Я хочу установить брандмауэр на своей машине Ubuntu, конкретно заблокировать все в и кроме портов 80/443 для просмотра, и 53 для разрешения DNS, я попробовал только никакой результат.
Теперь я использую UFW
который легко установить, но я не уверен, безопасно ли это как iptables
.
Кто-то может ответить мне, как заблокировать каждый порт кроме необходимых?
Поскольку необходимо знать, ufw
самостоятельно так или иначе фронтенд для iptables
, это - программа для управления netfilter брандмауэром.
Если Вы не действительно хороши в использовании iptables
Я настоятельно рекомендую использовать ufw
вместо этого. можно даже использовать gufw
, графический интерфейс для использования ufw
еще легче, чем он, уже.
ufw
безопасный?Я могу уверить Вас это при помощи ufw
Вы в безопасности, потому что это - то же самое с большим количеством предопределенных и надежных правил защитить Вашу машину.
По умолчанию это, позволяют исходящие соединения, и отклоняет входящие, таким образом, например, никто не может ssh
в Вашу машину.
Позволяет взглянули вокруг:
Сначала удостоверьтесь ufw
отключен:
sudo ufw disable
Теперь позволяет, удаляют все iptables цепочки и правила:
sudo iptables -F
sudo iptables -X
И используйте iptables -L
иметь взгляд на значение по умолчанию iptables
цепочки и правила, которые должны быть тремя цепочками и все они принимают все.
позволяет включают ufw
:
sudo ufw enable
Теперь, если Вы взглянули на iptables
использование правил iptables -L
, Вы будете видеть, что много правил было установлено ufw
защищать Вас, на которых они достаточно хороши к реле.
Кроме того, если Вы работаете: sudo ufw status verbose
, Вы получите простой вывод, который говорит Вам, что продолжается:
Status: active
Logging: off
Default: deny (incoming), allow (outgoing), disabled (routed)
Если Вы настаиваете для использования iptables
, сначала отключите ufw
затем удалите все использование цепочек и правил -F
и -X
переключатели.
sudo ufw disable
sudo iptables -F
sudo iptables -X
Политика:
Затем мы должны установить политики. политики являются поведением по умолчанию, когда пакет не соответствует ни к каким правилам, которые определенный, эти политики будут применены на них:
sudo iptables -P DROP INPUT
sudo iptables -P DROP OUTPUT
sudo iptables -P DROP FORWARD
Затем позволить исходящий DNS:
sudo iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
И позволить исходить http (s):
sudo iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
Наконец, мы собираемся только позволить связанный и установленный входящий трафик:
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT