Re: Настройка межсетевой экран / файрвол / брандмауэр ufw, iptables, gufw
суббота, 21 марта 2020 г., 15:10:03 UTC+3 пользователь L. Gogolev написал:
> Здравствуйте.
>
> Скажите как настроить фаервол. Если, хотелось бы. Все запретить, разрешить только браузер и обновления.
> Но смотрю, посредством $ ss state all , много чего есть. Наверно внутренние сокеты, которые вероятно при такой логике, от желания, перестанут работать. Да и вопрос, как разобрать сокеты внутренние и для работы с провайдером. Если реализация соединения провайдера интернета предполагает, смотрю соединение с моего адреса 10._._._.
>
> Стал устанавливать gufw:
>
>
> (gufw.py:3320): dbind-WARNING **: 15:46:44.448: Error retrieving accessibility bus address: org.freedesktop.DBus.Error.ServiceUnknown: The name org.a11y.Bus was not provided by any .service files
>
> (WebKitWebProcess:3346): dbind-WARNING **: 15:46:45.594: Error retrieving accessibility bus address: org.freedesktop.DBus.Error.ServiceUnknown: The name org.a11y.Bus was not provided by any .service files
>
> ((gufw.py:3320): dbind-WARNING **: 15: 46: 44.448: Ошибка при получении адреса шины доступности: org.freedesktop.DBus.Error.ServiceUnknown: Имя org.a11y.Bus не было предоставлено никакой службой .service файлы
>
> (WebKitWebProcess: 3346): dbind-WARNING **: 15: 46: 45.594: Ошибка при получении адреса шины доступности: org.freedesktop.DBus.Error.ServiceUnknown: Имя org.a11y.Bus не было предоставлено никакими файлами .service )
>
>
> Стал настраивать правила:
>
> Ошибка выполнения: /usr/sbin/ufw allow out proto tcp from any to any port 80 > Skipping adding existing rule | Skipping adding existing rule (v6) |
>
> ( Ошибка выполнения: / usr / sbin / ufw разрешает протокольный tcp с любого на любой порт 80> Пропуск добавления существующего правила | Пропуск добавления существующего правила (v6) |)
>
>
> тем неимение правило установилось:
>
> sudo ufw status verbose
> Состояние: активен
> Журналирование: on (full)
> По умолчанию: deny (входящие), allow (исходящие), disabled (маршрутизированные)
> Новые профили: skip
>
> В Действие Из
> - -------- --
> 80/tcp ALLOW IN Anywhere
> 80/tcp (v6) ALLOW IN Anywhere (v6)
>
> 8080/tcp ALLOW OUT Anywhere
> 443/tcp ALLOW OUT Anywhere (log)
> 80/tcp ALLOW OUT Anywhere
> 8080/tcp (v6) ALLOW OUT Anywhere (v6)
> 443/tcp (v6) ALLOW OUT Anywhere (v6) (log)
> 80/tcp (v6) ALLOW OUT Anywhere (v6)
>
> стал удалять правила
> методы: sudo ufw delete 2
>
> ufw delete allow out 80/tcp
>
> не удаляется 443 -
>
>
> :~$ sudo ufw status numbered
> Состояние: активен
>
> В Действие Из
> - -------- --
> [ 1] 443/tcp ALLOW OUT Anywhere (log, out)
> [ 2] 443/tcp (v6) ALLOW OUT Anywhere (v6) (log, out)
>
>
>
> ufw delete 2
> Удаление:
> allow out log 443/tcp
> Продолжить операцию (y|n)?
> Прервано
>
> _:~$ sudo ufw delete 1
> Удаление:
> allow out log 443/tcp
> Продолжить операцию (y|n)?
> Прервано
> _:~$ sudo ufw status numbered
> Состояние: активен
>
> В Действие Из
> - -------- --
> [ 1] 443/tcp ALLOW OUT Anywhere (log, out)
> [ 2] 443/tcp (v6) ALLOW OUT Anywhere (v6) (log, out)
>
>
> Также не понял: устанавливал буквально правила в gufw для протоколов http & https
> Но, как и ошибка так возникшие правила об портах.
> Браузер вроде смотрел не на этих портах у меня.
> Для удаления сделал так:
>
> sudo ufw reset
>
> В настойках так: sudo ufw default reject incoming
>
> В итоге, что хочу читать сверху, в этом вопрос.
> Возможно рассмотрение услуги - как настройка брандмауэра, как вариант.
> В этом тоже вопрос, кто может оказать услугу?
---------------------------------
еще
делал так, в процессе шнур интернета вытащил, браузер отвалился - TIME-WAIT
Не разу, не порты по умолчанию для браузера, там и другие, кроме 480хх.
~$ ss state all
172.217.21.138:https
tcp TIME-WAIT 0 0 10.х.х.х:480хх
_____________________
получается Динамически назначаемые номера портов, наверно браузер изначально включает в посыл информации: что принимать будет - Динамически назначаемые номера портов. Вопрос, мне это наверно не нужно, наверно это не безопасно.
в файла /etc/services (предназначений) портов нет и вопрос является или в какой мере информация в файла /etc/services является предназначенной ?
от какой логики идти при настройке брандмауэра. ?
Так же не понимаю: по какой причине и в принципе, сказал бы кто, что написано:
Spoiler: Hide
~$ iptables --list
iptables v1.6.1: can't initialize iptables table `filter': Permission denied (you must be root)
Perhaps iptables or your kernel needs to be upgraded.
~$ sudo iptables --list
[sudo] пароль для :
Chain INPUT (policy DROP)
target prot opt source destination
ufw-before-logging-input all -- anywhere anywhere
ufw-before-input all -- anywhere anywhere
ufw-after-input all -- anywhere anywhere
ufw-after-logging-input all -- anywhere anywhere
ufw-reject-input all -- anywhere anywhere
ufw-track-input all -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
ufw-before-logging-forward all -- anywhere anywhere
ufw-before-forward all -- anywhere anywhere
ufw-after-forward all -- anywhere anywhere
ufw-after-logging-forward all -- anywhere anywhere
ufw-reject-forward all -- anywhere anywhere
ufw-track-forward all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ufw-before-logging-output all -- anywhere anywhere
ufw-before-output all -- anywhere anywhere
ufw-after-output all -- anywhere anywhere
ufw-after-logging-output all -- anywhere anywhere
ufw-reject-output all -- anywhere anywhere
ufw-track-output all -- anywhere anywhere
Chain ufw-after-forward (1 references)
target prot opt source destination
Chain ufw-after-input (1 references)
target prot opt source destination
ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:netbios-ns
ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:netbios-dgm
ufw-skip-to-policy-input tcp -- anywhere anywhere tcp dpt:netbios-ssn
ufw-skip-to-policy-input tcp -- anywhere anywhere tcp dpt:microsoft-ds
ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:bootps
ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:bootpc
ufw-skip-to-policy-input all -- anywhere anywhere ADDRTYPE match dst-type BROADCAST
Chain ufw-after-logging-forward (1 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-output (1 references)
target prot opt source destination
Chain ufw-after-output (1 references)
target prot opt source destination
Chain ufw-before-forward (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp parameter-problem
ACCEPT icmp -- anywhere anywhere icmp echo-request
ufw-user-forward all -- anywhere anywhere
Chain ufw-before-input (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ufw-logging-deny all -- anywhere anywhere ctstate INVALID
DROP all -- anywhere anywhere ctstate INVALID
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp parameter-problem
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc
ufw-not-local all -- anywhere anywhere
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns
ACCEPT udp -- anywhere 239.255.255.250 udp dpt:1900
ufw-user-input all -- anywhere anywhere
Chain ufw-before-logging-forward (1 references)
target prot opt source destination
Chain ufw-before-logging-input (1 references)
target prot opt source destination
Chain ufw-before-logging-output (1 references)
target prot opt source destination
Chain ufw-before-output (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ufw-user-output all -- anywhere anywhere
Chain ufw-logging-allow (0 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
target prot opt source destination
RETURN all -- anywhere anywhere ctstate INVALID limit: avg 3/min burst 10
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-not-local (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere ADDRTYPE match dst-type LOCAL
RETURN all -- anywhere anywhere ADDRTYPE match dst-type MULTICAST
RETURN all -- anywhere anywhere ADDRTYPE match dst-type BROADCAST
ufw-logging-deny all -- anywhere anywhere limit: avg 3/min burst 10
DROP all -- anywhere anywhere
Chain ufw-reject-forward (1 references)
target prot opt source destination
Chain ufw-reject-input (1 references)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
Chain ufw-reject-output (1 references)
target prot opt source destination
Chain ufw-skip-to-policy-forward (0 references)
target prot opt source destination
DROP all -- anywhere anywhere
Chain ufw-skip-to-policy-input (7 references)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
Chain ufw-skip-to-policy-output (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Chain ufw-track-forward (1 references)
target prot opt source destination
Chain ufw-track-input (1 references)
target prot opt source destination
Chain ufw-track-output (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere ctstate NEW
ACCEPT udp -- anywhere anywhere ctstate NEW
Chain ufw-user-forward (1 references)
target prot opt source destination
Chain ufw-user-input (1 references)
target prot opt source destination
Chain ufw-user-limit (0 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
Chain ufw-user-limit-accept (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Chain ufw-user-logging-forward (0 references)
target prot opt source destination
Chain ufw-user-logging-input (0 references)
target prot opt source destination
Chain ufw-user-logging-output (0 references)
target prot opt source destination
Chain ufw-user-output (1 references)
target prot opt source
не понимаю, как получились:
Chain ufw-before-input (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ufw-logging-deny all -- anywhere anywhere ctstate INVALID
DROP all -- anywhere anywhere ctstate INVALID
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp parameter-problem
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc
ufw-not-local all -- anywhere anywhere
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns
ACCEPT udp -- anywhere 239.255.255.250 udp dpt:1900
ufw-user-input all -- anywhere anywhere
и не только это. При sudo ufw default reject incoming
Reply to: