Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Компьютеры и программы

Kubuntu-UFW: Заблокировать входящие и разрешить исходящие

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Теория
  4. Пример
  5. Применение

Вопрос или проблема

Я включил ufw в Kubuntu 24.04 следующим образом:

sudo ufw default allow outgoing
sudo ufw default deny incoming
sudo ufw enable

Мое намерение состоит в том, чтобы разрешить исходящие соединения, но блокировать все входящие.
Предполагая, что вышеуказанная конфигурация достаточна, я проверил интерфейс (из Системных настроек -> Брандмауэр) и увидел, что для Default Incoming Policy установлено Ignore вместо Reject

Почему это настроено так? Каковы последствия настроек, которые я сделал, о которых следует знать?
Моё намерение состоит в том, чтобы можно было запускать серверное приложение на моем домашнем ноутбуке и чтобы никакой другой ПК/ноутбук не мог подключаться (только клиентское соединение должно быть с локального хоста)

Ответ или решение

Конфигурация брандмауэра является важным аспектом обеспечения безопасности системы, особенно если вы планируете запускать серверные приложения на вашем компьютере или ноутбуке. Давайте разберем подробно, как работает конфигурация UFW (Uncomplicated Firewall) в контексте Kubuntu 24.04, а также почему ваш брандмауэр показывает "Ignore" для параметра Default Incoming Policy и что это значит для вашей системы.

Теория

UFW, или Uncomplicated Firewall, является фронтендом для iptables в Linux, который упрощает процесс настройки и управления параметрами брандмауэра. Основная цель UFW заключается в том, чтобы сделать управление правилами брандмауэра более доступным для пользователей, которым не нужны сложные команды iptables.

Конфигурация, которую вы установили, выглядит следующим образом:

sudo ufw default allow outgoing
sudo ufw default deny incoming
sudo ufw enable

Эти команды выполняют следующие действия:

  1. sudo ufw default allow outgoing: Разрешает все исходящие соединения. Это значит, что любые приложения на вашем компьютере смогут устанавливать соединения с внешними ресурсами без ограничений.

  2. sudo ufw default deny incoming: Блокирует все входящие соединения. Таким образом, никакие внешние источники не смогут инициировать соединение с вашим устройством, кроме случаев, когда они указаны в специальных разрешающих правилах.

  3. sudo ufw enable: Включает UFW с текущими настройками.

Пример

Теперь давайте посмотрим на пример использования UFW с этими настройками:

Представим, что вы хотите использовать свой ноутбук как сервер. Например, вы запускаете веб-сервер, который должен быть доступен только вам (локально) и не должен принимать запросы из интернета. Это можно обеспечить следующими шагами:

  1. Локальный доступ: Для доступа к серверу из вашей локальной сети или localhost можно добавить правило:

    sudo ufw allow from 127.0.0.1 to any port 80

    Это правило разрешит доступ к порту 80 только с localhost, таким образом, ваш веб-сервер будет доступен только для локального использования.

  2. Игнорирование ("Ignore") как стратегия безопастности: Отметка "Ignore", которую вы видите в UI, может означать, что входящий трафик, который не удовлетворяет никаким правилам (включая отказ во входящих "deny incoming"), игнорируется или просто сбрасывается без отправки уведомления инициатору соединения. Это отличается от политики "Reject", которая отклоняет соединение и отправляет уведомление об этом инициатору. "Ignore" может повышать безопасность, так как потенциальные злоумышленники не получают сигналов о том, что порт закрыт, и не могут различить, существует ли вообще служба по этому адресу.

Применение

В вашем случае, если ваше намерение состоит в том, чтобы не давать возможность каким-либо внешним ПК или ноутбукам подключаться к вашему серверному приложению, вы применили правильную конфигурацию. Однако стоит быть внимательным к следующим моментам:

  • Локальные службы: Убедитесь, что все службы, которые должны быть доступны снаружи (если такие есть), добавлены в виде разрешающих правил. Например, если вы хотите, чтобы ваш телефон мог подключаться к вашему веб-серверу через Wi-Fi в вашей локальной сети, вам придется добавить соответствующее правило.

  • Маскировка присутствия: Имея "Ignore" для входящих, вы падаете меньше информации о своей системе для потенциальных атакующих. Это может быть полезным в предотвращении попыток взлома, так как злоумышленникам будет сложнее понять, какие порты могут быть открыты.

  • Обновления и мониторинг: Всегда используйте актуальные обновления безопасности для вашего дистрибутива и регулярно проверяйте логи UFW. Это поможет оперативно выявлять подозрительные попытки доступа или аномальную активность.

С учетом вышеизложенного, ваша текущая настройка UFW подходит для описанной вами задачи. Однако для обеспечения оптимальной безопасности убедитесь, что вы осведомлены о всех службах и приложениях, которые активны в вашем окружении, и что они должным образом защищены соответствующими правилами UFW.

firewall networking ubuntu ufw
Оцените материал
Добавить комментарий

Капча загружается...

© 2025 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности