Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Настройка фаервола, ufw.  (Прочитано 1935 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн fdrl

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Настройка фаервола, ufw.
« : 12 Марта 2020, 12:22:23 »


 Здравствуйте.

   Скажите как настроить фаервол. Если, хотелось бы. Все запретить, разрешить только браузер и обновления.
Но смотрю, посредством     $ ss state all     , много чего есть. Наверно внутренние сокеты, которые вероятно при такой логике, от желания, перестанут работать. Да и вопрос, как разобрать сокеты внутренние и для работы с провайдером. Если реализация соединения провайдера интернета предполагает, смотрю соединение с моего адреса 10._._._.

Оффлайн jura12

  • Старожил
  • *
  • Сообщений: 1410
  • 20.04
    • Просмотр профиля
Re: Настройка фаервола, ufw.
« Ответ #1 : 12 Марта 2020, 12:34:36 »
ufw на сколько я знаю запрещает входящие подключения. как запретить исходящие я не знаю.
сопротивление бесполезно

Оффлайн The Green Side

  • Старожил
  • *
  • Сообщений: 1177
    • Просмотр профиля
Re: Настройка фаервола, ufw.
« Ответ #2 : 12 Марта 2020, 17:10:28 »
jura12, нет, можно и исходящие запрещать
man ufw
Цитировать
       ufw  supports  both  ingress and egress filtering and users may optionally specify a direction of either in or
       out for either incoming or outgoing traffic. If no direction is supplied, the rule applies to  incoming  traf‐
       fic. Eg:

         ufw allow in http
         ufw reject out smtp
         ufw reject telnet comment 'telnet is unencrypted'
Debian 11, Debian 11 Server

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28206
    • Просмотр профиля
Re: Настройка фаервола, ufw.
« Ответ #3 : 13 Марта 2020, 00:00:46 »
А зачем вы на своём компьютере запускаете приложения, которым вы не доверяете?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн fdrl

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Настройка фаервола, ufw.
« Ответ #4 : 13 Марта 2020, 22:23:35 »


 Здравствуйте.

   Скажите как настроить фаервол. Если, хотелось бы. Все запретить, разрешить только браузер и обновления.
Но смотрю, посредством     $ ss state all     , много чего есть. Наверно внутренние сокеты, которые вероятно при такой логике, от желания, перестанут работать. Да и вопрос, как разобрать сокеты внутренние и для работы с провайдером. Если реализация соединения провайдера интернета предполагает, смотрю соединение с моего адреса 10._._._.

Стал устанавливать gufw:


(gufw.py:3320): dbind-WARNING **: 15:46:44.448: Error retrieving accessibility bus address: org.freedesktop.DBus.Error.ServiceUnknown: The name org.a11y.Bus was not provided by any .service files

(WebKitWebProcess:3346): dbind-WARNING **: 15:46:45.594: Error retrieving accessibility bus address: org.freedesktop.DBus.Error.ServiceUnknown: The name org.a11y.Bus was not provided by any .service files

((gufw.py:3320): dbind-WARNING **: 15: 46: 44.448: Ошибка при получении адреса шины доступности: org.freedesktop.DBus.Error.ServiceUnknown: Имя org.a11y.Bus не было предоставлено никакой службой .service файлы

(WebKitWebProcess: 3346): dbind-WARNING **: 15: 46: 45.594: Ошибка при получении адреса шины доступности: org.freedesktop.DBus.Error.ServiceUnknown: Имя org.a11y.Bus не было предоставлено никакими файлами .service )


Стал настраивать правила:

 Ошибка выполнения: /usr/sbin/ufw allow out proto tcp from any to any port 80 > Skipping adding existing rule | Skipping adding existing rule (v6) |

( Ошибка выполнения: / usr / sbin / ufw разрешает протокольный tcp с любого на любой порт 80> Пропуск добавления существующего правила | Пропуск добавления существующего правила (v6) |)


Подскажите, как решить проблему.


___

А, скажите, то что порт прослушивается и политика для всех портов (программ) исходящие разрешены, входящие запрещены. Не даст в принципе прослушиваемые порты (компоненты )заработать. Тоесть, если порт прослушивается это он ждет запроса, т.е. входящего соединения. Которое запрещено. А, значение исходящие разрешены значит, что программа может запросить, и ответ в данной терминологии будет означать.... Вот как правильно будет означать в термине отображения мониторинга соединений?
ESTAB - да? То есть сам уже ответ той программе, что инициировала исходящее и было установлено соединение в ответ, пощол обмен (двусторонний обмен) информацией будет - ESTAB . И запрос и двусторонний обмен, это ESTAB ?
И еще, вот если программа (порт, компонент) в состояние LISTEN. Она (оно) может перейти в режим иной?  Тоесть программа повисело в состояние LISTEN, а потом (раз) и переключилось в иной алгоритм, и стало запрашивать.

Еще сомнения. Сомнения в части, что как внутренние сокеты, так и на внешний (компонент), в алгоритме определения совпадут в распознавании ufw. Ну скажем по признаку, что адрес 10 ..., грубо как пример. То есть gufw, не будет (замарачиватся).
Для понимания, как пример в аналогии -  ifconfig не показывает одноранговые IP адреса.

LISTEN углеродный след оставляет?
« Последнее редактирование: 13 Марта 2020, 22:36:51 от fdrl »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28206
    • Просмотр профиля
Re: Настройка фаервола, ufw.
« Ответ #5 : 13 Марта 2020, 23:10:08 »
ESTABLISHED - пакеты в рамках ранее согласованной сессии.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн fdrl

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Настройка фаервола, ufw.
« Ответ #6 : 14 Марта 2020, 11:55:42 »


 Здравствуйте.

   Скажите как настроить фаервол. Если, хотелось бы. Все запретить, разрешить только браузер и обновления.
Но смотрю, посредством     $ ss state all     , много чего есть. Наверно внутренние сокеты, которые вероятно при такой логике, от желания, перестанут работать. Да и вопрос, как разобрать сокеты внутренние и для работы с провайдером. Если реализация соединения провайдера интернета предполагает, смотрю соединение с моего адреса 10._._._.

Стал устанавливать gufw:


(gufw.py:3320): dbind-WARNING **: 15:46:44.448: Error retrieving accessibility bus address: org.freedesktop.DBus.Error.ServiceUnknown: The name org.a11y.Bus was not provided by any .service files

(WebKitWebProcess:3346): dbind-WARNING **: 15:46:45.594: Error retrieving accessibility bus address: org.freedesktop.DBus.Error.ServiceUnknown: The name org.a11y.Bus was not provided by any .service files

((gufw.py:3320): dbind-WARNING **: 15: 46: 44.448: Ошибка при получении адреса шины доступности: org.freedesktop.DBus.Error.ServiceUnknown: Имя org.a11y.Bus не было предоставлено никакой службой .service файлы

(WebKitWebProcess: 3346): dbind-WARNING **: 15: 46: 45.594: Ошибка при получении адреса шины доступности: org.freedesktop.DBus.Error.ServiceUnknown: Имя org.a11y.Bus не было предоставлено никакими файлами .service )


Стал настраивать правила:

 Ошибка выполнения: /usr/sbin/ufw allow out proto tcp from any to any port 80 > Skipping adding existing rule | Skipping adding existing rule (v6) |

( Ошибка выполнения: / usr / sbin / ufw разрешает протокольный tcp с любого на любой порт 80> Пропуск добавления существующего правила | Пропуск добавления существующего правила (v6) |)


Подскажите, как решить проблему.


___

А, скажите, то что порт прослушивается и политика для всех портов (программ) исходящие разрешены, входящие запрещены. Не даст в принципе прослушиваемые порты (компоненты )заработать. Тоесть, если порт прослушивается это он ждет запроса, т.е. входящего соединения. Которое запрещено. А, значение исходящие разрешены значит, что программа может запросить, и ответ в данной терминологии будет означать.... Вот как правильно будет означать в термине отображения мониторинга соединений?
ESTAB - да? То есть сам уже ответ той программе, что инициировала исходящее и было установлено соединение в ответ, пощол обмен (двусторонний обмен) информацией будет - ESTAB . И запрос и двусторонний обмен, это ESTAB ?
И еще, вот если программа (порт, компонент) в состояние LISTEN. Она (оно) может перейти в режим иной?  Тоесть программа повисело в состояние LISTEN, а потом (раз) и переключилось в иной алгоритм, и стало запрашивать.

Еще сомнения. Сомнения в части, что как внутренние сокеты, так и на внешний (компонент), в алгоритме определения совпадут в распознавании ufw. Ну скажем по признаку, что адрес 10 ..., грубо как пример. То есть gufw, не будет (замарачиватся).
Для понимания, как пример в аналогии -  ifconfig не показывает одноранговые IP адреса.

LISTEN углеродный след оставляет?



тем неимение правило установилось:

 sudo ufw status verbose
Состояние: активен
Журналирование: on (full)
По умолчанию: deny (входящие), allow (исходящие), disabled (маршрутизированные)
Новые профили: skip

В                          Действие    Из
-                          --------    --
80/tcp                     ALLOW IN    Anywhere                 
80/tcp (v6)                ALLOW IN    Anywhere (v6)             

8080/tcp                   ALLOW OUT   Anywhere                 
443/tcp                    ALLOW OUT   Anywhere                   (log)
80/tcp                     ALLOW OUT   Anywhere                 
8080/tcp (v6)              ALLOW OUT   Anywhere (v6)             
443/tcp (v6)               ALLOW OUT   Anywhere (v6)              (log)
80/tcp (v6)                ALLOW OUT   Anywhere (v6)


Пользователь добавил сообщение 14 Марта 2020, 11:58:35:
Скажите, еще, как limit ufw, лимит на все установить?
« Последнее редактирование: 14 Марта 2020, 11:58:35 от fdrl »

Оффлайн fdrl

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Настройка фаервола, ufw.
« Ответ #7 : 18 Марта 2020, 17:40:14 »
что делать?


стал удалять правила
методы:   sudo ufw delete 2

ufw delete allow out 80/tcp

не удаляется 443   -   


:~$ sudo ufw status numbered
Состояние: активен

     В                          Действие    Из
     -                          --------    --
[ 1] 443/tcp                    ALLOW OUT   Anywhere                   (log, out)
[ 2] 443/tcp (v6)               ALLOW OUT   Anywhere (v6)              (log, out)



 ufw delete 2
Удаление:
 allow out log 443/tcp
Продолжить операцию (y|n)?
Прервано

_:~$ sudo ufw delete 1
Удаление:
 allow out log 443/tcp
Продолжить операцию (y|n)?
Прервано
_:~$ sudo ufw status numbered
Состояние: активен

     В                          Действие    Из
     -                          --------    --
[ 1] 443/tcp                    ALLOW OUT   Anywhere                   (log, out)
[ 2] 443/tcp (v6)               ALLOW OUT   Anywhere (v6)              (log, out)


что делать?

Оффлайн fdrl

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Настройка фаервола, ufw.
« Ответ #8 : 20 Марта 2020, 21:15:07 »
Сделал так: sudo ufw reset

В настойках так: sudo ufw default reject incoming

__-------------------------------------------

еще

делал так, в процессе шнур интернета вытащил, браузер отвалился - TIME-WAIT
Не разу, не порты по умолчанию для браузера, там и другие, кроме 480хх.

~$ ss state all


172.217.21.138:https       
tcp       TIME-WAIT      0           0                                               10.х.х.х:480хх

_____________________
получается Динамически назначаемые номера портов, наверно браузер изначально включает в посыл информации: что принимать будет - Динамически назначаемые номера портов. Вопрос, мне это наверно не нужно, наверно это не безопасно.
в файла /etc/services (предназначений) портов нет и вопрос является или в какой мере информация в файла /etc/services является предназначенной ?


Спросить, от какой логики идти при настройке брандмауэра. ?

Так же не понимаю: по какой причине и в принципе, сказал бы кто, что написано:





не понимаю, как получились:

Chain ufw-before-input (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ufw-logging-deny  all  --  anywhere             anywhere             ctstate INVALID
DROP       all  --  anywhere             anywhere             ctstate INVALID
ACCEPT     icmp --  anywhere             anywhere             icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere             icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere             icmp parameter-problem
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request
ACCEPT     udp  --  anywhere             anywhere             udp spt:bootps dpt:bootpc
ufw-not-local  all  --  anywhere             anywhere           
ACCEPT     udp  --  anywhere             224.0.0.251          udp dpt:mdns
ACCEPT     udp  --  anywhere             239.255.255.250      udp dpt:1900
ufw-user-input  all  --  anywhere             anywhere             

и не только это. При sudo ufw default reject incoming

-------------------------------------------------------------------------------

еще

avahi если удалить, не случится не чего? я им не пользуюсь, думаю он что бы принтер подключить. avahi мне не нужен. Так смотрю sudo ufw show listening
, (avahi-daemon) на портах прослушивает.
« Последнее редактирование: 29 Марта 2020, 18:17:28 от fdrl »

Оффлайн fdrl

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Настройка фаервола, ufw.
« Ответ #9 : 29 Марта 2020, 18:19:18 »
ufw reject out smtp


ufw reject out smtp - что это даст?

Оффлайн The Green Side

  • Старожил
  • *
  • Сообщений: 1177
    • Просмотр профиля
Re: Настройка фаервола, ufw.
« Ответ #10 : 29 Марта 2020, 18:48:36 »
сброс исходящих соединений, протокол smtp (исходящая почта)
Debian 11, Debian 11 Server

 

Страница сгенерирована за 0.037 секунд. Запросов: 25.