Автор Тема: Создаем правила для приложений в ufw: гнездо параноика  (Прочитано 3065 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Листик

Задача по максимуму закрыть порты для домашнего ПК. Удаленный доступ не используется. Всякие болталки пока тоже. Оставить только интернет, tor, почту через evolution (imap), возможность установки обновлений.

Итак, sudo ufw app list выдал такой вот длинный список приложений, пытался разобраться, что и для чего нужно. Ниже напишу свои комментарии. Не судите строго, пока еще многого не понимаю.

AIM - какой-то talk-протокол, создаем запрещающее правило deny

Bonjour - аналогично предыдущему

CIFS - удаленный доступ?? запрещаем

CUPS - сервер печати, принтер у меня уже настроен, запрет (зачем вообще этому приложению доступ в сеть, если все уже настроено?)

DNS - оставляем

Deluge - какой-то непонятный торрент-клиент, запрет

IMAP - оставляем

IMAPS - оставляем

IPP - что-то связанное с печатью, запрет

KTorrent - запрет (у меня transmission)

Kerberos Admin - что-то непонятное, пока оставил (оно нужно??) на пк еще есть гостевой доступ

Kerberos Full

Kerberos KDC

Kerberos Password

LDAP - не разобрался до конца, но вроде что-то нужное

LDAPS

LPD - печать, запрет

MSN - мессенджер, запрет

MSN SSL

Mail submission - вот это нужно для почты на imap (проверка через evolution)?? пока оставил

NFS - удаленный доступ, запрет

POP3 - оставляем

POP3S

PeopleNearby - болталка, запрет

SMTP - оставляем

SSH - удаленный доступ, запрет

Socks - по-моему, требуется для TOR, оставил

Telnet - удаленный доступ, запрет

Transmission - оставляем

Transparent Proxy - оставляем для TOR

VNC - удаленный доступ, закрываем

WWW - оставляем                                                                                                                                                                                       

WWW Cache                                                                                                                                                                                 

WWW Full                                                                                                                                                                                   

WWW Secure                                                                                                                                                                                 

XMPP - чат какой-то, запрет                                                                                                                                                                                       

Yahoo - запрет                                                                                                                                                                                     

qBittorrent - запрет                                                                                                                                                                               

svnserve??? пока оставил                 

 

Оффлайн ogost

У вас белый IP? Если нет, то и смысла в этих телодвижениях нет.

Оффлайн Листик

У вас белый IP? Если нет, то и смысла в этих телодвижениях нет.


IP динамический (если вы об этом). Но его же можно узнать, например, с помощью пирингового клиента в браузере. В Chromium он, например, не отключается.

И потом, ufw работает! Судя по логам, постоянно кто-то ломится.

И главный критерий - практика, браузер стал работать намного быстрее после запрета всех входящих по умолчанию. Теперь вот разбираюсь с исключениями.


 

Оффлайн ogost

IP динамический (если вы об этом)
Я имел ввиду, что если вы за NAT сидите, то смысла нет. По всей видимости у вас реальный динамический IP, если снаружи кто-то ломится. Тогда да, есть смысл в таких телодвижениях.
У меня дома например вообще iptables не настроен, во-первых сижу за NAT, во-вторых доступ в инет не напрямую к прову, а через небольшой вайфай рутер.

Оффлайн Листик

ogost,

Публичный!

Я вот удивляюсь только, откуда их так много этих любопытствующих?! Даже не каждую минуту. Кто все эти люди?!

А что по поводу тех приложений, которые я оставил со знаком вопроса? Нужно их блокировать?
 

Оффлайн ogost

ufw app list
эта команда, судя по гуглу лишь показывает список доступных профилей приложений. Это не значит, что они у вас установлены.

Я вот удивляюсь только, откуда их так много этих любопытствующих?! Даже не каждую минуту. Кто все эти люди?!
Скрипты, роботы, краулеры, вирусня всякая.

Оффлайн Ogis1975

Сперва нужно активировать  ufw
# ufw enableТеперь нужно задать правила. Для ваших нужд подойдет вот это:
# ufw default deny incoming
# ufw default allow outgoing
Проверяем статус ufw:
# ufw status verboseЭтого вам будет достаточно. Имейте в виду, что в ufw можно задать правила для приложений. Пишем
# ufw allow и название приложения.
Ну, если вы настоящий параноик, вам следует почитать вот тут. Удачи.
« Последнее редактирование: 23 Мая 2018, 18:00:08 от Ogis1975 »
 

Оффлайн Листик

Ogis1975,

Это я первым делом настроил, как систему установил, спасибо -). Интересно, что под Дебианом firewall по умолчанию выключен -).

Теперь разбираюсь с отдельными приложениями. man читал, там все, в принципе, достаточно понятно. Неясно только, какое приложение для чего.

Вот тут попроще инструкция:

https://wiki.debian.org/Uncomplicated%20Firewall%20%28ufw%29

Cообщение объединено 23 Мая 2018, 18:39:30
Это не значит, что они у вас установлены.

Ну разрешить потом всегда можно, если потребуется. Их не так много этих исключений.
« Последнее редактирование: 23 Мая 2018, 18:39:30 от Листик »
 

Оффлайн ogost

Интересно, что под Дебианом firewall по умолчанию выключен
Так по дефолту при установке открытых портов-то и нет почти.

Оффлайн Листик

ogost,

Ну а по теме-то? Для чего те приложения нужны?

 

Оффлайн ogost

можно погуглить, там гораздо развернуто будет отвечено.
cifs - это samba, или виндовые шары
ldap - централизованная авторизация и разграничение прав пользователей. пример - виндовый active directory
kerberos - протокол авторизации
mail submission - подозреваю, что речь идет о любом почтовом клиенте
svnserve - протокол доступа к subversion. это такой старший брат git

Оффлайн ChubaDuba

Для чего те приложения нужны?
Это просто настройки для определённых портов. Например, чтобы открыть стандартный порт для ftp можно дать команду:
# ufw allow ftp
Откроется 21-й порт, но если ваш ftp настроен на работу с другим портом, то эта настройка работать не будет.
Также и для всего остального. Например, мой торрент-клиент настроен на потр 2154 и ни одно из правил не подходит, нужно явно указывать порт а не службу:
# ufw allow 2154
Поэтому, если вы работаете с TOR, то и открывать вам нужно его дефолтный порт 9050
Бλог   @chuba_duba
 

Оффлайн Листик

ChubaDuba,

TOR из тестового репозитория заработал сразу.

Вот эти списки приложений - это исключения из общего правила incoming deny. Они уже заранее предусмотрены, чтобы не нужно было настраивать.

Соответственно, я хочу, чтобы исключений было меньше. Только те, которые мне реально нужны.
 

Оффлайн ChubaDuba

TOR из тестового репозитория заработал сразу.
Правильно, потому что:
под Дебианом firewall по умолчанию выключен
Бλог   @chuba_duba
 

Оффлайн Ogis1975

Соответственно, я хочу, чтобы исключений было меньше. Только те, которые мне реально нужны.
Ну, если мыслить логически, вам нужно будет самому создать правила. Можно почитать вот тут.
 

Теги: