фаэрвол
Здравствуйте.
Скажите как настроить фаервол. Если, хотелось бы. Все запретить, разрешить только браузер и обновления.
Но смотрю, посредством $ ss state all , много чего есть. Наверно внутренние сокеты, которые вероятно при такой логике, от желания, перестанут работать. Да и вопрос, как разобрать сокеты внутренние и для работы с провайдером. Если реализация соединения провайдера интернета предполагает, смотрю соединение с моего адреса 10._._._.
Стал устанавливать gufw:
(gufw.py:3320): dbind-WARNING **: 15:46:44.448: Error retrieving accessibility bus address: org.freedesktop.DBus.Error.ServiceUnknown: The name org.a11y.Bus was not provided by any .service files
(WebKitWebProcess:3346): dbind-WARNING **: 15:46:45.594: Error retrieving accessibility bus address: org.freedesktop.DBus.Error.ServiceUnknown: The name org.a11y.Bus was not provided by any .service files
((gufw.py:3320): dbind-WARNING **: 15: 46: 44.448: Ошибка при получении адреса шины доступности: org.freedesktop.DBus.Error.ServiceUnknown: Имя org.a11y.Bus не было предоставлено никакой службой .service файлы
(WebKitWebProcess: 3346): dbind-WARNING **: 15: 46: 45.594: Ошибка при получении адреса шины доступности: org.freedesktop.DBus.Error.ServiceUnknown: Имя org.a11y.Bus не было предоставлено никакими файлами .service )
Стал настраивать правила:
Ошибка выполнения: /usr/sbin/ufw allow out proto tcp from any to any port 80 > Skipping adding existing rule | Skipping adding existing rule (v6) |
( Ошибка выполнения: / usr / sbin / ufw разрешает протокольный tcp с любого на любой порт 80> Пропуск добавления существующего правила | Пропуск добавления существующего правила (v6) |)
Подскажите, как решить проблему.
тем неимение правило установилось:
sudo ufw status verbose
Состояние: активен
Журналирование: on (full)
По умолчанию: deny (входящие), allow (исходящие), disabled (маршрутизированные)
Новые профили: skip
В Действие Из
- -------- --
80/tcp ALLOW IN Anywhere
80/tcp (v6) ALLOW IN Anywhere (v6)
8080/tcp ALLOW OUT Anywhere
443/tcp ALLOW OUT Anywhere (log)
80/tcp ALLOW OUT Anywhere
8080/tcp (v6) ALLOW OUT Anywhere (v6)
443/tcp (v6) ALLOW OUT Anywhere (v6) (log)
80/tcp (v6) ALLOW OUT Anywhere (v6)
удалил gufw
не понял так же: правило регулировал в gufw, для протоколов http & https
а в правилах порты и в ошибке про порт, какая-то (афера).
стал удалять правила
методы: sudo ufw delete 2
ufw delete allow out 80/tcp
не удаляется 443 -
:~$ sudo ufw status numbered
Состояние: активен
В Действие Из
- -------- --
[ 1] 443/tcp ALLOW OUT Anywhere (log, out)
[ 2] 443/tcp (v6) ALLOW OUT Anywhere (v6) (log, out)
ufw delete 2
Удаление:
allow out log 443/tcp
Продолжить операцию (y|n)?
Прервано
_:~$ sudo ufw delete 1
Удаление:
allow out log 443/tcp
Продолжить операцию (y|n)?
Прервано
_:~$ sudo ufw status numbered
Состояние: активен
В Действие Из
- -------- --
[ 1] 443/tcp ALLOW OUT Anywhere (log, out)
[ 2] 443/tcp (v6) ALLOW OUT Anywhere (v6) (log, out)
что делать?
Фаерволл вроде как админовская функция по вопросам "управления", если что.. Не?
Чтобы не маяться постоянно (например после переустановки системы; установки новой системы и т.д.) с настройками файерволла стоит настраивать его на точке, где он может спокойно жить постоянно годами... Например на маршрутизаторе. Не погрешу против истины, говоря что сейчас до 90% сидят в сети через WiFi (или не WiFi) роутер. На нём и надо настраивать. У себя так и сделал. Не буду рекламировать и подбивать на Mikrotik, но у меня именно этой марки. Для линуксоида вполне адекватный вариант - идеология схожая, плюс ещё и интерфейс на выбор. А рабочий компьютер (не в смысле рабочий что работу работать, а в смысле постоянно использующийся) за роутером вполне себе может прожить и без файерволла, либо с тем, что настроено по-умолчанию в системе сразу после установки.
Тоже год назад микроту поставил. настроил и доволен. сделал openvpn с сертификатами и подключаюсь безопасно откуда хочу. Для себя как умеренного параноика напихал кучу правил блокирующих всякую бяку и пихающих источник в адресный лист. На компе после завершения лицензии насовсем удалил касперского и проблем пока не имею.
А как файерволл спасает от вирусов? Я бы ещё понял, если встроенный в вин10 антивирус (как сейчас говорят) стал по уровню защиты таким же или даже лучше каспера... и даже на пару секунд осенило: "Линукс жеж!", но потом понял, что каспер стоял явно не на линуксе. Таки всё-таки лицензионная вин10 со встроенным антивирусом имеется в виду? Просто другого мне как-то с лёту не представляется.
Советую посмотреть последние буллетины и тесты антивирусов. встроенный ав винды 10 занимает довольно высокие позиции и считается одним из самых надежных. единственное только его попортили очередным обновлением винды и он пропускает файлы , не проверяя их. хотя эти файлы не указаны в исключениях. В совокупности бесплатные решения могут быть не хуже платных , например того же kaspersky internet security. К примеру использование расширений для браузера ublock и подобных со списками фильтров, правильно настроенный фаервол на роутере, использование dns over http в том же браузере, дополнения https everywhere и noscript.
Интересно как там с файерволлом на винде? Я давно исключительно на линуксе дома, поэтому не в курсе. Но когда ещё пользовал домашнююю винду семерку, то у её брандмауэра был один "умолчательный" неприятный фактор. ВСЕ исходящие соединения винда считала легитимными и если ты занёс в неё червя с флешки или свежий гад пролез в почте (свежий - в смысле сигнатур которого ещё нет в обновлениях антивируса), то эта *варь спокойно имела возможность поднять исходящий куда угодно и сливать/заливать с/в систему что ей вздумается.
Как не странно, но даже начиная с семерки и windows security essentials всё хорошо на винде с этим. Довелось на работе бодаться с тем же conficker/kido. почти все хр были заражены и сервер2003. семерки чистенькие оставались. Другую заразу не доводилось лечить. Да и в целом десятка вполне себе прилично защищена, если не лезть по каждой ссылке что всплывает
Он отключён почти у всех. Кроме Windows )
Сделал так: sudo ufw reset
В настойках так: sudo ufw default reject incoming
__-------------------------------------------
еще
делал так, в процессе шнур интернета вытащил, браузер отвалился - TIME-WAIT
Не разу, не порты по умолчанию для браузера, там и другие, кроме 480хх.
~$ ss state all
172.217.21.138:https
tcp TIME-WAIT 0 0 10.х.х.х:480хх
_____________________
получается Динамически назначаемые номера портов, наверно браузер изначально включает в посыл информации: что принимать будет - Динамически назначаемые номера портов. Вопрос, мне это наверно не нужно, наверно это не безопасно.
в файла /etc/services (предназначений) портов нет и вопрос является или в какой мере информация в файла /etc/services является предназначенной ?
Спросить, от какой логики идти при настройке брандмауэра. ?
Так же не понимаю: по какой причине и в принципе, сказал бы кто, что написано:
не понимаю, как получились:
Chain ufw-before-input (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ufw-logging-deny all -- anywhere anywhere ctstate INVALID
DROP all -- anywhere anywhere ctstate INVALID
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp parameter-problem
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc
ufw-not-local all -- anywhere anywhere
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns
ACCEPT udp -- anywhere 239.255.255.250 udp dpt:1900
ufw-user-input all -- anywhere anywhere
и не только это. При sudo ufw default reject incoming
-------------------------------------------------------------------------------
еще
avahi если удалить, не случится не чего? я им не пользуюсь, думаю он что бы принтер подключить. avahi мне не нужен. Так смотрю sudo ufw show listening
, (avahi-daemon) на портах прослушивает.
Отправить комментарий