web-dev-qa-db-ja.com

基本的なデスクトップ/ラップトップ用にUFWを構成する方法は?

この答えはUFWを有効にする を読んで、ファイアウォールのないコンピューターがローカルネットワークで安全であると理解していますが、これは同じですローカルネットワーク外で使用されるラップトップでの安全な構成は危険です。

ufw がデフォルトでインストールされているので、それをオンにしたいと思います。基本的なデスクトップ/ラップトップの構成」。

「基本的なデスクトップ/ラップトップの構成」とは、コンピューターが次の目的で使用されることを意味します。

  • 使用Firefox
  • Thundurbirdのメールを読む
  • と通信するSkype
  • SteamおよびMinecraftでゲームをプレイ
  • mylocal NFS network でドキュメントを共有する
2
Boris

基本的なデスクトップファイアウォールは、基本設定で受信を拒否し、送信「トラフィック」を許可します。基本的に、Windowsはアプリケーションベースのフィルタリングを組み込むことができますが、デフォルトのルールセットは、アウトバウンドトラフィックが応答を受け取っている場合を除き、アウトバウンドを許可し、インバウンドを拒否します。これは、典型的なエンドユーザーのデスクトップで通常観察される典型的な「デスクトップ」ファイアウォール設定です。

(理想的には、簡単にするためにufwを使用していますが、本当に便利なルールセットは代わりに純粋なiptablesを使用します。)


ufwの方法。そしておそらく、特別なインバウンド接続やアウトバウンドへの特別な制限を必要としないデスクトップコンピューター用の最も基本的だが効果的なufwセットアップ:

理論的には、インバウンドトラフィックを拒否し、アウトバウンドを許可し、アウトバウンドへのアクションに関連する着信トラフィックを許可します。 ufwはデフォルトでほとんどこれを行います。

ここには、追加のallowルールがないことに注意してください。追加の許可ルールは必要ありません-ufwはデフォルトで以下に設定する手動でインストールしたiptablesが行うことを行います-確立された発信接続に関連する着信トラフィックを受け入れるため、Webブラウザー接続とメールクライアントは発信通信を高レベルで初期化します「ランダムなポート範囲」であるポート番号は機能します。また、http (80)https (443)などのトラフィックは既に透過的に処理されているため、それらのポートで受け入れる必要はありません。 Boris's answer does のような追加のALLOW INルールを追加すると、一般的なデスクトップユーザーは、デスクトップが必要としないこれらのポートでの不要な接続のみを開きます。

(1)UFWを有効にする

ufwルールを有効にする

ufw enable

これは本当にufwに対して行う必要があるすべてです。ただし、必要に応じて続行できます。

(2)着信トラフィックの拒否

これがデフォルトであることはかなり確かですが、確認するために、これを実行してデフォルトで着信トラフィックを拒否するようにします(Webブラウザーなどの発信に関連するトラフィックを除く)。

ufw default deny incoming

(3)アウトバウンドトラフィックの許可

これもデフォルトである必要がありますが、実行して、発信トラフィックが許可されていることを確認してください。

ufw default allow outgoing

それがあなたがする必要があるすべてです!

(本日、後で確認します)


そして、iptablesnetfilterの代わりにiptables/ufwルールを手動で操作するという方法があります(これは暗黙のうちに行われます)

私が知ることができることから、ufwにはデフォルトのルールセットがあり、これが典型的なデスクトップに必要なものすべてです。

ただし、これまでiptablesを十分に理解しており、iptablesまたはランダムファイアウォール制御ソフトウェアにルールを作成させるよりも、手動でファイアウォールを構成するのが好きなので、ufwアプローチを好みます。

これは、基本的なデスクトップでのiptablesufwではない)のルールセットであり、他のことは聞いていません。また、私のラップトップコンピューターのようにロックダウンされていません。また、UFWのものとほぼ同じことをほぼ実現します。

iptables -A INPUT -i lo -j ACCEPT-ローカルホストを許可する必要がありますか?

iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED-既に確立されたトラフィックの着信を許可します。発信通信に関連するトラフィックを許可します。

iptables -A INPUT -p icmp -j ACCEPT-ICMPパケットを許可します(pingなど)。これは必要ありませんが、必要に応じて使用できます。

iptables -A INPUT -j REJECT --reject-with icmp-Host-unreachable-これは、コンピューターに向かう他のすべてを拒否します。

Ufwルールまたは他のルールが有効になっていないiptablesのシステムデフォルトは、INPUT、OUTPUT、およびFORWARDの「ACCEPT」です。そこで、最後に自分で「他のすべてのトラフィックを拒否する」ルールを手動で追加します。

(これはほぼ正確に buntuヘルプページのIPtablesハウツー が生成することに注意してください。さらにいくつかのマイナーな微調整)

7
Thomas Ward