Gufw Firewall
Как правильно задавать вопросы Правильно сформулированный вопрос и его грамотное оформление способствует высокой вероятности получения достаточно содержательного и по существу ответа. Общая рекомендация по составлению тем: 1. Для начала воспользуйтесь поиском форума. 2. Укажите версию ОС вместе с разрядностью. Пример: LM 19.3 x64, LM Sarah x32 3. DE. Если вопрос касается двух, то через запятую. (xfce, KDE, cinnamon, mate) 4. Какое железо. (достаточно вывод
inxi -Fxz
в спойлере (как пользоваться спойлером смотрим здесь)) или же дать ссылку на hw-probe 5. Суть. Желательно с выводом консоли, логами. 6. Скрин. Просьба указывать 2, 3 и 4 независимо от того, имеет ли это отношение к вопросу или нет. Так же не забываем об общих правилах Как пример вот
-
Автор темы - Сообщения: 160
- Зарегистрирован: 09 июн 2017, 15:41
- Решено: 1
- Благодарил (а): 59 раз
- Поблагодарили: 6 раз
- Контактная информация:
Gufw Firewall
Столкнулся с настройкой фаерволла через Gufw Firewall. Чисто дотошности ради прошу разъяснить несколько элементарнейших вещей.
Вот открываю программу и мне предлагается выбрать профиль:
Общественное место
Дом
Офис
И опции "Входящие" и "Исходящие" с вариантами:
Разрешить
Запретить
Отклонить
Вопросы.
1. Что это за "Общественное место"? Локальная сеть с парой тысяч пользователей это "общественное место"? А если компьютер у меня в квартире напрямую получает интернет - это "общественное место"?
2. Тут https://help.ubuntu.com/community/Gufw/RU русским языком написано, что при "Отклонить" система запрещает входящий трафик на порт и сообщает запрашивающему об отклонении запроса". Скажите, это ЕДИНСТВЕННОЕ отличие опции "Отклонить" от "Запретить"? А на фига вообще оповещать кого то там об отклонении его запроса?
3. Вот у меня 2 компа. Один с выходом в Интернет через локалку, другой - на прямую через провайдера. Какие параметры для Gufw Firewall посоветуете?
4. Что предпочтительней, "Запретить" или "Отклонить"?
5. Насколько вообще актуально и критично такое разграничение на "Общественное место", "Дом" и "Офис"? Раньше вроде такого не было, а было лишь 2 опции: "Входящие" и "Исходящие".
Вот открываю программу и мне предлагается выбрать профиль:
Общественное место
Дом
Офис
И опции "Входящие" и "Исходящие" с вариантами:
Разрешить
Запретить
Отклонить
Вопросы.
1. Что это за "Общественное место"? Локальная сеть с парой тысяч пользователей это "общественное место"? А если компьютер у меня в квартире напрямую получает интернет - это "общественное место"?
2. Тут https://help.ubuntu.com/community/Gufw/RU русским языком написано, что при "Отклонить" система запрещает входящий трафик на порт и сообщает запрашивающему об отклонении запроса". Скажите, это ЕДИНСТВЕННОЕ отличие опции "Отклонить" от "Запретить"? А на фига вообще оповещать кого то там об отклонении его запроса?
3. Вот у меня 2 компа. Один с выходом в Интернет через локалку, другой - на прямую через провайдера. Какие параметры для Gufw Firewall посоветуете?
4. Что предпочтительней, "Запретить" или "Отклонить"?
5. Насколько вообще актуально и критично такое разграничение на "Общественное место", "Дом" и "Офис"? Раньше вроде такого не было, а было лишь 2 опции: "Входящие" и "Исходящие".
-
- Сообщения: 10015
- Зарегистрирован: 27 авг 2016, 22:57
- Решено: 215
- Откуда: НН
- Благодарил (а): 815 раз
- Поблагодарили: 3010 раз
- Контактная информация:
Gufw Firewall
С одной стороны норм практика "Все что не разрешено - запрещено", как например это по умолчанию предлагается в OpenSuse.
C другой стороны довольно муторно на самом деле для домашнего компа каждый раз что-то разрешать, когда я знаю что мой софт сам не поднимет левых портов(ну и за роутер они не будут проброшены, разумеется) или коннектов куда-то на сторону.
Теперь к теме самого вопроса.
1,3. прямо смотрящий в глобальную сеть хост с белым адресом - можно считать общественным вполне, если не за провайдерским натом конечн.
2,4. open/closed/filtered в статусе портов. Может быть полезным в некоторых случаях знать на каком этапе отвергнут коннект.
5 - Просто разделение по преднастроенным правилам, насколько жестоко рубить все вокруг.
C другой стороны довольно муторно на самом деле для домашнего компа каждый раз что-то разрешать, когда я знаю что мой софт сам не поднимет левых портов(ну и за роутер они не будут проброшены, разумеется) или коннектов куда-то на сторону.
Теперь к теме самого вопроса.
1,3. прямо смотрящий в глобальную сеть хост с белым адресом - можно считать общественным вполне, если не за провайдерским натом конечн.
2,4. open/closed/filtered в статусе портов. Может быть полезным в некоторых случаях знать на каком этапе отвергнут коннект.
5 - Просто разделение по преднастроенным правилам, насколько жестоко рубить все вокруг.
-
Автор темы - Сообщения: 160
- Зарегистрирован: 09 июн 2017, 15:41
- Решено: 1
- Благодарил (а): 59 раз
- Поблагодарили: 6 раз
- Контактная информация:
Gufw Firewall
А для чего она вообще предустановлена изначально в дистрибутиве Минт да ещё и заточена именно для использования на домашнем ПК?
Да, с тех пор как вышла "Семёрка" я Виндовс зауважал. Чего я собственно в своё время на Линукс подсел и до сих пор его хочу по старой памяти? Из-за того, что он не слетал у меня каждый месяц из-за любого неосторожно-случайного "косяка" в отличии от ХР. Но вот появилась Windows-7 и я снова перешёл на "Винду" ибо она стала "на уровне".
А безопасность вообще лишней не бывает. Так что харэ над моей паранойей потешаться и давайте по теме.
-
- Сообщения: 5469
- Зарегистрирован: 27 авг 2016, 19:06
- Решено: 32
- Откуда: Арзамас
- Благодарил (а): 1593 раза
- Поблагодарили: 1276 раз
- Контактная информация:
Gufw Firewall
Unat, предустановлен, но не включен. Я его сразу убиваю после установки.
Настоящая водка — это не пьянство, а ключ к своей совести, с нее-то и начинается настоящая мудрость. (c)
-
Автор темы - Сообщения: 160
- Зарегистрирован: 09 июн 2017, 15:41
- Решено: 1
- Благодарил (а): 59 раз
- Поблагодарили: 6 раз
- Контактная информация:
Gufw Firewall
2. Тут https://help.ubuntu.com/community/Gufw/RU русским языком написано, что при "Отклонить" система запрещает входящий трафик на порт и сообщает запрашивающему об отклонении запроса". Скажите, это ЕДИНСТВЕННОЕ отличие опции "Отклонить" от "Запретить"? А на фига вообще оповещать кого то там об отклонении его запроса?
4. Что предпочтительней, "Запретить" или "Отклонить"?
И наконец "Общественное место" или "Дом"? Разница?
4. Что предпочтительней, "Запретить" или "Отклонить"?
И наконец "Общественное место" или "Дом"? Разница?
-
- Сообщения: 6875
- Зарегистрирован: 27 авг 2016, 20:03
- Решено: 30
- Откуда: Voskresensk
- Благодарил (а): 1312 раз
- Поблагодарили: 724 раза
- Контактная информация:
Gufw Firewall
но при этом wan - общественное, lan - дом.
Дом - доверяешь компам, находящимся в этой сети. Общественное место - не доверяешь компам, находящимся в данной сети.
-
- Сообщения: 4506
- Зарегистрирован: 21 июн 2017, 18:09
- Решено: 99
- Благодарил (а): 51 раз
- Поблагодарили: 1993 раза
- Контактная информация:
Gufw Firewall
Firewall в линуксе - это совсем не так, как в винде. Собственно существует один единственный firewall - iptables. Все эти программы которые часто называют фаерволами - на деле таковыми не являются, это GUI для настойки правил, а сами они ничего не фильтруют. Просто графическая обертка над iptables который вшит непосредственно в ядро системы. Соответственно, при всех внешних различиях - работает оно все примерно одинаково, просто правила фильтрации генерятся по клику кнопочки в соответствии с виденьем автора GUI "как должно быть". Это надо учитывать. По настоящему тонко настроить их можно через консоль (man iptables)
Что касается разницы между запретить или отклонить - это хорошо объясняется в документации к iptables, только надо еще перевод правильный к оригинальным названиям. Итак, у правила может быть три "цели", назначения. В скобках оригинальное название:
Разрешить (accept): Тут все просто - принять или выпустить пакет (в зависимости от направления).
Запретить (reject): заблокировать прохождение пакета с отправкой уведомления отправителю. Т.е. отправитель получит информацию о том что пакет дальше не прошел, или наш компьютер, как адресат, его не принимает.
Отклонить (drop): Пакет будет молча уничтожен. Никакого уведомления об этом отправитель не получит.
Обычно, в большинстве случаев, используют drop, т.к. уведомления - лишняя нагрузка на сеть, и даже некоторые виды атак есть использующие такое поведение.
Что касается разницы между запретить или отклонить - это хорошо объясняется в документации к iptables, только надо еще перевод правильный к оригинальным названиям. Итак, у правила может быть три "цели", назначения. В скобках оригинальное название:
Разрешить (accept): Тут все просто - принять или выпустить пакет (в зависимости от направления).
Запретить (reject): заблокировать прохождение пакета с отправкой уведомления отправителю. Т.е. отправитель получит информацию о том что пакет дальше не прошел, или наш компьютер, как адресат, его не принимает.
Отклонить (drop): Пакет будет молча уничтожен. Никакого уведомления об этом отправитель не получит.
Обычно, в большинстве случаев, используют drop, т.к. уведомления - лишняя нагрузка на сеть, и даже некоторые виды атак есть использующие такое поведение.
-
Автор темы - Сообщения: 160
- Зарегистрирован: 09 июн 2017, 15:41
- Решено: 1
- Благодарил (а): 59 раз
- Поблагодарили: 6 раз
- Контактная информация:
Gufw Firewall
А чего тут https://help.ubuntu.com/community/Gufw/RU по другому написано:slant писал(а): Запретить (reject): заблокировать прохождение пакета с отправкой уведомления отправителю. Т.е. отправитель получит информацию о том что пакет дальше не прошел, или наш компьютер, как адресат, его не принимает.
Отклонить (drop): Пакет будет молча уничтожен. Никакого уведомления об этом отправитель не получит.
2. Запретить: система запретит входящий трафик на порт.
3. Отклонить: система запретит входящий трафик на порт и сообщит запрашивающему об отклонении запроса.
Где то ошибка или я чего то не понял?
-
- Сообщения: 6875
- Зарегистрирован: 27 авг 2016, 20:03
- Решено: 30
- Откуда: Voskresensk
- Благодарил (а): 1312 раз
- Поблагодарили: 724 раза
- Контактная информация:
Gufw Firewall
Ну по логике отклонить как раз с ответом об отклонении.
Т.е. можно прислониться, прислонить. Отклонить - обратное прислонить. Т.е. оттолкнуть. Отвергнуть. А запретить - это расстрел за пересечение границы без выяснения обстоятельств.
Т.е. можно прислониться, прислонить. Отклонить - обратное прислонить. Т.е. оттолкнуть. Отвергнуть. А запретить - это расстрел за пересечение границы без выяснения обстоятельств.
-
- Сообщения: 10015
- Зарегистрирован: 27 авг 2016, 22:57
- Решено: 215
- Откуда: НН
- Благодарил (а): 815 раз
- Поблагодарили: 3010 раз
- Контактная информация:
Gufw Firewall
Тут уже думаю больше к тому как перевести
Unat, Но если уж есть такой живой интерес, примени по очереди оба правила на какой-нибудь из портов, и постучись сам - сравни ответы
reject
и drop
Unat, Но если уж есть такой живой интерес, примени по очереди оба правила на какой-нибудь из портов, и постучись сам - сравни ответы
-
- Сообщения: 4506
- Зарегистрирован: 21 июн 2017, 18:09
- Решено: 99
- Благодарил (а): 51 раз
- Поблагодарили: 1993 раза
- Контактная информация:
Gufw Firewall
В русских переводах с этими двумя вариантами всегда путаница. Собственно я не могу дать гарантий, что и у меня самого с переводом правильно относительно того что имелось в виду в апплете Gufw. Потому я и привел английский оригинал. Это как раз тот случай, где без него плохо, и лучше бы именно его в апплете и оставили, чем переводить.
-
- Сообщения: 4506
- Зарегистрирован: 21 июн 2017, 18:09
- Решено: 99
- Благодарил (а): 51 раз
- Поблагодарили: 1993 раза
- Контактная информация:
Gufw Firewall
Зануда мод on:
Вот это до сих пор спорный вопрос, т.к. терминология размыта малость. Название Netfilter - однозначно только для той части, которая реализует часть сетевого стека протоколов взаимодействий с сетью самого ядра. А систему дополнительных таблиц и цепочек (для форвардинга например, или шейпинга) некоторые выделяют в отдельную подсистему. Потому когда вы говорите "iptables" - это будет именно о всем комплексе, реализующем полный функционал фаервола и форвардинга и т.д. Netfilter - однозначно входит в нее, но не все считают, что это полный реализованный функционал, а только основной. Однозначно верное название признаваемое всеми выглядит так: "Netfilter/iptables"
Зануда мод off.
-
Автор темы - Сообщения: 160
- Зарегистрирован: 09 июн 2017, 15:41
- Решено: 1
- Благодарил (а): 59 раз
- Поблагодарили: 6 раз
- Контактная информация:
Gufw Firewall
???Unat писал(а): Тут https://help.ubuntu.com/community/Gufw/RU русским языком написано, что при "Отклонить" система запрещает входящий трафик на порт и сообщает запрашивающему об отклонении запроса". Скажите,
1) это ЕДИНСТВЕННОЕ отличие опции "Отклонить" от "Запретить"?
2) А на фига вообще оповещать кого то там об отклонении его запроса?
-
- Сообщения: 10015
- Зарегистрирован: 27 авг 2016, 22:57
- Решено: 215
- Откуда: НН
- Благодарил (а): 815 раз
- Поблагодарили: 3010 раз
- Контактная информация:
Gufw Firewall
Да, этого достаточно.
IN DENY со стороны входящего запроса
Код: Выделить всё
chocobo@lmde:~$ nc -v 192.168.0.106 222
nc: connect to 192.168.0.106 port 222 (tcp) failed: Connection timed out
Код: Выделить всё
chocobo@lmde:~$ nc -v 192.168.0.106 222
nc: connect to 192.168.0.106 port 222 (tcp) failed: Connection refused
tcp_syn_retries
, во втором отобъет недоступность порта сразу.В твоем сценарии использования - абсолютно незачем. Может быть полезно длянастройки своих подконтрольных сервисов в рабочих сетках.
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 4 гостя