Чтение этот ответ о включении UFW , я понимаю, что компьютер без брандмауэра может быть безопасным в моей локальной сети, но такая же безопасная конфигурация на ноутбуке, используемом вне моей локальной сети, может быть рискованной.
Поскольку ufw установлен по умолчанию, я хотел бы включить его и настроить для моей «базовой конфигурации настольного компьютера / ноутбука».
Под «базовой конфигурацией настольного компьютера / ноутбука» я подразумеваю, что мой компьютер используется для:
Основной Настольный брандмауэр собирается отклонить входящий и позволить исходящую 'торговлю' основной установкой. По существу, в то время как Windows может включить основанную на приложении фильтрацию, это - значение по умолчанию rulesets, должны разрешить исходящий и отклонение, входящее кроме того, где исходящий трафик получает ответ. Это - типичная "настольная" установка брандмауэра, обычно наблюдаемая в дикой природе на рабочих столах типичного конечного пользователя.
(Идеально, Вы используете ufw
для простоты, но действительно полезного ruleset будет использовать чистый iptables
вместо этого.)
ufw
путь. И вероятно самое основное, но эффективное ufw
установка для Настольного компьютера, которому не нужны никакие специальные входящие соединения или специальные ограничения, идущие исходящий:
В теории Вы захотите отклонить входящий трафик и исходящее разрешение, и позволить входящий трафик, связанный с Вашими действиями, идущими исходящий. ufw
в значительной степени делает это по умолчанию.
Обратите внимание, что у меня нет никого дополнительным allow
правила здесь. Вам не нужно, любой дополнительный позволяет правила - ufw
по умолчанию делает что мой вручную установленный iptables
набор ниже делает - он принимает входящий трафик, связанный с установленным исходящим соединением, таким образом, соединения веб-браузера и почтовые клиенты, которые инициализируют их исходящую связь в высоких номерах портов, которые являются 'диапазоном случайных портов', будут работать, и Вы не должны будете принимать http (80)
, https (443)
, и т.д. трафик в их портах въезжает задним ходом, потому что он уже прозрачно обрабатывается. Добавить дополнительный ALLOW IN
правила как ответ Boris делают только открывает типичного настольного пользователя для ненужных соединений на тех портах, в которых не был бы нужен Рабочий стол.
(1) Включите UFW
Включить ufw
правила
ufw enable
Это должно действительно быть всем, для чего необходимо сделать ufw
. Но, можно продвинуться, если Вы хотите.
(2) Отклоните входящий трафик
Вполне уверенный это - значение по умолчанию, но удостоверяться, выполнять это для проверки оно отклоняет входящий трафик по умолчанию (за исключением того, что связанный с выходом, таким как материал веб-браузера):
ufw default deny incoming
(3) Разрешите исходящий трафик
Это должно также быть значением по умолчанию, но выполнить его и удостовериться, что исходящий трафик позволяется:
ufw default allow outgoing
Это должно быть всем, что необходимо сделать!
(Я определю, проверяют это позже сегодня),
И затем, существует мой путь, с iptables
и ручное управление netfilter
/iptables
правила вместо ufw
(который делает это тихо),
Из того, что я могу сказать, ufw
имеет значение по умолчанию ruleset, и это должно быть всем, в чем Вы нуждаетесь для типичного рабочего стола.
Однако я предпочитаю iptables
приблизьтесь, потому что я знаю iptables
вполне прилично до сих пор, и потому что я люблю вручную настраивать свой брандмауэр, а не позволяю ufw
или случайный брандмауэр управляет сборкой программного обеспечения мои правила для меня.
Это - мой ruleset для iptables
(НЕТ ufw
) на моих основных рабочих столах без других вещей, слушающих, и, не блокируется вниз как мой персональный портативный компьютер. Это также достигает в значительной степени почти точно того же самого, которое делает материал UFW:
iptables -A INPUT -i lo -j ACCEPT
- Должен позволить localhost, нет?
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED
- Уже позвольте установленному трафику заканчивать входить. Позвольте трафик, связанный с исходящей связью через.
iptables -A INPUT -p icmp -j ACCEPT
- Позвольте пакетам ICMP войти (ping, и т.д.). Вам не нужно это, но у Вас может быть он, если Вы хотите это.
iptables -A INPUT -j REJECT --reject-with icmp-host-unreachable
- Это отклоняет все остальное прибывающее к компьютеру.
Системное значение по умолчанию для iptables
без правил ufw или любых других включенных правил, "ПРИНИМАЮТ" для ВХОДА, ПРОИЗВОДЯТ, и ВПЕРЕД. Таким образом, я вручную добавляю 'Отклонение весь другой трафик' правило там в конце сам.
(Обратите внимание, что это почти точно, что производит IPtables HowTo на страницах справки Ubuntu. Плюс некоторые незначительные незначительные тонкие настройки)