UFW (Uncomplicated Firewall) без GUI как удобная альтернатива шаманству с iptables - для ленивых

0

1

Добрый вечер!

В Debian есть такая интересная вещь, как утилита UFW, ставится из реп:

sudo apt update
sudo apt install ufw

Типовая конфигурация:

sudo ufw default deny incoming
sudo ufw default allow outgoing

Включить UFW:

sudo ufw enable

Отключить:

sudo ufw disable

Проверить статус:

sudo ufw status verbose

Подробнее:

https://manpages.debian.org/bullseye/ufw/ufw.8.en.html

https://www.digitalocean.com/community/tutorials/how-to-set-up-a-firewall-wit...

На первый взгляд, отличная вещь.

Может предложите ложку дегтя, чтобы не было лишних иллюзий?

И вот, из непонятного:

~$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

При этом, попытка прописать по аналогии с приведенными выше конструкциями:

~$ sudo ufw default allow routed
Default routed policy changed to 'allow'
(be sure to update your rules accordingly)

Вроде и отрабатывает, но не дает ничего, ибо по прежнему:

~$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

В общем, непонятно.

Ссылка

←	Docker Nextcloud Hub проблема с обновлением приложений

Что такое «Utopia Ecosystem» ?

→

Сам похвалил, сам обгадил, сам признался, что ННП. Прекрасно.

Anoxemian ★★★★★
(09.03.23 19:14:57 MSK)

Ответ на: комментарий от Anoxemian 09.03.23 19:14:57 MSK

А потому, что уже привык - если все кажется слишком радужным, то чего-то недосмотрел. А так-то да, обрывочность моих познаний удручает. Но стараюсь исправляться. Не без помощи ЛОР-а, кстати. )

UNX
(09.03.23 19:57:04 MSK) автор топика

Ссылка

Острожней с ней, не все vps ее поддерживают. Например Оракл не поддерживает, явно написано, что с ней все сломается.

~~Im_not_a_robot~~ ★★★★★
(09.03.23 19:59:10 MSK)

Как активный пользователь этой фигни, скажу откровенно, глючит она периодически. Вроде правила помнит, но в iptables при загрузке может чего-то не попасть, порт не открыть и доступ к машине теряется. Такие пироги.

Не знаю может за годы это пофиксили, но года 4 назад точно было так.

unDEFER ★★★★★
(09.03.23 20:00:00 MSK)
Последнее исправление: unDEFER 09.03.23 20:06:29 MSK (всего исправлений: 1)

Ответ на: комментарий от Im_not_a_robot 09.03.23 19:59:10 MSK

Ну вот же! О чем и говорил! Спасибо!)

Ну пока на десктопе, так что не столь критично.

UNX
(09.03.23 20:06:04 MSK) автор топика

Ссылка

Ответ на: комментарий от Im_not_a_robot 09.03.23 19:59:10 MSK

Вот, если конкретней:

https://docs.oracle.com/en-us/iaas/Content/Compute/known-issues.htm#ufw

~~Im_not_a_robot~~ ★★★★★
(09.03.23 20:10:40 MSK)

Ответ на: комментарий от Im_not_a_robot 09.03.23 20:10:40 MSK

Всё. Тогда буду по старинке. И казалось бы, причем здесь фаервол. Спасибо! В общем, тогда можно считать тему закрытой. )

UNX
(09.03.23 20:16:56 MSK) автор топика

Ссылка

Ответ на: комментарий от unDEFER 09.03.23 20:00:00 MSK

Спасибо, что поделились! Тогда буду разбираться с Iptables.

UNX
(09.03.23 20:18:18 MSK) автор топика

Ответ на: комментарий от UNX 09.03.23 20:18:18 MSK

Может пора уже с nftables сразу?

animechaos ★★
(09.03.23 20:20:00 MSK)

Ответ на: комментарий от animechaos 09.03.23 20:20:00 MSK

А я этого зверя в системе не встречал вроде. Сейчас почитаю.

Забавно, что мне человек еще вчера посоветовал: iptables: Все входящие бесплатно, а исходящие в 2 раза дешевле! (комментарий)

Но я подумал, что это к какому-то другому дистрибутиву, и отложил «на разобраться потом». А это вообще подсистема ядра.

UNX
(09.03.23 20:20:54 MSK) автор топика
Последнее исправление: UNX 09.03.23 20:24:54 MSK (всего исправлений: 1)

Ответ на: комментарий от UNX 09.03.23 20:20:54 MSK

Если относительно свежая система используется и не требуется docker-podman, то всяко лучше чем iptables.

Для vps или виртуалок с простыми правилами уж точно.

animechaos ★★
(09.03.23 20:26:21 MSK)
Последнее исправление: animechaos 09.03.23 20:26:57 MSK (всего исправлений: 1)

Ответ на: комментарий от animechaos 09.03.23 20:26:21 MSK

CLI-питонолапша для работы с userspace cli инструментом подсистемы ядра, это даже круче спецолимпиады.

Anoxemian ★★★★★
(09.03.23 20:29:48 MSK)

Ответ на: комментарий от animechaos 09.03.23 20:26:21 MSK

Debian 11, но наверное, лучше сразу изучать что-то новое, чем потом переучиваться. Спасибо, что посоветовали! И, кстати, конфиг в ext лежит. Не обращал до этого внимания.

UNX
(09.03.23 20:31:51 MSK) автор топика

Ответ на: комментарий от Anoxemian 09.03.23 20:29:48 MSK

А в чём проблема задавать правила точно также из консоли, если уж хочется?

О чём речь?

Генерировать правила через shеll-скрипт никто не запрещал, так-то…

animechaos ★★
(09.03.23 20:32:19 MSK)
Последнее исправление: animechaos 09.03.23 20:32:35 MSK (всего исправлений: 1)

Ответ на: комментарий от UNX 09.03.23 20:31:51 MSK

Да я про относительно свежие дистры конечно поржал

This software is available upstream since Linux kernel 3.13.

8+ лет уж как

animechaos ★★
(09.03.23 20:35:36 MSK)
Последнее исправление: animechaos 09.03.23 20:36:23 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от animechaos 09.03.23 20:32:19 MSK

А в чём проблема задавать правила точно также из консоли

О том и речь, о том и речь… Но нет, надо питонолапшу-обертку мутить, которая еще и глючит. Г - гениально.

Anoxemian ★★★★★
(09.03.23 20:37:07 MSK)

Ответ на: комментарий от Anoxemian 09.03.23 20:37:07 MSK

Разрабы Netfilter: Ну да, ну да. Пошли мы нах_р.

Вот вам старые добрые:

iptables
ip6tables
ebtables
arptables
ipset

ЛюбитесЪ

питонолапшу

Может хватит? Эти правила не в iptables превращаются, всё же.

animechaos ★★
(09.03.23 20:41:23 MSK)
Последнее исправление: animechaos 09.03.23 20:45:19 MSK (всего исправлений: 3)

Очень простой и удобный, я на Debian SID ей пользуюсь. Для нее есть графический интерфейс GUFW.

koshak83
(10.03.23 20:30:37 MSK)

Ответ на: комментарий от koshak83 10.03.23 20:30:37 MSK

Спасибо, что поделились. Но там, как выяснилось, правила не всегда отрабатывают.

UNX
(10.03.23 23:24:24 MSK) автор топика

Ссылка

opensnitch попробуй

Entmatix ★
(10.03.23 23:28:06 MSK)

Ответ на: комментарий от Entmatix 10.03.23 23:28:06 MSK

В репо нет, а при попытке зайти на сайт https://www.opensnitch.io/ «Country not allowed».

Как говорится, спасибо, тебе, разраб, за честность. Не пришлось тратить время и заморачиваться с аудитом кода. )

UNX
(11.03.23 00:04:30 MSK) автор топика

Ответ на: комментарий от UNX 11.03.23 00:04:30 MSK

Э?

apt search opensnitch
Sorting... Done
Full Text Search... Done
opensnitch/testing,now 1.5.8-2 amd64 [installed]
  GNU/Linux interactive application firewall

Linux ldm 6.1.0-5-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.12-1 (2023-02-15) x86_64 GNU/Linux

Entmatix ★
(11.03.23 00:09:17 MSK)

Ответ на: комментарий от Entmatix 11.03.23 00:09:17 MSK

Так ведь:

https://tracker.debian.org/pkg/opensnitch

Да и смысл? Если люди не хотят, зачем?

UNX
(11.03.23 00:12:55 MSK) автор топика

Ответ на: комментарий от UNX 11.03.23 00:12:55 MSK

Не хотят чего? Ты какую то нерабочую ссылку дал в посте выше. Проект на гитхабе - https://github.com/evilsocket/opensnitch

Entmatix ★
(11.03.23 00:18:36 MSK)

Ответ на: комментарий от Entmatix 11.03.23 00:18:36 MSK

Эх! Вы правы. Зашел через прокси - автор просто не продлил домен и он, похоже, ушел на парковку. Ну а парковщики, понятное дело, настраивали исходя из монетизации.

UNX
(11.03.23 00:27:21 MSK) автор топика
Последнее исправление: UNX 11.03.23 00:29:21 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от animechaos 09.03.23 20:41:23 MSK

Еще раз спасибо за подсказку по nftables! Чем больше читаю, тем больше нравится.

UNX
(11.03.23 10:26:39 MSK) автор топика
Последнее исправление: UNX 11.03.23 10:38:00 MSK (всего исправлений: 1)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Docker Nextcloud Hub проблема с обновлением приложений

General

Что такое «Utopia Ecosystem» ?

→

Похожие темы