Как заблокировать все, кроме http (s) и DNS в iptables?
Я хочу настроить брандмауэр на своей машине Ubuntu, чтобы блокировать все входы и выходы, кроме портов 80/443 для просмотра, и 53 для разрешения DNS, я попытался, но никакого результата.
Теперь я использую UFW, который легко настроить, но я не уверен, что он безопасен как iptables. Может ли кто-нибудь ответить мне, как заблокировать каждый порт, кроме тех, которые вам нужны?
4 ответа
Как вы знаете, ufw сам по себе является интерфейсом для iptables, это программа для управления брандмауэром netfilter.
Если вы не очень хорошо используете iptables Я настоятельно рекомендую использовать ufw вместо этого. вы можете даже использовать gufw, графический интерфейс, чтобы использовать ufw еще проще, чем это уже есть.
Безопасен ufw?
Я могу заверить вас, что, используя ufw вы в безопасности, потому что это одно и то же с множеством предопределенных и надежных правил для защиты вашего компьютера.
По умолчанию он разрешает исходящие соединения и отказывает входящие, поэтому, например, никто не может [ f18] на ваш компьютер.
Давайте посмотрим вокруг:
Сначала убедитесь, что ufw отключен:
sudo ufw disable
Теперь вы можете удалить все iptables цепи и правила:
sudo iptables -F
sudo iptables -X
И используйте iptables -L, чтобы посмотреть на цепочки и правила по умолчанию iptables, которые должны быть трех целыми, и все они принимают все.
[d9 ] позволяет включить ufw:sudo ufw enable
Теперь, если вы посмотрите на правила iptables, используя iptables -L, вы увидите, что многие правила были установлены ufw, чтобы защитить вас , которые они достаточно хороши для ретрансляции.
Кроме того, если вы запустите: sudo ufw status verbose, вы получите простой вывод, в котором рассказывается, что происходит:
Status: active
Logging: off
Default: deny (incoming), allow (outgoing), disabled (routed)
Как заблокировать все, кроме http (s) & amp; DNS с помощью iptables?
Если вы настаиваете на использовании iptables, сначала отключите ufw, затем удалите все цепи и правила, используя переключатели -F и -X.
sudo ufw disable
sudo iptables -F
sudo iptables -X
sudo iptables -P DROP INPUT
sudo iptables -P DROP OUTPUT
sudo iptables -P DROP FORWARD
Затем разрешить исходящий DNS:
sudo iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
И разрешить исходящие http (s):
sudo iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
Наконец, мы будем разрешать только связанные и установленные входящие потоки:
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-
1Да, я знаю, что ufw является front-end для iptables, но я вижу много правил, и я не знаю, что они отрицают или разрешают. Теперь я уверен, что он безопасен, как вы сказали. Я попробую iptables, чтобы увидеть, что получится спасибо !!! – George 16 April 2017 в 21:32
Как вы знаете, ufw сам по себе является интерфейсом для iptables, это программа для управления брандмауэром netfilter.
Если вы не очень хорошо используете iptables Я настоятельно рекомендую использовать ufw вместо этого. вы можете даже использовать gufw, графический интерфейс, чтобы использовать ufw еще проще, чем это уже есть.
Безопасен ufw?
Я могу заверить вас, что, используя ufw вы в безопасности, потому что это одно и то же с множеством предопределенных и надежных правил для защиты вашего компьютера.
По умолчанию он разрешает исходящие соединения и отказывает входящие, поэтому, например, никто не может ssh на ваш компьютер.
Давайте посмотрим вокруг:
Сначала убедитесь, что ufw отключен:
sudo ufw disable
Теперь вы можете удалить все iptables цепи и правила:
sudo iptables -F
sudo iptables -X
И используйте iptables -L, чтобы посмотреть на цепочки и правила по умолчанию iptables, которые должны быть трех целыми, и все они принимают все.
позволяет включить ufw:
sudo ufw enable
Теперь, если вы посмотрите на правила iptables, используя iptables -L, вы увидите, что многие правила были установлены ufw, чтобы защитить вас , которые они достаточно хороши для ретрансляции.
Кроме того, если вы запустите: sudo ufw status verbose, вы получите простой вывод, в котором рассказывается, что происходит:
Status: active
Logging: off
Default: deny (incoming), allow (outgoing), disabled (routed)
Как заблокировать все, кроме http (s) & amp; DNS с помощью iptables?
Если вы настаиваете на использовании iptables, сначала отключите ufw, затем удалите все цепи и правила, используя переключатели -F и -X.
sudo ufw disable
sudo iptables -F
sudo iptables -X
Политики. Затем мы должны установить политику. политики являются поведением по умолчанию, когда пакет не соответствует каким-либо определенным правилам, эти политики будут применяться к ним:
sudo iptables -P DROP INPUT
sudo iptables -P DROP OUTPUT
sudo iptables -P DROP FORWARD
Затем разрешить исходящий DNS:
sudo iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
И разрешить исходящие http (s):
sudo iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
Наконец, мы будем разрешать только связанные и установленные входящие потоки:
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Как вы знаете, ufw сам по себе является интерфейсом для iptables, это программа для управления брандмауэром netfilter.
Если вы не очень хорошо используете iptables Я настоятельно рекомендую использовать ufw вместо этого. вы можете даже использовать gufw, графический интерфейс, чтобы использовать ufw еще проще, чем это уже есть.
Безопасен ufw?
Я могу заверить вас, что, используя ufw вы в безопасности, потому что это одно и то же с множеством предопределенных и надежных правил для защиты вашего компьютера.
По умолчанию он разрешает исходящие соединения и отказывает входящие, поэтому, например, никто не может ssh на ваш компьютер.
Давайте посмотрим вокруг:
Сначала убедитесь, что ufw отключен:
sudo ufw disable
Теперь вы можете удалить все iptables цепи и правила:
sudo iptables -F
sudo iptables -X
И используйте iptables -L, чтобы посмотреть на цепочки и правила по умолчанию iptables, которые должны быть трех целыми, и все они принимают все.
позволяет включить ufw:
sudo ufw enable
Теперь, если вы посмотрите на правила iptables, используя iptables -L, вы увидите, что многие правила были установлены ufw, чтобы защитить вас , которые они достаточно хороши для ретрансляции.
Кроме того, если вы запустите: sudo ufw status verbose, вы получите простой вывод, в котором рассказывается, что происходит:
Status: active
Logging: off
Default: deny (incoming), allow (outgoing), disabled (routed)
Как заблокировать все, кроме http (s) & amp; DNS с помощью iptables?
Если вы настаиваете на использовании iptables, сначала отключите ufw, затем удалите все цепи и правила, используя переключатели -F и -X.
sudo ufw disable
sudo iptables -F
sudo iptables -X
Политики. Затем мы должны установить политику. политики являются поведением по умолчанию, когда пакет не соответствует каким-либо определенным правилам, эти политики будут применяться к ним:
sudo iptables -P DROP INPUT
sudo iptables -P DROP OUTPUT
sudo iptables -P DROP FORWARD
Затем разрешить исходящий DNS:
sudo iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
И разрешить исходящие http (s):
sudo iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
Наконец, мы будем разрешать только связанные и установленные входящие потоки:
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Как вы знаете, ufw сам по себе является интерфейсом для iptables, это программа для управления брандмауэром netfilter.
Если вы не очень хорошо используете iptables Я настоятельно рекомендую использовать ufw вместо этого. вы можете даже использовать gufw, графический интерфейс, чтобы использовать ufw еще проще, чем это уже есть.
Безопасен ufw?
Я могу заверить вас, что, используя ufw вы в безопасности, потому что это одно и то же с множеством предопределенных и надежных правил для защиты вашего компьютера.
По умолчанию он разрешает исходящие соединения и отказывает входящие, поэтому, например, никто не может ssh на ваш компьютер.
Давайте посмотрим вокруг:
Сначала убедитесь, что ufw отключен:
sudo ufw disable
Теперь вы можете удалить все iptables цепи и правила:
sudo iptables -F
sudo iptables -X
И используйте iptables -L, чтобы посмотреть на цепочки и правила по умолчанию iptables, которые должны быть трех целыми, и все они принимают все.
позволяет включить ufw:
sudo ufw enable
Теперь, если вы посмотрите на правила iptables, используя iptables -L, вы увидите, что многие правила были установлены ufw, чтобы защитить вас , которые они достаточно хороши для ретрансляции.
Кроме того, если вы запустите: sudo ufw status verbose, вы получите простой вывод, в котором рассказывается, что происходит:
Status: active
Logging: off
Default: deny (incoming), allow (outgoing), disabled (routed)
Как заблокировать все, кроме http (s) & amp; DNS с помощью iptables?
Если вы настаиваете на использовании iptables, сначала отключите ufw, затем удалите все цепи и правила, используя переключатели -F и -X.
sudo ufw disable
sudo iptables -F
sudo iptables -X
Политики. Затем мы должны установить политику. политики являются поведением по умолчанию, когда пакет не соответствует каким-либо определенным правилам, эти политики будут применяться к ним:
sudo iptables -P DROP INPUT
sudo iptables -P DROP OUTPUT
sudo iptables -P DROP FORWARD
Затем разрешить исходящий DNS:
sudo iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
И разрешить исходящие http (s):
sudo iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
Наконец, мы будем разрешать только связанные и установленные входящие потоки:
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT