Re: Настройка межсетевой экран / файрвол / брандмауэр ufw, iptables, gufw
Dmitry Alexandrov -> L. Gogolev @ Sat, 21 Mar 2020 19:48:54 +0300: >>> А теперь уже везде nft(8) >> >> версии стабильные есть? > Ну если именно он идет из коробки в стабильном (десятом) Дебиане, то > наверное да. Пакет ставить надо. И как показала практика, рановато им ещё пользоваться. Управляющая утилита (собственно nft) на сложных задачах падает по нехватке памяти. Это я в нее списочек адресов из-под РКН попытался засунуть. Даже близко не. iptables + ipset в той же позе работает как часы. Плюс к этому ipset позволяет провести проверку на попадание адреса в набор из командной строки, а nft - нет.
Re: Настройка межсетевой экран / файрвол / брандмауэр ufw, iptables, gufw
"L. Gogolev" wrote: > суббота, 21 марта 2020 г., 17:20:02 UTC+3 пользователь Dmitry Alexandrov > написал: >> А теперь уже везде nft(8) > > версии стабильные есть? Ну если именно он идет из коробки в стабильном (десятом) Дебиане, то наверное да. signature.asc Description: PGP signature
Re: Настройка межсетевой экран / файрвол / брандмауэр ufw, iptables, gufw
суббота, 21 марта 2020 г., 17:20:02 UTC+3 пользователь Dmitry Alexandrov написал: > И вдогонку: вы вообще напрасно связались с UFW. Это же, кажется, не более > чем приблуда для превращения казавшегося многим неудобного языка iptables(8) > в нечто iproute2-подобное. А теперь уже везде nft(8), который и так > iproute2-подобный. Посмотрел, может ошибаюсь. "А теперь уже везде nft(8)"- версии стабильные есть? Для gufw в ниспадающем меню для протоколов и http /ps разные строчки. Так на это и ориентировался. Времени нет, рассматриваю оказание услуги, платной.
Re: Настройка межсетевой экран / файрвол / брандмауэр ufw, iptables, gufw
суббота, 21 марта 2020 г., 16:50:02 UTC+3 пользователь Dmitry Alexandrov написал: > "L. Gogolev" wrote: > > Скажите как настроить фаервол. Если, хотелось бы. Все запретить, разрешить > > только браузер и обновления. > > С какой вам это целью? Так или иначе, разрешить «только [некий] браузер или > обновления» — это не совсем файерволл, а скорее мандатный контроль, типа > Apparmorʼа. > > > Но смотрю, посредством $ ss state all, много чего есть. > > Но нам не покажете? Вас там собственно, могут интересовать только слушающие > процессы: > > # netstat -tulnp > > > внутренние сокеты, ... при такой логике ... перестанут работать. Да и > > вопрос, как разобрать сокеты внутренние и для работы с провайдером. > > «Внутренние» — это внутри одной машинки? Они работают по интерфейсу т. н. > «обратной петли» (lo), и ее надо разрешить в первую голову. > > Или внутри локальной сети? Тогда по подсетям. Скорее всего у вас: > — 192.168.0.0/16 # DHCPv4, или не эта, проверьте > — 169.254.0.0/16 # link-local v4 > — fe80::/10 # link-local v6 > —# DHCPv6, вероятно, нет > — 224.0.0.0/24 # мультикаст v4 > — > ff02::/16,ff12::/16,ff22::/16,ff32::/16,ff42::/16,ff52::/16,ff62::/16,ff72::/16 > # мультикаст v6 > > > Стал устанавливать gufw: > > > > (gufw.py:3320): dbind-WARNING **: 15:46:44.448: Error retrieving > > accessibility bus address: org.freedesktop.DBus.Error.ServiceUnknown: The > > name org.a11y.Bus was not provided by any .service files > > Перевожу: у вас нет средств для слепых. > > > Стал настраивать правила: > > > > Ошибка выполнения: /usr/sbin/ufw allow out proto tcp from any to any port > > 80 > Skipping adding existing rule | Skipping adding existing rule (v6) | > > Емнип, UFW идет с комплектом правил из коробки. > > > Также не понял: устанавливал буквально правила в gufw для протоколов http & > > https > > Но, как и ошибка так возникшие правила об портах. > > В контексте файерволла http и https — могут быть только мнемониками портов: > 80 и 443 соответственно, а не протоколами. > > > Браузер вроде смотрел не на этих портах у меня. > > Если у вас браузер что-то слушает (listen) извне, то это какой-то > неправильный браузер. > > > Возможно рассмотрение услуги - как настройка брандмауэра, как вариант. > > В этом тоже вопрос, кто может оказать услугу? > > Те, кто захотят получить с вас немного денег. Здесь же вам скорее честно > скажут, что вы занимаетесь какой-то фигней. ;-) Не настаиваю, не являюсь специалистом, но: " Это означает, что доменные сокеты могут быть использованы как объектно-возможностная коммуникационная система. " -https://ru.wikipedia.org/wiki/%D0%A1%D0%BE%D0%BA%D0%B5%D1%82_%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD%D0%B0_Unix Цель личная, остальное тоже сути не меняет.
Re: Настройка межсетевой экран / файрвол / брандмауэр ufw, iptables, gufw
И вдогонку: вы вообще напрасно связались с UFW. Это же, кажется, не более чем приблуда для превращения казавшегося многим неудобного языка iptables(8) в нечто iproute2-подобное. А теперь уже везде nft(8), который и так iproute2-подобный. signature.asc Description: PGP signature
Re: Настройка межсетевой экран / файрвол / брандмауэр ufw, iptables, gufw
"L. Gogolev" wrote: > Скажите как настроить фаервол. Если, хотелось бы. Все запретить, разрешить > только браузер и обновления. С какой вам это целью? Так или иначе, разрешить «только [некий] браузер или обновления» — это не совсем файерволл, а скорее мандатный контроль, типа Apparmorʼа. > Но смотрю, посредством $ ss state all, много чего есть. Но нам не покажете? Вас там собственно, могут интересовать только слушающие процессы: # netstat -tulnp > внутренние сокеты, ... при такой логике ... перестанут работать. Да и вопрос, > как разобрать сокеты внутренние и для работы с провайдером. «Внутренние» — это внутри одной машинки? Они работают по интерфейсу т. н. «обратной петли» (lo), и ее надо разрешить в первую голову. Или внутри локальной сети? Тогда по подсетям. Скорее всего у вас: — 192.168.0.0/16 # DHCPv4, или не эта, проверьте — 169.254.0.0/16 # link-local v4 — fe80::/10 # link-local v6 —# DHCPv6, вероятно, нет — 224.0.0.0/24 # мультикаст v4 — ff02::/16,ff12::/16,ff22::/16,ff32::/16,ff42::/16,ff52::/16,ff62::/16,ff72::/16 # мультикаст v6 > Стал устанавливать gufw: > > (gufw.py:3320): dbind-WARNING **: 15:46:44.448: Error retrieving > accessibility bus address: org.freedesktop.DBus.Error.ServiceUnknown: The > name org.a11y.Bus was not provided by any .service files Перевожу: у вас нет средств для слепых. > Стал настраивать правила: > > Ошибка выполнения: /usr/sbin/ufw allow out proto tcp from any to any port 80 > > Skipping adding existing rule | Skipping adding existing rule (v6) | Емнип, UFW идет с комплектом правил из коробки. > Также не понял: устанавливал буквально правила в gufw для протоколов http & > https > Но, как и ошибка так возникшие правила об портах. В контексте файерволла http и https — могут быть только мнемониками портов: 80 и 443 соответственно, а не протоколами. > Браузер вроде смотрел не на этих портах у меня. Если у вас браузер что-то слушает (listen) извне, то это какой-то неправильный браузер. > Возможно рассмотрение услуги - как настройка брандмауэра, как вариант. > В этом тоже вопрос, кто может оказать услугу? Те, кто захотят получить с вас немного денег. Здесь же вам скорее честно скажут, что вы занимаетесь какой-то фигней. ;-) signature.asc Description: PGP signature
Настройка межсетевой экран / файрвол / брандмауэр ufw, iptables, gufw
Здравствуйте. Скажите как настроить фаервол. Если, хотелось бы. Все запретить, разрешить только браузер и обновления. Но смотрю, посредством $ ss state all , много чего есть. Наверно внутренние сокеты, которые вероятно при такой логике, от желания, перестанут работать. Да и вопрос, как разобрать сокеты внутренние и для работы с провайдером. Если реализация соединения провайдера интернета предполагает, смотрю соединение с моего адреса 10._._._. Стал устанавливать gufw: (gufw.py:3320): dbind-WARNING **: 15:46:44.448: Error retrieving accessibility bus address: org.freedesktop.DBus.Error.ServiceUnknown: The name org.a11y.Bus was not provided by any .service files (WebKitWebProcess:3346): dbind-WARNING **: 15:46:45.594: Error retrieving accessibility bus address: org.freedesktop.DBus.Error.ServiceUnknown: The name org.a11y.Bus was not provided by any .service files ((gufw.py:3320): dbind-WARNING **: 15: 46: 44.448: Ошибка при получении адреса шины доступности: org.freedesktop.DBus.Error.ServiceUnknown: Имя org.a11y.Bus не было предоставлено никакой службой .service файлы (WebKitWebProcess: 3346): dbind-WARNING **: 15: 46: 45.594: Ошибка при получении адреса шины доступности: org.freedesktop.DBus.Error.ServiceUnknown: Имя org.a11y.Bus не было предоставлено никакими файлами .service ) Стал настраивать правила: Ошибка выполнения: /usr/sbin/ufw allow out proto tcp from any to any port 80 > Skipping adding existing rule | Skipping adding existing rule (v6) | ( Ошибка выполнения: / usr / sbin / ufw разрешает протокольный tcp с любого на любой порт 80> Пропуск добавления существующего правила | Пропуск добавления существующего правила (v6) |) тем неимение правило установилось: sudo ufw status verbose Состояние: активен Журналирование: on (full) По умолчанию: deny (входящие), allow (исходящие), disabled (маршрутизированные) Новые профили: skip В ДействиеИз - -- 80/tcp ALLOW INAnywhere 80/tcp (v6)ALLOW INAnywhere (v6) 8080/tcp ALLOW OUT Anywhere 443/tcpALLOW OUT Anywhere (log) 80/tcp ALLOW OUT Anywhere 8080/tcp (v6) ALLOW OUT Anywhere (v6) 443/tcp (v6) ALLOW OUT Anywhere (v6) (log) 80/tcp (v6)ALLOW OUT Anywhere (v6) стал удалять правила методы: sudo ufw delete 2 ufw delete allow out 80/tcp не удаляется 443 - :~$ sudo ufw status numbered Состояние: активен В ДействиеИз - -- [ 1] 443/tcpALLOW OUT Anywhere (log, out) [ 2] 443/tcp (v6) ALLOW OUT Anywhere (v6) (log, out) ufw delete 2 Удаление: allow out log 443/tcp Продолжить операцию (y|n)? Прервано _:~$ sudo ufw delete 1 Удаление: allow out log 443/tcp Продолжить операцию (y|n)? Прервано _:~$ sudo ufw status numbered Состояние: активен В ДействиеИз - -- [ 1] 443/tcpALLOW OUT Anywhere (log, out) [ 2] 443/tcp (v6) ALLOW OUT Anywhere (v6) (log, out) Также не понял: устанавливал буквально правила в gufw для протоколов http & https Но, как и ошибка так возникшие правила об портах. Браузер вроде смотрел не на этих портах у меня. Для удаления сделал так: sudo ufw reset В настойках так: sudo ufw default reject incoming В итоге, что хочу читать сверху, в этом вопрос. Возможно рассмотрение услуги - как настройка брандмауэра, как вариант. В этом тоже вопрос, кто может оказать услугу?
