Как настроить UFW для базового настольного компьютера / ноутбука? [закрыто]

Question 1

Чтение этот ответ о включении UFW , я понимаю, что компьютер без брандмауэра может быть безопасным в моей локальной сети, но такая же безопасная конфигурация на ноутбуке, используемом вне моей локальной сети, может быть рискованной.

Поскольку ufw установлен по умолчанию, я хотел бы включить его и настроить для моей «базовой конфигурации настольного компьютера / ноутбука».

Под «базовой конфигурацией настольного компьютера / ноутбука» я подразумеваю, что мой компьютер используется для:

использования Firefox
чтения электронной почты на Thundurbird
связи с Skype
играть в игры в Steam и Minecraft для моих детей
совместно использовать документы из моей локальной сети NFS

Question 2

Основной Настольный брандмауэр собирается отклонить входящий и позволить исходящую 'торговлю' основной установкой. По существу, в то время как Windows может включить основанную на приложении фильтрацию, это - значение по умолчанию rulesets, должны разрешить исходящий и отклонение, входящее кроме того, где исходящий трафик получает ответ. Это - типичная "настольная" установка брандмауэра, обычно наблюдаемая в дикой природе на рабочих столах типичного конечного пользователя.

(Идеально, Вы используете ufw для простоты, но действительно полезного ruleset будет использовать чистый iptables вместо этого.)

ufw путь. И вероятно самое основное, но эффективное ufw установка для Настольного компьютера, которому не нужны никакие специальные входящие соединения или специальные ограничения, идущие исходящий:

В теории Вы захотите отклонить входящий трафик и исходящее разрешение, и позволить входящий трафик, связанный с Вашими действиями, идущими исходящий. ufw в значительной степени делает это по умолчанию.

_{Обратите внимание, что у меня нет никого дополнительным allow правила здесь. Вам не нужно, любой дополнительный позволяет правила - ufw по умолчанию делает что мой вручную установленный iptables набор ниже делает - он принимает входящий трафик, связанный с установленным исходящим соединением, таким образом, соединения веб-браузера и почтовые клиенты, которые инициализируют их исходящую связь в высоких номерах портов, которые являются 'диапазоном случайных портов', будут работать, и Вы не должны будете принимать http (80), https (443), и т.д. трафик в их портах въезжает задним ходом, потому что он уже прозрачно обрабатывается. Добавить дополнительный ALLOW IN правила как ответ Boris делают только открывает типичного настольного пользователя для ненужных соединений на тех портах, в которых не был бы нужен Рабочий стол.}

(1) Включите UFW

Включить ufw правила

ufw enable

Это должно действительно быть всем, для чего необходимо сделать ufw. Но, можно продвинуться, если Вы хотите.

(2) Отклоните входящий трафик

Вполне уверенный это - значение по умолчанию, но удостоверяться, выполнять это для проверки оно отклоняет входящий трафик по умолчанию (за исключением того, что связанный с выходом, таким как материал веб-браузера):

ufw default deny incoming

(3) Разрешите исходящий трафик

Это должно также быть значением по умолчанию, но выполнить его и удостовериться, что исходящий трафик позволяется:

ufw default allow outgoing

Это должно быть всем, что необходимо сделать!

(Я определю, проверяют это позже сегодня),

И затем, существует мой путь, с iptables и ручное управление netfilter/iptables правила вместо ufw (который делает это тихо),

Из того, что я могу сказать, ufw имеет значение по умолчанию ruleset, и это должно быть всем, в чем Вы нуждаетесь для типичного рабочего стола.

Однако я предпочитаю iptables приблизьтесь, потому что я знаю iptables вполне прилично до сих пор, и потому что я люблю вручную настраивать свой брандмауэр, а не позволяю ufw или случайный брандмауэр управляет сборкой программного обеспечения мои правила для меня.

Это - мой ruleset для iptables (НЕТ ufw) на моих основных рабочих столах без других вещей, слушающих, и, не блокируется вниз как мой персональный портативный компьютер. Это также достигает в значительной степени почти точно того же самого, которое делает материал UFW:

iptables -A INPUT -i lo -j ACCEPT - Должен позволить localhost, нет?

iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED - Уже позвольте установленному трафику заканчивать входить. Позвольте трафик, связанный с исходящей связью через.

iptables -A INPUT -p icmp -j ACCEPT - Позвольте пакетам ICMP войти (ping, и т.д.). Вам не нужно это, но у Вас может быть он, если Вы хотите это.

iptables -A INPUT -j REJECT --reject-with icmp-host-unreachable - Это отклоняет все остальное прибывающее к компьютеру.

Системное значение по умолчанию для iptables без правил ufw или любых других включенных правил, "ПРИНИМАЮТ" для ВХОДА, ПРОИЗВОДЯТ, и ВПЕРЕД. Таким образом, я вручную добавляю 'Отклонение весь другой трафик' правило там в конце сам.

(Обратите внимание, что это почти точно, что производит IPtables HowTo на страницах справки Ubuntu. Плюс некоторые незначительные незначительные тонкие настройки)

Community · Accepted Answer · 2 December 2019 в 01:37

Основной Настольный брандмауэр собирается отклонить входящий и позволить исходящую 'торговлю' основной установкой. По существу, в то время как Windows может включить основанную на приложении фильтрацию, это - значение по умолчанию rulesets, должны разрешить исходящий и отклонение, входящее кроме того, где исходящий трафик получает ответ. Это - типичная "настольная" установка брандмауэра, обычно наблюдаемая в дикой природе на рабочих столах типичного конечного пользователя.

(Идеально, Вы используете ufw для простоты, но действительно полезного ruleset будет использовать чистый iptables вместо этого.)

ufw путь. И вероятно самое основное, но эффективное ufw установка для Настольного компьютера, которому не нужны никакие специальные входящие соединения или специальные ограничения, идущие исходящий:

В теории Вы захотите отклонить входящий трафик и исходящее разрешение, и позволить входящий трафик, связанный с Вашими действиями, идущими исходящий. ufw в значительной степени делает это по умолчанию.

_{Обратите внимание, что у меня нет никого дополнительным allow правила здесь. Вам не нужно, любой дополнительный позволяет правила - ufw по умолчанию делает что мой вручную установленный iptables набор ниже делает - он принимает входящий трафик, связанный с установленным исходящим соединением, таким образом, соединения веб-браузера и почтовые клиенты, которые инициализируют их исходящую связь в высоких номерах портов, которые являются 'диапазоном случайных портов', будут работать, и Вы не должны будете принимать http (80), https (443), и т.д. трафик в их портах въезжает задним ходом, потому что он уже прозрачно обрабатывается. Добавить дополнительный ALLOW IN правила как ответ Boris делают только открывает типичного настольного пользователя для ненужных соединений на тех портах, в которых не был бы нужен Рабочий стол.}

(1) Включите UFW

Включить ufw правила

ufw enable

Это должно действительно быть всем, для чего необходимо сделать ufw. Но, можно продвинуться, если Вы хотите.

(2) Отклоните входящий трафик

Вполне уверенный это - значение по умолчанию, но удостоверяться, выполнять это для проверки оно отклоняет входящий трафик по умолчанию (за исключением того, что связанный с выходом, таким как материал веб-браузера):

ufw default deny incoming

(3) Разрешите исходящий трафик

Это должно также быть значением по умолчанию, но выполнить его и удостовериться, что исходящий трафик позволяется:

ufw default allow outgoing