Создаем правила для приложений в ufw: гнездо параноика

[Листик]

Задача по максимуму закрыть порты для домашнего ПК. Удаленный доступ не используется. Всякие болталки пока тоже. Оставить только интернет, tor, почту через evolution (imap), возможность установки обновлений.

Итак, sudo ufw app list выдал такой вот длинный список приложений, пытался разобраться, что и для чего нужно. Ниже напишу свои комментарии. Не судите строго, пока еще многого не понимаю.

AIM - какой-то talk-протокол, создаем запрещающее правило deny

Bonjour - аналогично предыдущему

CIFS - удаленный доступ?? запрещаем

CUPS - сервер печати, принтер у меня уже настроен, запрет (зачем вообще этому приложению доступ в сеть, если все уже настроено?)

DNS - оставляем

Deluge - какой-то непонятный торрент-клиент, запрет

IMAP - оставляем

IMAPS - оставляем

IPP - что-то связанное с печатью, запрет

KTorrent - запрет (у меня transmission)

Kerberos Admin - что-то непонятное, пока оставил (оно нужно??) на пк еще есть гостевой доступ

Kerberos Full

Kerberos KDC

Kerberos Password

LDAP - не разобрался до конца, но вроде что-то нужное

LDAPS

LPD - печать, запрет

MSN - мессенджер, запрет

MSN SSL

Mail submission - вот это нужно для почты на imap (проверка через evolution)?? пока оставил

NFS - удаленный доступ, запрет

POP3 - оставляем

POP3S

PeopleNearby - болталка, запрет

SMTP - оставляем

SSH - удаленный доступ, запрет

Socks - по-моему, требуется для TOR, оставил

Telnet - удаленный доступ, запрет

Transmission - оставляем

Transparent Proxy - оставляем для TOR

VNC - удаленный доступ, закрываем

WWW - оставляем                                                                                                                                                                                       

WWW Cache                                                                                                                                                                                 

WWW Full                                                                                                                                                                                   

WWW Secure                                                                                                                                                                                 

XMPP - чат какой-то, запрет                                                                                                                                                                                       

Yahoo - запрет                                                                                                                                                                                     

qBittorrent - запрет                                                                                                                                                                               

svnserve??? пока оставил                 

[ogost]

У вас белый IP? Если нет, то и смысла в этих телодвижениях нет.

[Листик]

У вас белый IP? Если нет, то и смысла в этих телодвижениях нет.

IP динамический (если вы об этом). Но его же можно узнать, например, с помощью пирингового клиента в браузере. В Chromium он, например, не отключается.

И потом, ufw работает! Судя по логам, постоянно кто-то ломится.

И главный критерий - практика, браузер стал работать намного быстрее после запрета всех входящих по умолчанию. Теперь вот разбираюсь с исключениями.

[ogost]

IP динамический (если вы об этом)

Я имел ввиду, что если вы за NAT сидите, то смысла нет. По всей видимости у вас реальный динамический IP, если снаружи кто-то ломится. Тогда да, есть смысл в таких телодвижениях.
У меня дома например вообще iptables не настроен, во-первых сижу за NAT, во-вторых доступ в инет не напрямую к прову, а через небольшой вайфай рутер.

[Листик]

ogost,

Публичный!

Я вот удивляюсь только, откуда их так много этих любопытствующих?! Даже не каждую минуту. Кто все эти люди?!

А что по поводу тех приложений, которые я оставил со знаком вопроса? Нужно их блокировать?

[ogost]

ufw app list

эта команда, судя по гуглу лишь показывает список доступных профилей приложений. Это не значит, что они у вас установлены.

Я вот удивляюсь только, откуда их так много этих любопытствующих?! Даже не каждую минуту. Кто все эти люди?!

Скрипты, роботы, краулеры, вирусня всякая.

[Ogis1975]

Сперва нужно активировать  ufw

Код Выделить Развернуть

# ufw enable
Теперь нужно задать правила. Для ваших нужд подойдет вот это:

Код Выделить Развернуть

# ufw default deny incoming
# ufw default allow outgoing
Проверяем статус ufw:

Код Выделить Развернуть

# ufw status verbose
Этого вам будет достаточно. Имейте в виду, что в ufw можно задать правила для приложений. Пишем

Код Выделить Развернуть

# ufw allow и название приложения.
Ну, если вы настоящий параноик, вам следует почитать вот тут. Удачи.

[Листик]

Ogis1975,

Это я первым делом настроил, как систему установил, спасибо -). Интересно, что под Дебианом firewall по умолчанию выключен -).

Теперь разбираюсь с отдельными приложениями. man читал, там все, в принципе, достаточно понятно. Неясно только, какое приложение для чего.

Вот тут попроще инструкция:

https://wiki.debian.org/Uncomplicated%20Firewall%20%28ufw%29
Cообщение объединено 23 мая 2018, 18:39:30

Это не значит, что они у вас установлены.

Ну разрешить потом всегда можно, если потребуется. Их не так много этих исключений.

[ogost]

Интересно, что под Дебианом firewall по умолчанию выключен

Так по дефолту при установке открытых портов-то и нет почти.

[Листик]

ogost,

Ну а по теме-то? Для чего те приложения нужны?

[ogost]

можно погуглить, там гораздо развернуто будет отвечено.
cifs - это samba, или виндовые шары
ldap - централизованная авторизация и разграничение прав пользователей. пример - виндовый active directory
kerberos - протокол авторизации
mail submission - подозреваю, что речь идет о любом почтовом клиенте
svnserve - протокол доступа к subversion. это такой старший брат git

[ChubaDuba]

Для чего те приложения нужны?

Это просто настройки для определённых портов. Например, чтобы открыть стандартный порт для ftp можно дать команду:

Код Выделить Развернуть


# ufw allow ftp

Откроется 21-й порт, но если ваш ftp настроен на работу с другим портом, то эта настройка работать не будет.
Также и для всего остального. Например, мой торрент-клиент настроен на потр 2154 и ни одно из правил не подходит, нужно явно указывать порт а не службу:

Код Выделить Развернуть


# ufw allow 2154

Поэтому, если вы работаете с TOR, то и открывать вам нужно его дефолтный порт 9050

[Листик]

ChubaDuba,

TOR из тестового репозитория заработал сразу.

Вот эти списки приложений - это исключения из общего правила incoming deny. Они уже заранее предусмотрены, чтобы не нужно было настраивать.

Соответственно, я хочу, чтобы исключений было меньше. Только те, которые мне реально нужны.

[ChubaDuba]

TOR из тестового репозитория заработал сразу.

Правильно, потому что:

под Дебианом firewall по умолчанию выключен

[Ogis1975]

Соответственно, я хочу, чтобы исключений было меньше. Только те, которые мне реально нужны.

Ну, если мыслить логически, вам нужно будет самому создать правила. Можно почитать вот тут.