Какой нужно открыть порт для apt update/upgrade/install?

Походу нашел:

871/tcp 	supfileserv 	Сервер протокола обновления программ (Software Upgrade Protocol, SUP) 

Если ты пользуешься обычными зеркалами для обновления, то apt использует протокол HTTPS или HTTP. Так что обычного порта 443 должно хватить (если нужен HTTP, то ещё и 80).

Если ты пользуешься обычными зеркалами для обновления, то apt использует протокол HTTPS или HTTP. Так что обычного порта 443 должно хватить (если нужен HTTP, то ещё и 80).

Ну вот 871 прокатил, но я лишнего открывать не хочу. Пользуюсь официальными через apt. 443 лучше открыть?

871 можешь закрывать. Сейчас работает потому что ты «в облаке» не закрыл 80 или 443 (ну или 21 и у тебя в зеркалах ftp лежит)

Трудно сказать про 871. Он никакого отношения к apt не имеет. Смотри в sources.list, там обычно видно, по какому протоколу обновления скачиваются.

Вот что показывает команда:

655656@Cloud:~$ sudo iptables -L -n -v

[sudo] password for 21121:

Chain INPUT (policy ACCEPT 7356 packets, 10M bytes) pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp – eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:871

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 3206 packets, 149K bytes) pkts bytes target prot opt in out source destination

Ты входящий порт открываешь? Обновлениям входящие соединения не нужны. Или ты настраиваешь сервер, что бы с него обновления скачивать? Кроме того, у тебя вообще всё открыто, так как policy accept везде. Ты что делаешь-то?

Кроме того, у тебя вообще всё открыто, так как policy accept везде. Ты что делаешь-то?

Так, погоди. Вот мои действия по мануалам:

iptables -P INPUT DROP - закрываю порты на внешние подключения.

iptables -A INPUT -i eth0 -p tcp –dport 56324 -j ACCEPT - открываю доступ на подключение только по SSH (порт сменил специально), также потом открою порт под syncthing.

Да, и вот походу я понимаю что я натупил, и не закрыл исходящий трафик вот так:

iptables -P OUTPUT DROP - закрываю порты на подключения изнутри в сеть

iptables -A OUTPUT -i eth0 -p tcp –dport 80 -j ACCEPT - открываю порт для обновлений.

Верно всё я понимаю?

Так закроется, да. Вот только когда ты будешь подключаться по SSH, обратно пакеты пойдут через цепь OUTPUT… А там закрыто…

Так закроется, да. Вот только когда ты будешь подключаться по SSH, обратно пакеты пойдут через цепь OUTPUT… А там закрыто…

Понял, спасибо.

В sources.list ничего нет по портам вообще.

Не те мануалы читаете, этого для вашей задачи хватит https://www.opennet.ru/docs/RUS/iptables/

Зато там указаны протоколы. Пример:

deb http://http.debian.net/debian buster main contrib non-free
deb http://http.debian.net/debian/ buster-updates main contrib non-free
deb http://security.debian.org/ buster/updates main contrib non-free

О чем вы? ТС как минимум пишет то что вызовет ошибку при исполнении команды, даже не пробуя её выполнить iptables -A OUTPUT -i eth0 -p tcp –dport 80 -j ACCEPT А вы про протоколы :)

Я про то, что он ищет у себя в sources.list порты, а нужно смотреть на протоколы и уже по ним будет ясно какие порты ему нужны. Нужно же его направить на правильный путь.

Отлично, вы нашли ошибку! Так может покажете как нужно?)

Логично) Спасибо)

никакой, достаточно разрешить RELATED,ESTABLISHED соединения

Какой нужно открыть порт для apt update/upgrade/install? (комментарий)

Какой нужно открыть порт для apt update/upgrade/install? (комментарий)

Конечно легче сослаться на страницу сайта, изучение которой займёт наверное неделю, чем дать реальное решение сразу. Я предполагаю что вы всего лишь хотели показаться «знающим», а на деле, просто попытались выпендриться.

Конечно легче сослаться на страницу сайта, изучение которой займёт наверное неделю

Дня на прочтение хватит.

чем дать реальное решение сразу

Прежде чем «дать решение сразу», придется вам задать кучу наводящих вопросов, что по итогу решения займет больше времени чем если вы потратите один день.

Прежде чем «дать решение сразу», придется вам задать кучу наводящих вопросов, что по итогу решения займет больше времени чем если вы потратите один день.

Что за вопросы то? Ясно же писал выше, закрыть все порты и открыть SSH с возможностью обновлять систему - всё.

Ну ок. Первый. Закрыть куда? Вход, выход, транзитные? Вы же не указали ничего в топике. А между тем разница описана уже вначале tutorial. И если бы вы хоть наискосок посмотрели, вместо того что бы топить в тему «вай какой большой текст», там дофига примеров.

Вход, выход, транзитные

Честно сказать вы видимо человек либо зануда, либо тугой. Видно что мне есть дело «вход, выход, транзитные» и я детально в этом разбираюсь? Мне нужно поставить защиту от посторонних, и третий раз повторяю «закрыть все порты и открыть SSH с возможностью обновлять систему - всё.» не поймёт основной посыл только дурак. Вход, выход и так далее вы могли бы показать на примере и написать, но нет же, вы посты себе набиваете пытаясь показаться знающим. Это просто facepalm товарищи..

В этом разделе пытаются помочь, тем кто хоть что-то пытается сделать сам. Бывают исключения. Возможно вам и повезет.
А для «сделайте всё за меня» предназначен другой раздел www.linux.org.ru/forum/job/

В этом разделе пытаются помочь, тем кто хоть что-то пытается сделать сам. Бывают исключения. Возможно вам и повезет. А для «сделайте всё за меня» предназначен другой раздел www.linux.org.ru/forum/job/

Успехов вам) И просьба, больше не вступайте со мной в диалог в созданных мною темах. Ваше мнение и мысли на столько бесценны, что их стоит оставить только при вас.

Кроме того, у тебя вообще всё открыто, так как policy accept везде.

Я понял в чём вчера было дело… Вобщем не сработала комманда iptables-save. У меня нет даже папки sysconfig, и в ней файла iptables. Отсюда правила не сохранились после перезагрузки. Куда стоит копнуть для сохранений?

Например, сюда: https://packages.debian.org/buster/iptables-persistent

Например, как вам уже написали, вот сюда:

www.linux.org.ru/forum/job/

После вот такого:

Честно сказать вы видимо человек либо зануда, либо тугой.

Ответы на все Ваши вопросы должны быть по тарифу, включающему в себя оскорбления с Вашей стороны.

+100500

Например, сюда: https://packages.debian.org/buster/iptables-persistent

Спасибо, сохранилось!)

Но вот в чём-то ещё дело. Я переназначил 22 порт на 3456 к примеру, подключаюсь пока по локалке - не подключается, также для syncthing GUI я открыл порт 8384 и тоже не подключается. (Если для всех INPUT/OUTPUT поставить ACCEPT, всё будет подключатся) При вот таком наборе правил не срабатывает, может что не правильно? Нет доступа к ПК, что-то примерно такого типа (взял с поста выше и по памяти подкорректировал):

Chain INPUT (policy DROP 7356 packets, 10M bytes) pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp – eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3456
0 0 ACCEPT tcp – eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8384

Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination

Chain OUTPUT (policy DROP 3206 packets, 149K bytes) pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp – eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3456
0 0 ACCEPT tcp – eth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8384

Вношу я правила вот такими коммандами:

iptables -A INPUT -i eth0 -p tcp –dport 3456 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –dport 8384 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –dport 3456 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –dport 8384 -j ACCEPT

Вообщем правила есть, записаны, другие порты закрыты, и всё равно почему-то не пускает... Что не так?

Но при этом я не делал ACCEPT для всей wlo или как там сети, как рекомендуют в некоторых мануалах.

Вопрос решен. Пользователи ЛОРа, которые были в данной теме помочь не смогли ввиду набития постов без знаний. Подсказал как решить вопрос другой пользователь при обращении в личных сообщениях.

Молодец, а теперь иди в школу и учи орфографию и пунктуацию.

Молодец, а теперь иди в школу и учи орфографию и пунктуацию.

ok :)