Если вы не знаете, как работает TCP / IP, но все же хотите защитить свой компьютер, начните с использования gufw, а затем у вас есть интерфейс GUI на ufw:

sudo apt install gufw

затем перейдите к тире, если используете Unity, и введите gufw или перейдите в конфигурацию системного администратора Firewall, и появится следующий интерфейс:

gufw [ ! d6]

Когда вы начинаете, пробуйте и используйте только System и только общедоступные профили и используйте администрацию , если вы хотите что-то сделать между ними 2.

В профиле Public оставьте все открытым (= отключено), поскольку вы должны находиться за брандмауэром NAT (ваш маршрутизатор является брандмауэром NAT) уже так у себя дома есть не нужно ничего защищать.

В общедоступном профиле включите брандмауэр, щелкнув ползунок состояния и начните с использования правил отчета только в течение первых нескольких дней:

, а затем перейдите к терминалу и посмотрите, какие правила gufw созданы для вас в ufw:

sudo ufw status

Публичный список отображает все ваши текущие приложения и нажимает одну строку приложения и нажимает на + ниже, что позволит вам легко добавить правило для этого приложения. В основном этот экран представляет собой комбинацию netstat и ufw на одном экране.

И тогда станет очевидно, что вам не нужно добавлять дополнительные правила для блокировки входящих подключений, когда в общедоступной место: просто разрешите приложения, которые вам нужно активировать.

Чем больше вы используете gufw, тем больше вы смотрите на правила брандмауэра ufw, которые он создает, вы увидите, что через некоторое время вы 'просто используйте ufw и забудьте все о gufw для расширенных настроек.

Вы должны сбросить ufw на значения по умолчанию и начать заново:

sudo ufw reset

Это отключит ufw и сбросит ufw на его установки по умолчанию, что означает

- deny all incoming and - allow all outgoing connections.

Затем просто добавьте некоторые правила, чтобы разрешать входящие подключения для приложений, которые вы хотите использовать:

sudo ufw allow ssh sudo allow http

Теперь вы можете включить ufw

sudo ufw enable

Теперь ufw работает и настроен на запрет всех входящих соединений, кроме подключений к портам, необходимым для ssh и http. Исходные соединения всегда разрешены, и это обычно желательно.

Вам не нужно добавлять deny -рулей для входящих соединений, как в вашей конфигурации:

deny in on enp6s0 from any port 30:65535 proto tcp`

правило не требуется, входящие соединения запрещены по умолчанию.

Если вы хотите настроить исходящие соединения более ограничительными, вы можете добавить deny -rules, а не устанавливать исходящие соединения по умолчанию deny, он сохраняет правила проще, в основном вы хотите, чтобы исходящие подключения разрешались. Deny -правилы для исходящих соединений должны быть тщательно спроектированы.

sudo ufw deny out 6773

, например, отказал бы всем исходящим соединениям на порту 6773, любое приложение, которое должно было бы использовать этот порт, не сможет

Интерфейсы

Использование нескольких интерфейсов делает вещи немного более сложными. По умолчанию (deny in, allow out) применяются ко всем интерфейсам, а также правила, которые не указывают интерфейс, будут применяться ко всем интерфейсам. Вы хотите, чтобы ваши интерфейсы отличались друг от друга, поэтому вам нужно добавлять правила для каждого интерфейса.

Правила в приведенном выше разделе должны быть адаптированы к вашему внешнему интерфейсу (правила в вашем вопросе выглядят так) .

Исходящие соединения разрешены по умолчанию для всех интерфейсов, но не для входящих подключений, поэтому вам нужно только добавить allow in -руль для каждого внутреннего интерфейса:

sudo allow in on "interface" from any

Правила Порядок

Еще одна важная вещь - порядок правил. Когда пакет поступит в интерфейс, ufw проверит правила один за другим. Всякий раз, когда правило соответствует правилу, будет применено и пакет отклонен, отклонен или разрешен. Остальные правила, которые не были проверены в этот момент, не используются тогда. В вашем случае я не вижу большой значимости порядка правил, но мы всегда должны напоминать, что порядок правил может иметь значение.

Если вы не знаете, как работает TCP / IP, но все же хотите защитить свой компьютер, начните с использования gufw, а затем у вас есть интерфейс GUI на ufw:

sudo apt install gufw

затем перейдите к тире, если используете Unity, и введите gufw или перейдите в конфигурацию системного администратора Firewall, и появится следующий интерфейс:

gufw [ ! d6]

Когда вы начинаете, пробуйте и используйте только System и только общедоступные профили и используйте администрацию , если вы хотите что-то сделать между ними 2.

В профиле Public оставьте все открытым (= отключено), поскольку вы должны находиться за брандмауэром NAT (ваш маршрутизатор является брандмауэром NAT) уже так у себя дома есть не нужно ничего защищать.

В общедоступном профиле включите брандмауэр, щелкнув ползунок состояния и начните с использования правил отчета только в течение первых нескольких дней:

, а затем перейдите к терминалу и посмотрите, какие правила gufw созданы для вас в ufw:

sudo ufw status

Публичный список отображает все ваши текущие приложения и нажимает одну строку приложения и нажимает на + ниже, что позволит вам легко добавить правило для этого приложения. В основном этот экран представляет собой комбинацию netstat и ufw на одном экране.

И тогда станет очевидно, что вам не нужно добавлять дополнительные правила для блокировки входящих подключений, когда в общедоступной место: просто разрешите приложения, которые вам нужно активировать.

Чем больше вы используете gufw, тем больше вы смотрите на правила брандмауэра ufw, которые он создает, вы увидите, что через некоторое время вы 'просто используйте ufw и забудьте все о gufw для расширенных настроек.

Вы должны сбросить ufw на значения по умолчанию и начать заново:

sudo ufw reset

Это отключит ufw и сбросит ufw на его установки по умолчанию, что означает

- deny all incoming and - allow all outgoing connections.

Затем просто добавьте некоторые правила, чтобы разрешать входящие подключения для приложений, которые вы хотите использовать:

sudo ufw allow ssh sudo allow http

Теперь вы можете включить ufw

sudo ufw enable

Теперь ufw работает и настроен на запрет всех входящих соединений, кроме подключений к портам, необходимым для ssh и http. Исходные соединения всегда разрешены, и это обычно желательно.

Вам не нужно добавлять deny -рулей для входящих соединений, как в вашей конфигурации:

deny in on enp6s0 from any port 30:65535 proto tcp`

правило не требуется, входящие соединения запрещены по умолчанию.

Если вы хотите настроить исходящие соединения более ограничительными, вы можете добавить deny -rules, а не устанавливать исходящие соединения по умолчанию deny, он сохраняет правила проще, в основном вы хотите, чтобы исходящие подключения разрешались. Deny -правилы для исходящих соединений должны быть тщательно спроектированы.

sudo ufw deny out 6773

, например, отказал бы всем исходящим соединениям на порту 6773, любое приложение, которое должно было бы использовать этот порт, не сможет

Интерфейсы

Использование нескольких интерфейсов делает вещи немного более сложными. По умолчанию (deny in, allow out) применяются ко всем интерфейсам, а также правила, которые не указывают интерфейс, будут применяться ко всем интерфейсам. Вы хотите, чтобы ваши интерфейсы отличались друг от друга, поэтому вам нужно добавлять правила для каждого интерфейса.

Правила в приведенном выше разделе должны быть адаптированы к вашему внешнему интерфейсу (правила в вашем вопросе выглядят так) .

Исходящие соединения разрешены по умолчанию для всех интерфейсов, но не для входящих подключений, поэтому вам нужно только добавить allow in -руль для каждого внутреннего интерфейса:

sudo allow in on "interface" from any

Правила Порядок

Еще одна важная вещь - порядок правил. Когда пакет поступит в интерфейс, ufw проверит правила один за другим. Всякий раз, когда правило соответствует правилу, будет применено и пакет отклонен, отклонен или разрешен. Остальные правила, которые не были проверены в этот момент, не используются тогда. В вашем случае я не вижу большой значимости порядка правил, но мы всегда должны напоминать, что порядок правил может иметь значение.