (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ufw-logging-deny  all  --  anywhere             anywhere             ctstate INVALID
DROP       all  --  anywhere             anywhere             ctstate INVALID
ACCEPT     icmp --  anywhere             anywhere             icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere             icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere             icmp parameter-problem
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request
ACCEPT     udp  --  anywhere             anywhere             udp spt:bootps dpt:bootpc
ufw-not-local  all  --  anywhere             anywhere           
ACCEPT     udp  --  anywhere             224.0.0.251          udp dpt:mdns
ACCEPT     udp  --  anywhere             239.255.255.250      udp dpt:1900
ufw-user-input  all  --  anywhere             anywhere             

и не только это. При sudo ufw default reject incoming

-------------------------------------------------------------------------------

еще

avahi если удалить, не случится не чего? я им не пользуюсь, думаю он что бы принтер подключить. avahi мне не нужен. Так смотрю sudo ufw show listening
, (avahi-daemon) на портах прослушивает.

[fdrl]

ufw reject out smtp

ufw reject out smtp - что это даст?

[The Green Side]

сброс исходящих соединений, протокол smtp (исходящая почта)