Re: Настройка межсетевой экран / файрвол / брандмауэр ufw, iptables, gufw
суббота, 21 марта 2020 г., 16:50:02 UTC+3 пользователь Dmitry Alexandrov написал:
> "L. Gogolev" <lksey.gglv@gmail.com> wrote:
> > Скажите как настроить фаервол. Если, хотелось бы. Все запретить, разрешить только браузер и обновления.
>
> С какой вам это целью? Так или иначе, разрешить «только [некий] браузер или обновления» — это не совсем файерволл, а скорее мандатный контроль, типа Apparmorʼа.
>
> > Но смотрю, посредством $ ss state all, много чего есть.
>
> Но нам не покажете? Вас там собственно, могут интересовать только слушающие процессы:
>
> # netstat -tulnp
>
> > внутренние сокеты, ... при такой логике ... перестанут работать. Да и вопрос, как разобрать сокеты внутренние и для работы с провайдером.
>
> «Внутренние» — это внутри одной машинки? Они работают по интерфейсу т. н. «обратной петли» (lo), и ее надо разрешить в первую голову.
>
> Или внутри локальной сети? Тогда по подсетям. Скорее всего у вас:
> — 192.168.0.0/16 # DHCPv4, или не эта, проверьте
> — 169.254.0.0/16 # link-local v4
> — fe80::/10 # link-local v6
> — # DHCPv6, вероятно, нет
> — 224.0.0.0/24 # мультикаст v4
> — ff02::/16,ff12::/16,ff22::/16,ff32::/16,ff42::/16,ff52::/16,ff62::/16,ff72::/16 # мультикаст v6
>
> > Стал устанавливать gufw:
> >
> > (gufw.py:3320): dbind-WARNING **: 15:46:44.448: Error retrieving accessibility bus address: org.freedesktop.DBus.Error.ServiceUnknown: The name org.a11y.Bus was not provided by any .service files
>
> Перевожу: у вас нет средств для слепых.
>
> > Стал настраивать правила:
> >
> > Ошибка выполнения: /usr/sbin/ufw allow out proto tcp from any to any port 80 > Skipping adding existing rule | Skipping adding existing rule (v6) |
>
> Емнип, UFW идет с комплектом правил из коробки.
>
> > Также не понял: устанавливал буквально правила в gufw для протоколов http & https
> > Но, как и ошибка так возникшие правила об портах.
>
> В контексте файерволла http и https — могут быть только мнемониками портов: 80 и 443 соответственно, а не протоколами.
>
> > Браузер вроде смотрел не на этих портах у меня.
>
> Если у вас браузер что-то слушает (listen) извне, то это какой-то неправильный браузер.
>
> > Возможно рассмотрение услуги - как настройка брандмауэра, как вариант.
> > В этом тоже вопрос, кто может оказать услугу?
>
> Те, кто захотят получить с вас немного денег. Здесь же вам скорее честно скажут, что вы занимаетесь какой-то фигней. ;-)
Не настаиваю, не являюсь специалистом, но:
" Это означает, что доменные сокеты могут быть использованы как
объектно-возможностная коммуникационная система. "
-https://ru.wikipedia.org/wiki/%D0%A1%D0%BE%D0%BA%D0%B5%D1%82_%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD%D0%B0_Unix
Цель личная, остальное тоже сути не меняет.
Reply to: