Ufw(tűzfal) miért nem blokkol?
Beállítottam ufw-t. Lunix mint. Neten kívül semmiylen más programot nem szeretnék átengedni a tűzfalon.
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw enable
sudo ufw status
sudo ss -tulwn
Ugyanúgy nem blokkol semmit. Elindítok egy játékot simán elindul a net rajta.
Tehát a lényeg, hogy semmilyen programot nem szeretnék átengedni a netre.
Original author(s) Darwin Bautista
Stable release
0.3.2 / 2012; 12 years ago
Repository
git.launchpad.net/ufw Edit this at Wikidata
Written in Python, PyGTK
Operating system Linux
Platform PyGTK
License GNU General Public License
Website github.com/baudm/ufw-frontends
![*](http://static.gyakorikerdesek.hu/p/vsz2.png)
![*](http://static.gyakorikerdesek.hu/p/vsz2.png)
![*](http://static.gyakorikerdesek.hu/p/vsz2.png)
![*](http://static.gyakorikerdesek.hu/p/vsz2.png)
![*](http://static.gyakorikerdesek.hu/p/vsz0.png)
![*](http://static.gyakorikerdesek.hu/p/vsz2.png)
![*](http://static.gyakorikerdesek.hu/p/vsz2.png)
![*](http://static.gyakorikerdesek.hu/p/vsz2.png)
![*](http://static.gyakorikerdesek.hu/p/vsz2.png)
![*](http://static.gyakorikerdesek.hu/p/vsz1.png)
Gondolom az ufw is stateful, vagyis hiába tiltott az "összes" bejövő kapcsolat, azok nem, amiket valamelyik helyi processz kezdeményezte, vagyis a géped kérésére épült ki a kapcsolat. Ha nem így lenne, akkor böngészni sem tudnál.
A "deny incoming" annyit jelent, hogy a gépedhez kívülről semmilyen módon nem lehet kapcsolódni, amennyiben a távoli eszköz a kezdeményező.
![*](http://static.gyakorikerdesek.hu/p/vsz2.png)
![*](http://static.gyakorikerdesek.hu/p/vsz2.png)
![*](http://static.gyakorikerdesek.hu/p/vsz2.png)
![*](http://static.gyakorikerdesek.hu/p/vsz2.png)
![*](http://static.gyakorikerdesek.hu/p/vsz0.png)
Ha mindent tiltani akarsz, minden netet, akkor a kimenőt is tiltani kell. Ha bizonyos programokat szeretnél, akkor azt máshogy kell, több megoldás van:
-csinálsz egy internet csoportot, annak engedélyezed a netet, majd abban indítod a progit, aninek netet akarsz, de magadat nem rakod bele (vagy lehet fordítva is, ha specifikusan tiltani akarsz)
-selinuxszal, apparmorral elv. valahogy megoldható
-firejail-lel tiltható a net adott alkalmazásnak, ha azzal indítod
-flatpak-eknél tiltható a net (de ugye ha nem flatpak, akkor jó kérdés, hogy mennyire használható)
- stb., biztos van még egy rajat megoldás (firewalld, cgroups, ...)
Közvetlenül a kernelbe épített tűzfal egyébként nem tudja (ezt használja egyébként az ufw), ha jól tudom azért lett kivéve ez a funkció, mert egy alkamazás neve változhat, és akkor máris nem érvényes rá a szabály. De lehet nem ezért, nem tudom
![*](http://static.gyakorikerdesek.hu/p/vsz2.png)
![*](http://static.gyakorikerdesek.hu/p/vsz2.png)
![*](http://static.gyakorikerdesek.hu/p/vsz2.png)
![*](http://static.gyakorikerdesek.hu/p/vsz2.png)
![*](http://static.gyakorikerdesek.hu/p/vsz0.png)
![*](http://static.gyakorikerdesek.hu/p/vsz2.png)
![*](http://static.gyakorikerdesek.hu/p/vsz2.png)
![*](http://static.gyakorikerdesek.hu/p/vsz2.png)
![*](http://static.gyakorikerdesek.hu/p/vsz2.png)
![*](http://static.gyakorikerdesek.hu/p/vsz1.png)
Mint az előzőek utaltak rá, ez egy állapottartó tűzfal(nak a kezelőprogramja igazság szerint, a tűzfal a kernelben van), ami azt jelenti, hogyha a bejövő kapcsolatokat tiltod, és a kimenőket engedélyezed, akkor a gépeden futó kliensalkalmazások - webböngésző, levelezőkliens, játék, stb... - kifelé nyugodtan tudnak kapcsolatot nyitni, így az ott megnyitott kapcsolatra a bejövő választ is fogadni tudják.
Viszont ha egy távoli kliens szeretne kapcsolatot kezdeményezni egy, a gépeden futó kiszolgálóalkalmazással - szerverrel (például webszerver) - akkor azt a tűzfal blokkolni fogja (ha ezt engedélyezni akarod, ahhoz a tűzfalon "lyukat kell ütni", át kell engedni a befele jövő adott - webszerver esetén alapesetben a 80-as és 443-as TCP - portot).
Ha a kliensalkalmazásaidat akarod kordában tartani, akkor alkalmazásszintű tűzfal kell. Ilyesmi kivitelezhető a már említett hozzáférés-szabályozással (apparmor, selinux), sandbox-al (firejail), konténerizációval, stb...
Asztali környezetben erre legkönnyebben kezelhető megoldás az opensnitch:
![*](http://static.gyakorikerdesek.hu/p/vsz2.png)
![*](http://static.gyakorikerdesek.hu/p/vsz2.png)
![*](http://static.gyakorikerdesek.hu/p/vsz2.png)
![*](http://static.gyakorikerdesek.hu/p/vsz2.png)
![*](http://static.gyakorikerdesek.hu/p/vsz1.png)
Kapcsolódó kérdések:
Minden jog fenntartva © 2025, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!