Как заблокировать все кроме http (s) и DNS в iptables?

Question 1

Я хочу установить брандмауэр на своей машине Ubuntu, конкретно заблокировать все в и кроме портов 80/443 для просмотра, и 53 для разрешения DNS, я попробовал только никакой результат.

Теперь я использую UFW который легко установить, но я не уверен, безопасно ли это как iptables.
Кто-то может ответить мне, как заблокировать каждый порт кроме необходимых?

Question 2

Поскольку необходимо знать, ufw самостоятельно так или иначе фронтенд для iptables, это - программа для управления netfilter брандмауэром.

Если Вы не действительно хороши в использовании iptables Я настоятельно рекомендую использовать ufw вместо этого. можно даже использовать gufw, графический интерфейс для использования ufw еще легче, чем он, уже.

`ufw` безопасный?

Я могу уверить Вас это при помощи ufw Вы в безопасности, потому что это - то же самое с большим количеством предопределенных и надежных правил защитить Вашу машину.

По умолчанию это, позволяют исходящие соединения, и отклоняет входящие, таким образом, например, никто не может ssh в Вашу машину.

Позволяет взглянули вокруг:

Сначала удостоверьтесь ufw отключен:

sudo ufw disable

Теперь позволяет, удаляют все iptables цепочки и правила:

sudo iptables -F
sudo iptables -X

И используйте iptables -L иметь взгляд на значение по умолчанию iptables цепочки и правила, которые должны быть тремя цепочками и все они принимают все.

позволяет включают ufw:

sudo ufw enable

Теперь, если Вы взглянули на iptables использование правил iptables -L, Вы будете видеть, что много правил было установлено ufw защищать Вас, на которых они достаточно хороши к реле.

Кроме того, если Вы работаете: sudo ufw status verbose, Вы получите простой вывод, который говорит Вам, что продолжается:

Status: active
Logging: off
Default: deny (incoming), allow (outgoing), disabled (routed)

Как заблокировать все кроме http (s) и DNS с помощью iptables?

Если Вы настаиваете для использования iptables, сначала отключите ufw затем удалите все использование цепочек и правил -F и -X переключатели.

sudo ufw disable
sudo iptables -F
sudo iptables -X

Политика:
Затем мы должны установить политики. политики являются поведением по умолчанию, когда пакет не соответствует ни к каким правилам, которые определенный, эти политики будут применены на них:

sudo iptables -P DROP INPUT
sudo iptables -P DROP OUTPUT
sudo iptables -P DROP FORWARD

Затем позволить исходящий DNS:

sudo iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

И позволить исходить http (s):

sudo iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

Наконец, мы собираемся только позволить связанный и установленный входящий трафик:

sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Ravexina · Accepted Answer · 3 November 2019 в 10:55

Поскольку необходимо знать, ufw самостоятельно так или иначе фронтенд для iptables, это - программа для управления netfilter брандмауэром.

Если Вы не действительно хороши в использовании iptables Я настоятельно рекомендую использовать ufw вместо этого. можно даже использовать gufw, графический интерфейс для использования ufw еще легче, чем он, уже.

`ufw` безопасный?

Я могу уверить Вас это при помощи ufw Вы в безопасности, потому что это - то же самое с большим количеством предопределенных и надежных правил защитить Вашу машину.

По умолчанию это, позволяют исходящие соединения, и отклоняет входящие, таким образом, например, никто не может ssh в Вашу машину.

Позволяет взглянули вокруг:

Сначала удостоверьтесь ufw отключен:

sudo ufw disable

Теперь позволяет, удаляют все iptables цепочки и правила:

sudo iptables -F
sudo iptables -X

И используйте iptables -L иметь взгляд на значение по умолчанию iptables цепочки и правила, которые должны быть тремя цепочками и все они принимают все.

позволяет включают ufw:

sudo ufw enable

Теперь, если Вы взглянули на iptables использование правил iptables -L, Вы будете видеть, что много правил было установлено ufw защищать Вас, на которых они достаточно хороши к реле.

Кроме того, если Вы работаете: sudo ufw status verbose, Вы получите простой вывод, который говорит Вам, что продолжается:

Status: active
Logging: off
Default: deny (incoming), allow (outgoing), disabled (routed)

Как заблокировать все кроме http (s) и DNS с помощью iptables?

Если Вы настаиваете для использования iptables, сначала отключите ufw затем удалите все использование цепочек и правил -F и -X переключатели.

sudo ufw disable
sudo iptables -F
sudo iptables -X

Политика:
Затем мы должны установить политики. политики являются поведением по умолчанию, когда пакет не соответствует ни к каким правилам, которые определенный, эти политики будут применены на них:

sudo iptables -P DROP INPUT
sudo iptables -P DROP OUTPUT
sudo iptables -P DROP FORWARD

Затем позволить исходящий DNS:

sudo iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

И позволить исходить http (s):

sudo iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

Наконец, мы собираемся только позволить связанный и установленный входящий трафик:

sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Как заблокировать все кроме http (s) и DNS в iptables?

1 ответ

`ufw` безопасный?

Как заблокировать все кроме http (s) и DNS с помощью iptables?

Другие вопросы по тегам:

Похожие вопросы:

Как заблокировать все кроме http (s) и DNS в iptables?

1 ответ

ufw безопасный?

Как заблокировать все кроме http (s) и DNS с помощью iptables?

Другие вопросы по тегам:

Похожие вопросы:

`ufw` безопасный?