Oprogramowanie > Inne

Reguły ufw zapory w Linux

(1/1)

marcin21:
Witam
czy nadając regułę w ufw zaporze metoda pozwól->>kierunek Oba -->>kategoria sieć ->> podkategoria usługi->>program Https  port 443 , to dobry pomysł ?
pozdrawiam

baker:
to zależy od samej zapory i celu tej operacji

marcin21:
Czy jak mam włączony protokół HTTPS w Firefox to czy muszę utworzyć regułę w zaporze UFW ?

1709:
W uproszczeniu ...
U klienta komunikacja działa tak
Przeglądarka ( zapytanie ) --> zapora --> internet --> Serwer www
Przeglądarka <-- zapora <-- ( odpowiedź ) Serwer www

U serwera komunikacja działa tak
Serwer www <-- zapora <-- internet <-- Przeglądarka ( zapytanie )
Serwer www ( odpowiedz ) --> zapora --> internet -->  Przeglądarka

Połączenie sprawdzisz przy pomocy komendy tcpdump
Wytłumaczyłbym bardziej na przykładzie reguł iptables ale już 2 razy mi się wyłączył komputer xD

Wniosek.
Do komunikacji potrzebne są oby dwie strony otwarte.
Bezpieczeństwo zapory opiera się na odpowiednim filtrowaniu połączeń za pomocą reguł.
Tak aby porządane połączenia były akceptowane, a reszta domyślnie odrzucana.

Może chcesz zapoznać się z zaporą iptables ?
Może pozwoli Ci to zrozumieć jak działa typowa zapora internetowa.
1. Poradnik po polsku https://pl.wikibooks.org/wiki/Debian_-_uniwersalna_instalacja/Konfigurowanie_iptables
2. Oficjalna dokumentacja https://www.netfilter.org/documentation/index.html

Paweł Kraszewski:
TLDR; UFW ruszasz dopiero, gdy na twoim komputerze chcesz użyć jakiegoś serwera, np postawić własny serwer WWW. Jak długo mowa a aplikacjach klienckich (przeglądarka WWW, program pocztowy, itp), tak długo domyślna konfiguracja UFW jest wystarczająca (i zalecana).

Wersja pełna: w domyśle UFW dopuszcza cały ruch wychodzący (pakiety z twojego komputera idące w świat) i pakiety wchodzące (ze świata do twojego komputera) związane z pakietami wychodzącymi (np odpowiedzi na PINGa, odpowiedzi na zapytania DNS, ruch powrotny TCP, itp).

Dodatkowo, jak komputera nie wpiąłeś bezpośrednio w modem operatora pracujący w trybie bridge, tylko do jakiegoś routera (czyli twój komputer jest za NATem i ma adresację 192.168... 172.16... 10...), mechanizm chroniący twoją maszynę przed niepożądanym ruchem ze świata jest już na tym routerze (technicznie firewallorouteroserwerze) i właściwie firewalla w komputerze nie potrzebujesz wcale.

Nawigacja

[0] Indeks wiadomości

Idź do wersji pełnej