Как заблокировать весь входящий и исходящий трафик, кроме исходящего на порты 80 и 443 в ufw?

На чтение 3 мин Опубликовано 03.01.2025

Вопрос или проблема

Мне нужно разблокировать только исходящие порты 443 и 80, только чтобы пользоваться интернетом, в данный момент я использую следующие правила:

ufw default deny incoming
ufw default deny outgoing
ufw allow out from any to any port 443 proto tcp
ufw allow out from any to any port 80 proto tcp
ufw enable

Но, к сожалению, ufw блокирует весь интернет, и страницы не загружаются.
Есть ли у вас решение моей проблемы или альтернатива?

Примечание: с конфигурацией CSF, входящий трафик на портах 443 и 80 не требуется для подключения к интернету, только исходящий на 443 и 80, но как это сделать в ufw?

$ sudo ufw enable
$ sudo ufw status numbered
$ sudo ufw delete #<- (вставьте номер строки, которую хотите удалить здесь)
$ sudo ufw default deny incoming
$ sudo ufw default deny outgoing
$ sudo ufw allow out on eno1 to any port 443
$ sudo ufw allow out on eno1 to any port 80
$ sudo ufw allow out on eno1 to any port 53
$ sudo ufw allow out on wlp3s0 to any port 53

замените eno1 на название вашего Ethernet адаптера
замените wlp3s0 на название вашего Wi-Fi адаптера
команда ifconfig покажет вам названия ваших устройств

Удалите все порты один за другим, введя:

sudo ufw delete allow 'PORTNUMBER'

Затем разрешите порты 80 и 443, введя:

sudo ufw allow '80'
sudo ufw allow '443'

Ответ или решение

Чтобы разрешить только исходящий трафик по портам 80 и 443, используя ufw (Uncomplicated Firewall), необходимо тщательно настроить правила. Представленные действия помогут разрешить интернет-серфинг, обеспечивая при этом блокировку остальных соединений. Рассмотрим пошаговые инструкции:

Сначала сбросьте текущие правила ufw, если это необходимо:
```
sudo ufw reset
```
Настройте дефолтные политики. Эти команды запрещают весь входящий и исходящий трафик по умолчанию:
```
sudo ufw default deny incoming
sudo ufw default deny outgoing
```
Разрешите исходящий трафик для HTTP и HTTPS. Эти команды разрешают исходящие соединения на порты 80 и 443, которые необходимы для доступа к обычным веб-сайтам:
```
sudo ufw allow out from any to any port 80 proto tcp
sudo ufw allow out from any to any port 443 proto tcp
```
Добавьте разрешение на исходящий трафик DNS. Интернет-серфинг требует разрешения имени, поэтому разрешите исходящий трафик на DNS-порт 53:
```
sudo ufw allow out from any to any port 53
```
Заметьте интерфейсы. Если вы используете конкретные сетевые интерфейсы (например, eno1 для Ethernet и wlp3s0 для Wi-Fi), замените их названия. Определить их можно с помощью команды:
```
ifconfig
```
Включите ufw:
```
sudo ufw enable
```
Проверьте статус правил:
```
sudo ufw status numbered
```

Примечание: Обязательно убедитесь, что правила для любых дополнительных сервисов, которые могут понадобиться, также прописаны. Очистить некорректные или ненужные правила можно командой:

sudo ufw delete [номер_правила]

Этот подход гарантирует, что исходящие соединения только через порты 80 и 443 будут разрешены, что нужно для доступа к стандартным интернет-ресурсам. Остальные типы соединений будут заблокированы, обеспечивая более высокий уровень безопасности.