Kezdőoldal » Számítástechnika » Programok » Ufw(tűzfal) miért nem blokkol?

Ufw(tűzfal) miért nem blokkol?

Figyelt kérdés

Beállítottam ufw-t. Lunix mint. Neten kívül semmiylen más programot nem szeretnék átengedni a tűzfalon.


sudo ufw default deny incoming

sudo ufw default allow outgoing

sudo ufw enable

sudo ufw status

sudo ss -tulwn


Ugyanúgy nem blokkol semmit. Elindítok egy játékot simán elindul a net rajta.


Tehát a lényeg, hogy semmilyen programot nem szeretnék átengedni a netre.



#tűzfal #linux #ufw #wirefall
2024. jan. 8. 21:32
1 2
 1/16 A kérdező kommentje:

Original author(s) Darwin Bautista

Stable release

0.3.2 / 2012; 12 years ago

Repository


git.launchpad.net/ufw Edit this at Wikidata


Written in Python, PyGTK

Operating system Linux

Platform PyGTK

License GNU General Public License

Website github.com/baudm/ufw-frontends

2024. jan. 8. 21:37
 2/16 anonim ***** válasza:
Allow-ra állítottad az outgoingot...
2024. jan. 8. 22:35
Hasznos számodra ez a válasz?
 3/16 A kérdező kommentje:
Nem értem hogy működik. Deny incoming van. Aki ért a hálózatokhoz leírhatná.
2024. jan. 8. 22:50
 4/16 anonim ***** válasza:

Gondolom az ufw is stateful, vagyis hiába tiltott az "összes" bejövő kapcsolat, azok nem, amiket valamelyik helyi processz kezdeményezte, vagyis a géped kérésére épült ki a kapcsolat. Ha nem így lenne, akkor böngészni sem tudnál.


A "deny incoming" annyit jelent, hogy a gépedhez kívülről semmilyen módon nem lehet kapcsolódni, amennyiben a távoli eszköz a kezdeményező.

2024. jan. 9. 00:05
Hasznos számodra ez a válasz?
 5/16 anonim ***** válasza:

Ha mindent tiltani akarsz, minden netet, akkor a kimenőt is tiltani kell. Ha bizonyos programokat szeretnél, akkor azt máshogy kell, több megoldás van:

-csinálsz egy internet csoportot, annak engedélyezed a netet, majd abban indítod a progit, aninek netet akarsz, de magadat nem rakod bele (vagy lehet fordítva is, ha specifikusan tiltani akarsz)

-selinuxszal, apparmorral elv. valahogy megoldható

-firejail-lel tiltható a net adott alkalmazásnak, ha azzal indítod

-flatpak-eknél tiltható a net (de ugye ha nem flatpak, akkor jó kérdés, hogy mennyire használható)

- stb., biztos van még egy rajat megoldás (firewalld, cgroups, ...)


Közvetlenül a kernelbe épített tűzfal egyébként nem tudja (ezt használja egyébként az ufw), ha jól tudom azért lett kivéve ez a funkció, mert egy alkamazás neve változhat, és akkor máris nem érvényes rá a szabály. De lehet nem ezért, nem tudom

2024. jan. 9. 04:33
Hasznos számodra ez a válasz?
 6/16 anonim ***** válasza:
#2-es vagyok, arra akartam célozni, hogy nálad a kimenő forgalom (outgoing) engedélyezve van (allow), így persze, hogy tudnak kifelé kommunikálni a programok. Szóval át kell állítanod deny-ra.
2024. jan. 9. 05:53
Hasznos számodra ez a válasz?
 7/16 A kérdező kommentje:
Köszi a válaszokat! Nem hittem volna hogy ez ilyen bonyolult, hagyom akkor inkább.
2024. jan. 9. 09:01
 8/16 anonim ***** válasza:

Mint az előzőek utaltak rá, ez egy állapottartó tűzfal(nak a kezelőprogramja igazság szerint, a tűzfal a kernelben van), ami azt jelenti, hogyha a bejövő kapcsolatokat tiltod, és a kimenőket engedélyezed, akkor a gépeden futó kliensalkalmazások - webböngésző, levelezőkliens, játék, stb... - kifelé nyugodtan tudnak kapcsolatot nyitni, így az ott megnyitott kapcsolatra a bejövő választ is fogadni tudják.


Viszont ha egy távoli kliens szeretne kapcsolatot kezdeményezni egy, a gépeden futó kiszolgálóalkalmazással - szerverrel (például webszerver) - akkor azt a tűzfal blokkolni fogja (ha ezt engedélyezni akarod, ahhoz a tűzfalon "lyukat kell ütni", át kell engedni a befele jövő adott - webszerver esetén alapesetben a 80-as és 443-as TCP - portot).


Ha a kliensalkalmazásaidat akarod kordában tartani, akkor alkalmazásszintű tűzfal kell. Ilyesmi kivitelezhető a már említett hozzáférés-szabályozással (apparmor, selinux), sandbox-al (firejail), konténerizációval, stb...

Asztali környezetben erre legkönnyebben kezelhető megoldás az opensnitch:

[link]

2024. jan. 9. 12:02
Hasznos számodra ez a válasz?
 9/16 A kérdező kommentje:
8, Köszi szépen na ez a program jó. Mindent leblokkoltam és megkérdezi ha szeretném átengedni a programot. TÖKÉLETES! Még a localhostot is leblokkoltam :D Itt nem fog semmilyen program kommunikálni az engedélyem nélkül.
2024. jan. 9. 13:04
 10/16 anonim ***** válasza:
A localhost-tal óvatosan, azt tűzfalazni kb. az öntökönlövés egyik tipikus esete :-)
2024. jan. 9. 18:50
Hasznos számodra ez a válasz?
1 2

Kapcsolódó kérdések:




Minden jog fenntartva © 2025, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu

A weboldalon megjelenő anyagok nem minősülnek szerkesztői tartalomnak, előzetes ellenőrzésen nem esnek át, az üzemeltető véleményét nem tükrözik.
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!