Я установил утилиту брандмауэра gufw и хочу создать белый список портов (хочу максимальной безопасности, но белый список одиночных IP-адресов в настоящее время слишком утомителен). До сих пор я только вводил порты 53 (для DNS), 80 (для HTTP) и 443 (для HTTPS), как входящие, так и исходящие, в белый список и закрывал брандмауэр, но Ubuntu Software Center может устанавливать программы без помех, тогда как брандмауэр определенно работает (содержимое www не будет загружаться, если в списке нет записей).
Использует ли какой-либо из этих портов для передачи данных программы? Кажется странным для меня Или в Ubuntu есть предопределенное исключение (это новая настройка, 12.04)? Что, вероятно, здесь имеет место, и какой порт Центр программного обеспечения использует для данных программы (я предполагаю, что он использует HTTP для интерфейса и записей списка, но сами программы?)?
TLDR:
Почему Ubuntu Software Center проходит через мой брандмауэр, который блокирует все, кроме DNS / HTTP / HTTPS (через блокировку всех других портов), так что он может установить программы?
Какой порт он использует для передачи данных программы?
Если вы заблокируете все, кроме ssh, и запустите apt-get update, он вернет как IP-адреса, так и порты:
Err:2 http://archive.canonical.com/ubuntu xenial InRelease
Could not connect to archive.canonical.com:80 (91.189.92.191). - connect (111: Connection refused) [IP: 91.189.92.191 80]
Err:3 http://us-east1.gce.archive.ubuntu.com/ubuntu xenial InRelease
Could not connect to us-east1.gce.archive.ubuntu.com:80 (35.196.129.83). - connect (111: Connection refused) [IP: 35.196.129.83 80]
Err:4 http://us-east1.gce.archive.ubuntu.com/ubuntu xenial-updates InRelease
Unable to connect to us-east1.gce.archive.ubuntu.com:http: [IP: 35.196.129.83 80]
Err:5 http://us-east1.gce.archive.ubuntu.com/ubuntu xenial-backports InRelease
Unable to connect to us-east1.gce.archive.ubuntu.com:http: [IP: 35.196.129.83 80]
Err:6 http://security.ubuntu.com/ubuntu xenial-security InRelease
Could not connect to security.ubuntu.com:80 (91.189.88.162). - connect (111: Connection refused) [IP: 91.189.88.162 80]
Reading package lists...
Может быть, лучше, если вы тестируете на реальной консоли, а не на удаленном терминале. Отключите кабель локальной сети и запустите apt update, затем проверьте возвращенные ошибки.
Вот что я узнал, запустив Wireshark при установке одного приложения с помощью Ubuntu Software Center:
reviews.ubuntu.com
myapps.developer.ubuntu.com
software-center.ubuntu.com
sudo apt-get update
без ошибок, все готово. Примечание: я не нашел HTTPS-трафика. Однако это может иметь место для частных PPA (используемых для коммерческого программного обеспечения).