Создаем правила для приложений в ufw: гнездо параноика

Автор Листик, 22 мая 2018, 22:50:01

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Листик

Задача по максимуму закрыть порты для домашнего ПК. Удаленный доступ не используется. Всякие болталки пока тоже. Оставить только интернет, tor, почту через evolution (imap), возможность установки обновлений.

Итак, sudo ufw app list выдал такой вот длинный список приложений, пытался разобраться, что и для чего нужно. Ниже напишу свои комментарии. Не судите строго, пока еще многого не понимаю.

AIM - какой-то talk-протокол, создаем запрещающее правило deny

Bonjour - аналогично предыдущему

CIFS - удаленный доступ?? запрещаем

CUPS - сервер печати, принтер у меня уже настроен, запрет (зачем вообще этому приложению доступ в сеть, если все уже настроено?)

DNS - оставляем

Deluge - какой-то непонятный торрент-клиент, запрет

IMAP - оставляем

IMAPS - оставляем

IPP - что-то связанное с печатью, запрет

KTorrent - запрет (у меня transmission)

Kerberos Admin - что-то непонятное, пока оставил (оно нужно??) на пк еще есть гостевой доступ

Kerberos Full

Kerberos KDC

Kerberos Password

LDAP - не разобрался до конца, но вроде что-то нужное

LDAPS

LPD - печать, запрет

MSN - мессенджер, запрет

MSN SSL

Mail submission - вот это нужно для почты на imap (проверка через evolution)?? пока оставил

NFS - удаленный доступ, запрет

POP3 - оставляем

POP3S

PeopleNearby - болталка, запрет

SMTP - оставляем

SSH - удаленный доступ, запрет

Socks - по-моему, требуется для TOR, оставил

Telnet - удаленный доступ, запрет

Transmission - оставляем

Transparent Proxy - оставляем для TOR

VNC - удаленный доступ, закрываем

WWW - оставляем                                                                                                                                                                                       

WWW Cache                                                                                                                                                                                 

WWW Full                                                                                                                                                                                   

WWW Secure                                                                                                                                                                                 

XMPP - чат какой-то, запрет                                                                                                                                                                                       

Yahoo - запрет                                                                                                                                                                                     

qBittorrent - запрет                                                                                                                                                                               

svnserve??? пока оставил                 


ogost

У вас белый IP? Если нет, то и смысла в этих телодвижениях нет.

Листик

Цитата: ogost от 23 мая 2018, 05:25:22
У вас белый IP? Если нет, то и смысла в этих телодвижениях нет.


IP динамический (если вы об этом). Но его же можно узнать, например, с помощью пирингового клиента в браузере. В Chromium он, например, не отключается.

И потом, ufw работает! Судя по логам, постоянно кто-то ломится.

И главный критерий - практика, браузер стал работать намного быстрее после запрета всех входящих по умолчанию. Теперь вот разбираюсь с исключениями.



ogost

Цитата: Листик от 23 мая 2018, 11:19:39IP динамический (если вы об этом)
Я имел ввиду, что если вы за NAT сидите, то смысла нет. По всей видимости у вас реальный динамический IP, если снаружи кто-то ломится. Тогда да, есть смысл в таких телодвижениях.
У меня дома например вообще iptables не настроен, во-первых сижу за NAT, во-вторых доступ в инет не напрямую к прову, а через небольшой вайфай рутер.

Листик

ogost,

Публичный!

Я вот удивляюсь только, откуда их так много этих любопытствующих?! Даже не каждую минуту. Кто все эти люди?!

А что по поводу тех приложений, которые я оставил со знаком вопроса? Нужно их блокировать?

ogost

Цитата: Листик от 22 мая 2018, 22:50:01ufw app list
эта команда, судя по гуглу лишь показывает список доступных профилей приложений. Это не значит, что они у вас установлены.

Цитата: Листик от 23 мая 2018, 11:41:59Я вот удивляюсь только, откуда их так много этих любопытствующих?! Даже не каждую минуту. Кто все эти люди?!
Скрипты, роботы, краулеры, вирусня всякая.

Ogis1975

#6
Сперва нужно активировать  ufw
# ufw enable
Теперь нужно задать правила. Для ваших нужд подойдет вот это:
# ufw default deny incoming
# ufw default allow outgoing

Проверяем статус ufw:
# ufw status verbose
Этого вам будет достаточно. Имейте в виду, что в ufw можно задать правила для приложений. Пишем
# ufw allow и название приложения.
Ну, если вы настоящий параноик, вам следует почитать вот тут. Удачи.

Листик

#7
Ogis1975,

Это я первым делом настроил, как систему установил, спасибо -). Интересно, что под Дебианом firewall по умолчанию выключен -).

Теперь разбираюсь с отдельными приложениями. man читал, там все, в принципе, достаточно понятно. Неясно только, какое приложение для чего.

Вот тут попроще инструкция:

https://wiki.debian.org/Uncomplicated%20Firewall%20%28ufw%29

Cообщение объединено 23 мая 2018, 18:39:30

Цитата: ogost от 23 мая 2018, 12:10:54Это не значит, что они у вас установлены.

Ну разрешить потом всегда можно, если потребуется. Их не так много этих исключений.

ogost

Цитата: Листик от 23 мая 2018, 18:26:54Интересно, что под Дебианом firewall по умолчанию выключен
Так по дефолту при установке открытых портов-то и нет почти.

Листик

ogost,

Ну а по теме-то? Для чего те приложения нужны?


ogost

можно погуглить, там гораздо развернуто будет отвечено.
cifs - это samba, или виндовые шары
ldap - централизованная авторизация и разграничение прав пользователей. пример - виндовый active directory
kerberos - протокол авторизации
mail submission - подозреваю, что речь идет о любом почтовом клиенте
svnserve - протокол доступа к subversion. это такой старший брат git

ChubaDuba

Цитата: Листик от 24 мая 2018, 11:09:21Для чего те приложения нужны?
Это просто настройки для определённых портов. Например, чтобы открыть стандартный порт для ftp можно дать команду:

# ufw allow ftp

Откроется 21-й порт, но если ваш ftp настроен на работу с другим портом, то эта настройка работать не будет.
Также и для всего остального. Например, мой торрент-клиент настроен на потр 2154 и ни одно из правил не подходит, нужно явно указывать порт а не службу:

# ufw allow 2154

Поэтому, если вы работаете с TOR, то и открывать вам нужно его дефолтный порт 9050

Листик

ChubaDuba,

TOR из тестового репозитория заработал сразу.

Вот эти списки приложений - это исключения из общего правила incoming deny. Они уже заранее предусмотрены, чтобы не нужно было настраивать.

Соответственно, я хочу, чтобы исключений было меньше. Только те, которые мне реально нужны.

ChubaDuba

Цитата: Листик от 24 мая 2018, 14:09:49TOR из тестового репозитория заработал сразу.
Правильно, потому что:
Цитата: Листик от 23 мая 2018, 18:26:54под Дебианом firewall по умолчанию выключен

Ogis1975

Цитата: Листик от 24 мая 2018, 14:09:49Соответственно, я хочу, чтобы исключений было меньше. Только те, которые мне реально нужны.
Ну, если мыслить логически, вам нужно будет самому создать правила. Можно почитать вот тут.