Lecture cette réponse sur activant UFW , je comprends qu'un ordinateur sans pare-feu peut être sécurisé sur mon réseau local, mais ceci Une configuration sécurisée sur un ordinateur portable utilisé en dehors de mon réseau local peut être risquée.
Comme ufw est installé par défaut, je souhaite l’activer et je souhaite le configurer pour mon " configuration de base de bureau/ordinateur portable ".
Par "configuration de base de bureau/ordinateur portable", je veux dire que mon ordinateur est utilisé pour:
Un pare-feu de bureau de base va interdire le trafic entrant et le trafic sortant dans une configuration de base. Pour l'essentiel, bien que Windows puisse intégrer le filtrage basé sur les applications, ses règles par défaut consistent à autoriser les transferts entrants et sortants, sauf lorsque le trafic sortant reçoit une réponse. Il s'agit de la configuration de pare-feu "de bureau" typique généralement observée à l'état sauvage sur les ordinateurs de bureau des utilisateurs finaux typiques.
(Idéalement, vous utilisez ufw
pour plus de simplicité, mais un ensemble de règles vraiment utile utilisera purement iptables
à la place.)
La méthode ufw
. Et probablement la configuration la plus élémentaire mais la plus efficace de ufw
pour un ordinateur de bureau ne nécessitant aucune connexion entrante spéciale, ni aucune restriction particulière pour les communications sortantes:
En théorie, vous souhaiterez refuser le trafic entrant, autoriser le trafic sortant et autoriser le trafic entrant lié à vos actions sortantes. ufw
le fait presque par défaut.
Notez que je n'ai pas de règles allow
supplémentaires ici. Vous n'avez besoin d'aucune règle d'autorisation supplémentaire - ufw
fait par défaut ce que fait mon iptables
installé manuellement ci-dessous - il accepte le trafic entrant lié à une connexion sortante établie. Par conséquent, les connexions de navigateur Web et les clients de messagerie électronique initialisent les numéros de port qui correspondent à la "plage de ports aléatoires" fonctionneront, et vous ne serez pas obligé d'accepter le trafic http (80)
, https (443)
, etc. sur leurs ports car il est déjà géré de manière transparente. Pour ajouter des règles ALLOW IN
supplémentaires telles que la réponse de Boris le fait , l'utilisateur de bureau typique n'est ouvert qu'aux connexions inutiles sur ces ports, dont un bureau n'aurait pas besoin.
(1) Activer UFW
Activer les règles ufw
ufw enable
Cela devrait vraiment être tout ce que vous devez faire pour ufw
. Mais vous pouvez continuer si vous voulez.
(2) Refuser le trafic entrant
C’est à peu près sûr que c’est la valeur par défaut, mais pour vous en assurer, exécutez cette opération pour vous assurer qu’elle interdit le trafic entrant par défaut (à l’exception de celle liée aux messages sortants, tels que les éléments de navigateur Web):
ufw default deny incoming
(3) Autoriser le trafic sortant
Cela devrait également être la valeur par défaut, mais exécutez-le et assurez-vous que le trafic sortant est autorisé:
ufw default allow outgoing
Cela devrait être tout ce que vous devez faire!
(Je vérifierai cela plus tard aujourd'hui)
Et puis, voici mon chemin, avec iptables
et la manipulation manuelle des netfilter
/iptables
au lieu de ufw
(ce qui le fait silencieusement) (---)
D'après ce que je peux dire, ufw
a un ensemble de règles par défaut et cela devrait suffire à un bureau typique.
Cependant, je préfère l'approche iptables
car je connais assez bien iptables
et parce que j'aime configurer manuellement mon pare-feu plutôt que de laisser ufw
ou un logiciel de contrôle de pare-feu aléatoire créer mes règles pour moi.
Ceci est mon jeu de règles pour iptables
(NOT ufw
) sur mes ordinateurs de base sans autre écoute, et n'est pas verrouillé comme mon ordinateur portable personnel. Il réalise également à peu près exactement la même chose que le système UFW:
iptables -A INPUT -i lo -j ACCEPT
- Faut autoriser localhost, non?
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED
- Permet au trafic déjà établi de finir d'entrer. Autorise le trafic lié aux communications sortantes.
iptables -A INPUT -p icmp -j ACCEPT
- Autorise les paquets ICMP dans (ping, etc.). Vous n'en avez pas besoin, mais vous pouvez l'avoir si vous le voulez.
iptables -A INPUT -j REJECT --reject-with icmp-Host-unreachable
- Cela empêche tout ce qui va vers l'ordinateur.
La valeur système par défaut pour iptables
sans règles ufw ou autres règles activées est "ACCEPT" pour INPUT, OUTPUT et FORWARD. J'ajoute donc manuellement la règle "Rejeter tout autre trafic" à la fin.
(Notez que c'est presque exactement ce que l'IPtables HowTo fournit sur les pages d'aide d'Ubunt . Plus quelques modifications mineures)