LINUX.ORG.RU

Нужность фаервола на десктопе

 , , ,


1

4

Привет всем! Такой вопрос: насколько может быть нужным фаервол на десктопе с Линуксом? Ну то есть запретить всё, и открыть только нужные порты (браузер, скайп, там самба к примеру). Стоит заморачиваться? Правила для iptables составлять умею, но в курсе про UFW и gUFW, то есть не принципиально. Есть тут те, кто настраивал и юзает фаерволл на своём уютном дескопе?

а какой порт у браузера, например?

если хочешь попрактиковаться в составлении правил iptables - пожалуйста, но реально на десктопе это ни к чему

anonymous
()

отличие линакса от венды в том, что можно просто не запускать никаких сетевых демонов, и раз никто порты не слушает — незачем их закрывать, ящитаю

anonymous
()

У меня shorewall, полёт нормальный. Необходимости нет, скорее «не повредит».

anonymous
()
Ответ на: комментарий от Sunderland93

Можно и закрыть, но будь готов лазить в правила периодически, на десктопе часто софт меняется, в сеть хочет выйти.

King_Carlo ★★★★★
()
Ответ на: комментарий от anonymous

80 TCP для HTTP, и 53 UDP для DNS. Только что проверил. Ну да, и 443 TCP для HTTPS

Sunderland93 ★★★★★
() автор топика
Ответ на: комментарий от King_Carlo

Считаю, это вопрос принципиальный. Поднимать фаервол следует в «неблагоприятных» условиях. Если модем с натом, и один в «сети» - смысла нет этим заморачиваться.

Majestio
()

Ок, то есть смысла в этом не много?

Sunderland93 ★★★★★
() автор топика

Из приложений, прослушивающих 0.0.0.0, запущен разве что торрент-клиент, поэтому список правил iptables девственно чист. Подключаюсь напрямую (без роутера).

anonymous
()

Нужность фаервола на десктопе

винда уже доказала, многолетнем опытом, его не нужность.

spichka ★★★
()

Такой вопрос: насколько может быть нужным фаервол на десктопе с Линуксом? Ну то есть запретить всё, и открыть только нужные порты (браузер, скайп, там самба к примеру). Стоит заморачиваться?

Фаервол использовать смысл имеет. Заморачиваться не стоит, а вот запретить все входящие подключения стоит — это недолго. Запрещать исходящие подключения вряд ли имеет смысл.

Можно и без фаервола жить, конечно, какой-то большой защиты он не привносит. Сетевые сервисы на десктопе обычно живут на 127.0.0.1 и в интернет не смотрят.

Legioner ★★★★★
()
Ответ на: комментарий от Pinkbyte

Когда будет sshd - тогда fail2ban запущу, а так пока обхожусь без фильтрации на домашнем лэптопе :)

anonymous
()

А кто это у нас такой буржуй жыыырненький, сидят , панимаешь, в интернетах с белыми адресами... срамота!

Нафига за НАТом, может еще и за НАТом провайдера, за дохлым модемом (если адсл жээто)

Deleted
()
Ответ на: комментарий от spichka

винда уже доказала, многолетнем опытом, его не нужность.

А поподробнее?

Sunderland93 ★★★★★
() автор топика
Ответ на: комментарий от redixin

Зачем?

Вдруг поставишь по дурости какой-нибудь сервер, который на 0.0.0.0 прицепится и в нём дырка будет, и получится упс.

Шансов немного, но десктопу входящие подключения обычно совсем не нужны. Ну может для торрента сделать исключение, это не сложно.

Legioner ★★★★★
()
6 января 2016 г.

Если TELNET не закрыт, могут быть проблемы…

Deathstalker ★★★★★
()

Есть тут те, кто настраивал и юзает фаерволл на своём уютном дескопе?

Firewalld на всех машинах (лэптопы и серваки), и все имеющиеся сетевые подключения распределены по зонам доверия.
Теоретически, для десктопа угрозу может создать любой скомпрометированный хост в этой же сети, в т.ч. ломаный роутер или смартфон.

ArcFi
()
21 июня 2016 г.

Направьте на истинный путь. Имеется десктоп Арч. Подключен к wi-fi через кабель. Динамический ip, NAT выключен, можно включить в ЛК провайдера. Обычно влючены tor, sshd (цепляюсь со смартфона по вайфай), qbittorrent, chromium, планируется samba.

Я пока вижу три пути. Что выбрать:

1. Настроить iptables/ufw.

2. Включить NAT

3. Оставить как есть.

NyXzOr ★★★★
()
Ответ на: комментарий от Sunderland93

Напрямую. 3G свисток.

Ты заказ услугу «реальный IP» ? Посмотри на свой IP-шник.

arson ★★★★★
()
Ответ на: комментарий от Sunderland93

Браузер устанавливает соединение с рандомного (не 80-го) порта на 80-й порт сервера.

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 192.168.254.192:48098   72.21.91.29:80          ESTABLISHED 3245/firefox

Alternating_Current
()

Зависит от того, чем вы занимаетесь на десктопе. Для средней домашней машины это избыточный механизм безопасности.

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.