この答えはUFWを有効にする を読んで、ファイアウォールのないコンピューターがローカルネットワークで安全であると理解していますが、これは同じですローカルネットワーク外で使用されるラップトップでの安全な構成は危険です。
ufw がデフォルトでインストールされているので、それをオンにしたいと思います。基本的なデスクトップ/ラップトップの構成」。
「基本的なデスクトップ/ラップトップの構成」とは、コンピューターが次の目的で使用されることを意味します。
基本的なデスクトップファイアウォールは、基本設定で受信を拒否し、送信「トラフィック」を許可します。基本的に、Windowsはアプリケーションベースのフィルタリングを組み込むことができますが、デフォルトのルールセットは、アウトバウンドトラフィックが応答を受け取っている場合を除き、アウトバウンドを許可し、インバウンドを拒否します。これは、典型的なエンドユーザーのデスクトップで通常観察される典型的な「デスクトップ」ファイアウォール設定です。
(理想的には、簡単にするためにufw
を使用していますが、本当に便利なルールセットは代わりに純粋なiptables
を使用します。)
ufw
の方法。そしておそらく、特別なインバウンド接続やアウトバウンドへの特別な制限を必要としないデスクトップコンピューター用の最も基本的だが効果的なufw
セットアップ:
理論的には、インバウンドトラフィックを拒否し、アウトバウンドを許可し、アウトバウンドへのアクションに関連する着信トラフィックを許可します。 ufw
はデフォルトでほとんどこれを行います。
ここには、追加のallow
ルールがないことに注意してください。追加の許可ルールは必要ありません-ufw
はデフォルトで以下に設定する手動でインストールしたiptables
が行うことを行います-確立された発信接続に関連する着信トラフィックを受け入れるため、Webブラウザー接続とメールクライアントは発信通信を高レベルで初期化します「ランダムなポート範囲」であるポート番号は機能します。また、http (80)
、https (443)
などのトラフィックは既に透過的に処理されているため、それらのポートで受け入れる必要はありません。 Boris's answer does のような追加のALLOW IN
ルールを追加すると、一般的なデスクトップユーザーは、デスクトップが必要としないこれらのポートでの不要な接続のみを開きます。
(1)UFWを有効にする
ufw
ルールを有効にする
ufw enable
これは本当にufw
に対して行う必要があるすべてです。ただし、必要に応じて続行できます。
(2)着信トラフィックの拒否
これがデフォルトであることはかなり確かですが、確認するために、これを実行してデフォルトで着信トラフィックを拒否するようにします(Webブラウザーなどの発信に関連するトラフィックを除く)。
ufw default deny incoming
(3)アウトバウンドトラフィックの許可
これもデフォルトである必要がありますが、実行して、発信トラフィックが許可されていることを確認してください。
ufw default allow outgoing
それがあなたがする必要があるすべてです!
(本日、後で確認します)
そして、iptables
とnetfilter
の代わりにiptables
/ufw
ルールを手動で操作するという方法があります(これは暗黙のうちに行われます)
私が知ることができることから、ufw
にはデフォルトのルールセットがあり、これが典型的なデスクトップに必要なものすべてです。
ただし、これまでiptables
を十分に理解しており、iptables
またはランダムファイアウォール制御ソフトウェアにルールを作成させるよりも、手動でファイアウォールを構成するのが好きなので、ufw
アプローチを好みます。
これは、基本的なデスクトップでのiptables
(ufw
ではない)のルールセットであり、他のことは聞いていません。また、私のラップトップコンピューターのようにロックダウンされていません。また、UFWのものとほぼ同じことをほぼ実現します。
iptables -A INPUT -i lo -j ACCEPT
-ローカルホストを許可する必要がありますか?
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED
-既に確立されたトラフィックの着信を許可します。発信通信に関連するトラフィックを許可します。
iptables -A INPUT -p icmp -j ACCEPT
-ICMPパケットを許可します(pingなど)。これは必要ありませんが、必要に応じて使用できます。
iptables -A INPUT -j REJECT --reject-with icmp-Host-unreachable
-これは、コンピューターに向かう他のすべてを拒否します。
Ufwルールまたは他のルールが有効になっていないiptables
のシステムデフォルトは、INPUT、OUTPUT、およびFORWARDの「ACCEPT」です。そこで、最後に自分で「他のすべてのトラフィックを拒否する」ルールを手動で追加します。
(これはほぼ正確に buntuヘルプページのIPtablesハウツー が生成することに注意してください。さらにいくつかのマイナーな微調整)