суббота, 21 марта 2020 г., 15:10:03 UTC+3 пользователь L. Gogolev написал:
> Здравствуйте.
>
> Скажите как настроить фаервол. Если, хотелось бы. Все запретить, разрешить
> только браузер и обновления.
> Но смотрю, посредством $ ss state all , много чего есть. Наверно
> внутренние сокеты, которые вероятно при такой логике, от желания, перестанут
> работать. Да и вопрос, как разобрать сокеты внутренние и для работы с
> провайдером. Если реализация соединения провайдера интернета предполагает,
> смотрю соединение с моего адреса 10._._._.
>
> Стал устанавливать gufw:
>
>
> (gufw.py:3320): dbind-WARNING **: 15:46:44.448: Error retrieving
> accessibility bus address: org.freedesktop.DBus.Error.ServiceUnknown: The
> name org.a11y.Bus was not provided by any .service files
>
> (WebKitWebProcess:3346): dbind-WARNING **: 15:46:45.594: Error retrieving
> accessibility bus address: org.freedesktop.DBus.Error.ServiceUnknown: The
> name org.a11y.Bus was not provided by any .service files
>
> ((gufw.py:3320): dbind-WARNING **: 15: 46: 44.448: Ошибка при получении
> адреса шины доступности: org.freedesktop.DBus.Error.ServiceUnknown: Имя
> org.a11y.Bus не было предоставлено никакой службой .service файлы
>
> (WebKitWebProcess: 3346): dbind-WARNING **: 15: 46: 45.594: Ошибка при
> получении адреса шины доступности: org.freedesktop.DBus.Error.ServiceUnknown:
> Имя org.a11y.Bus не было предоставлено никакими файлами .service )
>
>
> Стал настраивать правила:
>
> Ошибка выполнения: /usr/sbin/ufw allow out proto tcp from any to any port 80
> > Skipping adding existing rule | Skipping adding existing rule (v6) |
>
> ( Ошибка выполнения: / usr / sbin / ufw разрешает протокольный tcp с любого
> на любой порт 80> Пропуск добавления существующего правила | Пропуск
> добавления существующего правила (v6) |)
>
>
> тем неимение правило установилось:
>
> sudo ufw status verbose
> Состояние: активен
> Журналирование: on (full)
> По умолчанию: deny (входящие), allow (исходящие), disabled
> (маршрутизированные)
> Новые профили: skip
>
> В Действие Из
> - -------- --
> 80/tcp ALLOW IN Anywhere
> 80/tcp (v6) ALLOW IN Anywhere (v6)
>
> 8080/tcp ALLOW OUT Anywhere
> 443/tcp ALLOW OUT Anywhere (log)
> 80/tcp ALLOW OUT Anywhere
> 8080/tcp (v6) ALLOW OUT Anywhere (v6)
> 443/tcp (v6) ALLOW OUT Anywhere (v6) (log)
> 80/tcp (v6) ALLOW OUT Anywhere (v6)
>
> стал удалять правила
> методы: sudo ufw delete 2
>
> ufw delete allow out 80/tcp
>
> не удаляется 443 -
>
>
> :~$ sudo ufw status numbered
> Состояние: активен
>
> В Действие Из
> - -------- --
> [ 1] 443/tcp ALLOW OUT Anywhere (log,
> out)
> [ 2] 443/tcp (v6) ALLOW OUT Anywhere (v6) (log,
> out)
>
>
>
> ufw delete 2
> Удаление:
> allow out log 443/tcp
> Продолжить операцию (y|n)?
> Прервано
>
> _:~$ sudo ufw delete 1
> Удаление:
> allow out log 443/tcp
> Продолжить операцию (y|n)?
> Прервано
> _:~$ sudo ufw status numbered
> Состояние: активен
>
> В Действие Из
> - -------- --
> [ 1] 443/tcp ALLOW OUT Anywhere (log,
> out)
> [ 2] 443/tcp (v6) ALLOW OUT Anywhere (v6) (log,
> out)
>
>
> Также не понял: устанавливал буквально правила в gufw для протоколов http &
> https
> Но, как и ошибка так возникшие правила об портах.
> Браузер вроде смотрел не на этих портах у меня.
> Для удаления сделал так:
>
> sudo ufw reset
>
> В настойках так: sudo ufw default reject incoming
>
> В итоге, что хочу читать сверху, в этом вопрос.
> Возможно рассмотрение услуги - как настройка брандмауэра, как вариант.
> В этом тоже вопрос, кто может оказать услугу?
---------------------------------
еще
делал так, в процессе шнур интернета вытащил, браузер отвалился - TIME-WAIT
Не разу, не порты по умолчанию для браузера, там и другие, кроме 480хх.
~$ ss state all
172.217.21.138:https
tcp TIME-WAIT 0 0
10.х.х.х:480хх
_____________________
получается Динамически назначаемые номера портов, наверно браузер изначально
включает в посыл информации: что принимать будет - Динамически назначаемые
номера портов. Вопрос, мне это наверно не нужно, наверно это не безопасно.
в файла /etc/services (предназначений) портов нет и вопрос является или в какой
мере информация в файла /etc/services является предназначенной ?
от какой логики идти при настройке брандмауэра. ?
Так же не понимаю: по какой причине и в принципе, сказал бы кто, что написано:
Spoiler: Hide
~$ iptables --list
iptables v1.6.1: can't initialize iptables table `filter': Permission denied
(you must be root)
Perhaps iptables or your kernel needs to be upgraded.
~$ sudo iptables --list
[sudo] пароль для :
Chain INPUT (policy DROP)
target prot opt source destination
ufw-before-logging-input all -- anywhere anywhere
ufw-before-input all -- anywhere anywhere
ufw-after-input all -- anywhere anywhere
ufw-after-logging-input all -- anywhere anywhere
ufw-reject-input all -- anywhere anywhere
ufw-track-input all -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
ufw-before-logging-forward all -- anywhere anywhere
ufw-before-forward all -- anywhere anywhere
ufw-after-forward all -- anywhere anywhere
ufw-after-logging-forward all -- anywhere anywhere
ufw-reject-forward all -- anywhere anywhere
ufw-track-forward all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ufw-before-logging-output all -- anywhere anywhere
ufw-before-output all -- anywhere anywhere
ufw-after-output all -- anywhere anywhere
ufw-after-logging-output all -- anywhere anywhere
ufw-reject-output all -- anywhere anywhere
ufw-track-output all -- anywhere anywhere
Chain ufw-after-forward (1 references)
target prot opt source destination
Chain ufw-after-input (1 references)
target prot opt source destination
ufw-skip-to-policy-input udp -- anywhere anywhere
udp dpt:netbios-ns
ufw-skip-to-policy-input udp -- anywhere anywhere
udp dpt:netbios-dgm
ufw-skip-to-policy-input tcp -- anywhere anywhere
tcp dpt:netbios-ssn
ufw-skip-to-policy-input tcp -- anywhere anywhere
tcp dpt:microsoft-ds
ufw-skip-to-policy-input udp -- anywhere anywhere
udp dpt:bootps
ufw-skip-to-policy-input udp -- anywhere anywhere
udp dpt:bootpc
ufw-skip-to-policy-input all -- anywhere anywhere
ADDRTYPE match dst-type BROADCAST
Chain ufw-after-logging-forward (1 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min
burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min
burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-output (1 references)
target prot opt source destination
Chain ufw-after-output (1 references)
target prot opt source destination
Chain ufw-before-forward (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere ctstate
RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere icmp
destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp
parameter-problem
ACCEPT icmp -- anywhere anywhere icmp echo-request
ufw-user-forward all -- anywhere anywhere
Chain ufw-before-input (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate
RELATED,ESTABLISHED
ufw-logging-deny all -- anywhere anywhere ctstate
INVALID
DROP all -- anywhere anywhere ctstate INVALID
ACCEPT icmp -- anywhere anywhere icmp
destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp
parameter-problem
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT udp -- anywhere anywhere udp spt:bootps
dpt:bootpc
ufw-not-local all -- anywhere anywhere
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns
ACCEPT udp -- anywhere 239.255.255.250 udp dpt:1900
ufw-user-input all -- anywhere anywhere
Chain ufw-before-logging-forward (1 references)
target prot opt source destination
Chain ufw-before-logging-input (1 references)
target prot opt source destination
Chain ufw-before-logging-output (1 references)
target prot opt source destination
Chain ufw-before-output (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate
RELATED,ESTABLISHED
ufw-user-output all -- anywhere anywhere
Chain ufw-logging-allow (0 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min
burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
target prot opt source destination
RETURN all -- anywhere anywhere ctstate INVALID
limit: avg 3/min burst 10
LOG all -- anywhere anywhere limit: avg 3/min
burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-not-local (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere ADDRTYPE match
dst-type LOCAL
RETURN all -- anywhere anywhere ADDRTYPE match
dst-type MULTICAST
RETURN all -- anywhere anywhere ADDRTYPE match
dst-type BROADCAST
ufw-logging-deny all -- anywhere anywhere limit: avg
3/min burst 10
DROP all -- anywhere anywhere
Chain ufw-reject-forward (1 references)
target prot opt source destination
Chain ufw-reject-input (1 references)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with
icmp-port-unreachable
Chain ufw-reject-output (1 references)
target prot opt source destination
Chain ufw-skip-to-policy-forward (0 references)
target prot opt source destination
DROP all -- anywhere anywhere
Chain ufw-skip-to-policy-input (7 references)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with
icmp-port-unreachable
Chain ufw-skip-to-policy-output (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Chain ufw-track-forward (1 references)
target prot opt source destination
Chain ufw-track-input (1 references)
target prot opt source destination
Chain ufw-track-output (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere ctstate NEW
ACCEPT udp -- anywhere anywhere ctstate NEW
Chain ufw-user-forward (1 references)
target prot opt source destination
Chain ufw-user-input (1 references)
target prot opt source destination
Chain ufw-user-limit (0 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min
burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
REJECT all -- anywhere anywhere reject-with
icmp-port-unreachable
Chain ufw-user-limit-accept (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Chain ufw-user-logging-forward (0 references)
target prot opt source destination
Chain ufw-user-logging-input (0 references)
target prot opt source destination
Chain ufw-user-logging-output (0 references)
target prot opt source destination
Chain ufw-user-output (1 references)
target prot opt source
не понимаю, как получились:
Chain ufw-before-input (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate
RELATED,ESTABLISHED
ufw-logging-deny all -- anywhere anywhere ctstate
INVALID
DROP all -- anywhere anywhere ctstate INVALID
ACCEPT icmp -- anywhere anywhere icmp
destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp
parameter-problem
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT udp -- anywhere anywhere udp spt:bootps
dpt:bootpc
ufw-not-local all -- anywhere anywhere
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns
ACCEPT udp -- anywhere 239.255.255.250 udp dpt:1900
ufw-user-input all -- anywhere anywhere
и не только это. При sudo ufw default reject incoming
