суббота, 21 марта 2020 г., 16:50:02 UTC+3 пользователь Dmitry Alexandrov написал: > "L. Gogolev" <[email protected]> wrote: > > Скажите как настроить фаервол. Если, хотелось бы. Все запретить, разрешить > > только браузер и обновления. > > С какой вам это целью? Так или иначе, разрешить «только [некий] браузер или > обновления» — это не совсем файерволл, а скорее мандатный контроль, типа > Apparmorʼа. > > > Но смотрю, посредством $ ss state all, много чего есть. > > Но нам не покажете? Вас там собственно, могут интересовать только слушающие > процессы: > > # netstat -tulnp > > > внутренние сокеты, ... при такой логике ... перестанут работать. Да и > > вопрос, как разобрать сокеты внутренние и для работы с провайдером. > > «Внутренние» — это внутри одной машинки? Они работают по интерфейсу т. н. > «обратной петли» (lo), и ее надо разрешить в первую голову. > > Или внутри локальной сети? Тогда по подсетям. Скорее всего у вас: > — 192.168.0.0/16 # DHCPv4, или не эта, проверьте > — 169.254.0.0/16 # link-local v4 > — fe80::/10 # link-local v6 > — # DHCPv6, вероятно, нет > — 224.0.0.0/24 # мультикаст v4 > — > ff02::/16,ff12::/16,ff22::/16,ff32::/16,ff42::/16,ff52::/16,ff62::/16,ff72::/16 > # мультикаст v6 > > > Стал устанавливать gufw: > > > > (gufw.py:3320): dbind-WARNING **: 15:46:44.448: Error retrieving > > accessibility bus address: org.freedesktop.DBus.Error.ServiceUnknown: The > > name org.a11y.Bus was not provided by any .service files > > Перевожу: у вас нет средств для слепых. > > > Стал настраивать правила: > > > > Ошибка выполнения: /usr/sbin/ufw allow out proto tcp from any to any port > > 80 > Skipping adding existing rule | Skipping adding existing rule (v6) | > > Емнип, UFW идет с комплектом правил из коробки. > > > Также не понял: устанавливал буквально правила в gufw для протоколов http & > > https > > Но, как и ошибка так возникшие правила об портах. > > В контексте файерволла http и https — могут быть только мнемониками портов: > 80 и 443 соответственно, а не протоколами. > > > Браузер вроде смотрел не на этих портах у меня. > > Если у вас браузер что-то слушает (listen) извне, то это какой-то > неправильный браузер. > > > Возможно рассмотрение услуги - как настройка брандмауэра, как вариант. > > В этом тоже вопрос, кто может оказать услугу? > > Те, кто захотят получить с вас немного денег. Здесь же вам скорее честно > скажут, что вы занимаетесь какой-то фигней. ;-)
Не настаиваю, не являюсь специалистом, но: " Это означает, что доменные сокеты могут быть использованы как объектно-возможностная коммуникационная система. " -https://ru.wikipedia.org/wiki/%D0%A1%D0%BE%D0%BA%D0%B5%D1%82_%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD%D0%B0_Unix Цель личная, остальное тоже сути не меняет.
