Re: Настройка межсетевой экран / файрвол / брандмауэр ufw, iptables, gufw

To: "L. Gogolev" <lksey.gglv@gmail.com>
Cc: debian-russian@lists.debian.org
Subject: Re: Настройка межсетевой экран / файрвол / брандмауэр ufw, iptables, gufw
From: Dmitry Alexandrov <321942@gmail.com>
Date: Sat, 21 Mar 2020 16:45:58 +0300
Message-id: <[🔎] 1rpl3jop.321942@gmail.com>
In-reply-to: <[🔎] 7870b6f4-148e-4763-9560-1eb6f57ea321@googlegroups.com> (L. Gogolev's message of "Sat, 21 Mar 2020 04:43:57 -0700 (PDT)")
References: <[🔎] 7870b6f4-148e-4763-9560-1eb6f57ea321@googlegroups.com>

"L. Gogolev" <lksey.gglv@gmail.com> wrote:
> Скажите как настроить фаервол. Если, хотелось бы. Все запретить, разрешить только браузер и обновления.

С какой вам это целью?  Так или иначе, разрешить «только [некий] браузер или обновления» — это не совсем файерволл, а скорее мандатный контроль, типа Apparmorʼа.

> Но смотрю, посредством $ ss state all, много чего есть.

Но нам не покажете?  Вас там собственно, могут интересовать только слушающие процессы:

	# netstat -tulnp

> внутренние сокеты, ... при такой логике ... перестанут работать. Да и вопрос, как разобрать сокеты внутренние и для работы с провайдером.

«Внутренние» — это внутри одной машинки?  Они работают по интерфейсу т. н. «обратной петли» (lo), и ее надо разрешить в первую голову.

Или внутри локальной сети?  Тогда по подсетям.  Скорее всего у вас:
— 192.168.0.0/16 # DHCPv4, или не эта, проверьте
— 169.254.0.0/16 # link-local v4
— fe80::/10      # link-local v6
—                # DHCPv6, вероятно, нет
— 224.0.0.0/24   # мультикаст v4
— ff02::/16,ff12::/16,ff22::/16,ff32::/16,ff42::/16,ff52::/16,ff62::/16,ff72::/16 # мультикаст v6

> Стал устанавливать gufw:
>
> (gufw.py:3320): dbind-WARNING **: 15:46:44.448: Error retrieving accessibility bus address: org.freedesktop.DBus.Error.ServiceUnknown: The name org.a11y.Bus was not provided by any .service files

Перевожу: у вас нет средств для слепых.

> Стал настраивать правила:
>
>  Ошибка выполнения: /usr/sbin/ufw allow out proto tcp from any to any port 80 > Skipping adding existing rule | Skipping adding existing rule (v6) |

Емнип, UFW идет с комплектом правил из коробки.

> Также не понял: устанавливал буквально правила в gufw для протоколов http & https
> Но, как и ошибка так возникшие правила об портах.

В контексте файерволла http и https — могут быть только мнемониками портов: 80 и 443 соответственно, а не протоколами.

> Браузер вроде смотрел не на этих портах у меня.

Если у вас браузер что-то слушает (listen) извне, то это какой-то неправильный браузер.

> Возможно рассмотрение услуги - как настройка брандмауэра, как вариант.
> В этом тоже вопрос, кто может оказать услугу?

Те, кто захотят получить с вас немного денег.  Здесь же вам скорее честно скажут, что вы занимаетесь какой-то фигней. ;-)

Attachment: signature.asc
Description: PGP signature

Reply to:

References:
- Настройка межсетевой экран / файрвол / брандмауэр ufw, iptables, gufw
  - From: "L. Gogolev" <lksey.gglv@gmail.com>

Prev by Date: Настройка межсетевой экран / файрвол / брандмауэр ufw, iptables, gufw
Next by Date: Re: Настройка межсетевой экран / файрвол / брандмауэр ufw, iptables, gufw
Previous by thread: Настройка межсетевой экран / файрвол / брандмауэр ufw, iptables, gufw
Next by thread: Re: Настройка межсетевой экран / файрвол / брандмауэр ufw, iptables, gufw
Index(es):
- Date
- Thread