Помогите UFW

0

1

Товарищи всех приветствую, подскажите пожалуйста юному и неопытному, как решить сие… безобразие Установил согласно инструкции: user $ pamac install ufw, user $ sudo systemctl enable ufw.service, user $ sudo ufw enable, user $ pamac install ufw-extras, также как новичок поставил гуи-оболочкуuser $ pamac install gufw. Теперь ключевой вопрос почему когда добавляю правила через оболочку или через консоль, допустим чтобы закрыть порт для браузера, то ничего не запрещается? то есть как работал браузер, так и работает, статус ufw смотрел status:Active, статус службы systemctl status ufw тоже в норме, не могу понять в чем проблема, хотя когда через гуи-оболочку ставлю «запретить» входящие и исходящие пакеты, то это действие выполняется нормально и все блокируется. Я правильно понимаю, если я сделал правило разрешающее допустим те же исходящие и входящие пакеты для браузера и перевел ufw в режим «ЗАПРЕТИТЬ ВСЕ», то мое правило должно разрешать браузеру выход в интернет, чего тоже не происходит.

←	keyboard (brown switches) советов тред

Самый простые способы шифрования папок?

→

допустим чтобы закрыть порт для браузера

Заитриговал. Что такое «порт для браузера» ?

Anoxemian ★★★★★
(22.12.22 01:27:11 MSK)

Ответ на: комментарий от Anoxemian 22.12.22 01:27:11 MSK

ну в качестве порта указываю http, либо https соответственно порты 80 либо 443, все равно при этих манипуляциях браузер продолжает работать в штатном режиме

jajabineX
(22.12.22 01:43:45 MSK) автор топика

Ответ на: комментарий от jajabineX 22.12.22 01:43:45 MSK

Ага, осталось понять какой трафик ты блокируешь, исходящий или входящий.

Anoxemian ★★★★★
(22.12.22 01:53:01 MSK)

Ответ на: комментарий от Anoxemian 22.12.22 01:53:01 MSK

правило создаю на блокировку исходящего и входящего, разные вариации пробовал, через гуи и консоль.

jajabineX
(22.12.22 02:00:41 MSK) автор топика

Ты хочешь запретить хттпой ходить наружу?

Разве ufw reject out http не работает?

ya-betmen ★★★★★
(22.12.22 02:04:51 MSK)

Ответ на: комментарий от jajabineX 22.12.22 02:00:41 MSK

Ну тогда заблокируй исходящий трафик на порт 443 после чего выложи результат команды iptables -t filter -L -nxv

Anoxemian ★★★★★
(22.12.22 02:04:54 MSK)

Ответ на: комментарий от Anoxemian 22.12.22 02:04:54 MSK

sudo iptables -t filter -L -nxv  ✔  5s  Chain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination
75296 236719163 ufw-before-logging-input all – * * 0.0.0.0/0 0.0.0.0/0
75296 236719163 ufw-before-input all – * * 0.0.0.0/0 0.0.0.0/0
1488 84975 ufw-after-input all – * * 0.0.0.0/0 0.0.0.0/0
1326 70001 ufw-after-logging-input all – * * 0.0.0.0/0 0.0.0.0/0
1326 70001 ufw-reject-input all – * * 0.0.0.0/0 0.0.0.0/0
1326 70001 ufw-track-input all – * * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination
0 0 ufw-before-logging-forward all – * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-before-forward all – * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-after-forward all – * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-after-logging-forward all – * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-reject-forward all – * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-track-forward all – * * 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination
59784 10704043 ufw-before-logging-output all – * * 0.0.0.0/0 0.0.0.0/0
59784 10704043 ufw-before-output all – * * 0.0.0.0/0 0.0.0.0/0
3550 296095 ufw-after-output all – * * 0.0.0.0/0 0.0.0.0/0
3550 296095 ufw-after-logging-output all – * * 0.0.0.0/0 0.0.0.0/0
3550 296095 ufw-reject-output all – * * 0.0.0.0/0 0.0.0.0/0
3534 295143 ufw-track-output all – * * 0.0.0.0/0 0.0.0.0/0

Chain ufw-after-forward (1 references) pkts bytes target prot opt in out source destination

Chain ufw-after-input (1 references) pkts bytes target prot opt in out source destination
0 0 ufw-skip-to-policy-input udp – * * 0.0.0.0/0 0.0.0.0/0 udp dpt:137 0 0 ufw-skip-to-policy-input udp – * * 0.0.0.0/0 0.0.0.0/0 udp dpt:138 0 0 ufw-skip-to-policy-input tcp – * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:139 0 0 ufw-skip-to-policy-input tcp – * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:445 0 0 ufw-skip-to-policy-input udp – * * 0.0.0.0/0 0.0.0.0/0 udp dpt:67 0 0 ufw-skip-to-policy-input udp – * * 0.0.0.0/0 0.0.0.0/0 udp dpt:68 0 0 ufw-skip-to-policy-input all – * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type BROADCAST

Chain ufw-after-logging-forward (1 references) pkts bytes target prot opt in out source destination
0 0 LOG all – * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "

Chain ufw-after-logging-input (1 references) pkts bytes target prot opt in out source destination
0 0 LOG all – * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "

Chain ufw-after-logging-output (1 references) pkts bytes target prot opt in out source destination

Chain ufw-after-output (1 references) pkts bytes target prot opt in out source destination

Chain ufw-before-forward (1 references) pkts bytes target prot opt in out source destination
0 0 ACCEPT all – * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED 0 0 ACCEPT icmp – * * 0.0.0.0/0 0.0.0.0/0 icmptype 3 0 0 ACCEPT icmp – * * 0.0.0.0/0 0.0.0.0/0 icmptype 11 0 0 ACCEPT icmp – * * 0.0.0.0/0 0.0.0.0/0 icmptype 12 0 0 ACCEPT icmp – * * 0.0.0.0/0 0.0.0.0/0 icmptype 8 0 0 ufw-user-forward all – * * 0.0.0.0/0 0.0.0.0/0

jajabineX
(22.12.22 02:23:01 MSK) автор топика

Ответ на: комментарий от Anoxemian 22.12.22 02:04:54 MSK

продолжение…

Chain ufw-before-input (1 references) pkts bytes target prot opt in out source destination
0 0 ACCEPT all – lo * 0.0.0.0/0 0.0.0.0/0
23243 26338328 ACCEPT all – * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED 0 0 ufw-logging-deny all – * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID 0 0 DROP all – * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID 0 0 ACCEPT icmp – * * 0.0.0.0/0 0.0.0.0/0 icmptype 3 0 0 ACCEPT icmp – * * 0.0.0.0/0 0.0.0.0/0 icmptype 11 0 0 ACCEPT icmp – * * 0.0.0.0/0 0.0.0.0/0 icmptype 12 0 0 ACCEPT icmp – * * 0.0.0.0/0 0.0.0.0/0 icmptype 8 0 0 ACCEPT udp – * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68 157 33080 ufw-not-local all – * * 0.0.0.0/0 0.0.0.0/0
157 33080 ACCEPT udp – * * 0.0.0.0/0 224.0.0.251 udp dpt:5353 0 0 ACCEPT udp – * * 0.0.0.0/0 239.255.255.250 udp dpt:1900 0 0 ufw-user-input all – * * 0.0.0.0/0 0.0.0.0/0

Chain ufw-before-logging-forward (1 references) pkts bytes target prot opt in out source destination

Chain ufw-before-logging-input (1 references) pkts bytes target prot opt in out source destination

Chain ufw-before-logging-output (1 references) pkts bytes target prot opt in out source destination

Chain ufw-before-output (1 references) pkts bytes target prot opt in out source destination
0 0 ACCEPT all – * lo 0.0.0.0/0 0.0.0.0/0
20018 3818176 ACCEPT all – * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED 1644 141149 ufw-user-output all – * * 0.0.0.0/0 0.0.0.0/0

Chain ufw-logging-allow (0 references) pkts bytes target prot opt in out source destination
0 0 LOG all – * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW ALLOW] "

Chain ufw-logging-deny (2 references) pkts bytes target prot opt in out source destination
0 0 RETURN all – * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID limit: avg 3/min burst 10 0 0 LOG all – * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "

Chain ufw-not-local (1 references) pkts bytes target prot opt in out source destination
0 0 RETURN all – * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type LOCAL 157 33080 RETURN all – * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type MULTICAST 0 0 RETURN all – * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type BROADCAST 0 0 ufw-logging-deny all – * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 0 0 DROP all – * * 0.0.0.0/0 0.0.0.0/0

Chain ufw-reject-forward (1 references) pkts bytes target prot opt in out source destination

Chain ufw-reject-input (1 references) pkts bytes target prot opt in out source destination

Chain ufw-reject-output (1 references) pkts bytes target prot opt in out source destination

Chain ufw-skip-to-policy-forward (0 references) pkts bytes target prot opt in out source destination
0 0 DROP all – * * 0.0.0.0/0 0.0.0.0/0

Chain ufw-skip-to-policy-input (7 references) pkts bytes target prot opt in out source destination
0 0 DROP all – * * 0.0.0.0/0 0.0.0.0/0

Chain ufw-skip-to-policy-output (0 references) pkts bytes target prot opt in out source destination
0 0 ACCEPT all – * * 0.0.0.0/0 0.0.0.0/0

Chain ufw-track-forward (1 references) pkts bytes target prot opt in out source destination

Chain ufw-track-input (1 references) pkts bytes target prot opt in out source destination

Chain ufw-track-output (1 references) pkts bytes target prot opt in out source destination
646 38760 ACCEPT tcp – * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW 810 91389 ACCEPT udp – * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW

Chain ufw-user-forward (1 references) pkts bytes target prot opt in out source destination

Chain ufw-user-input (1 references) pkts bytes target prot opt in out source destination

Chain ufw-user-limit (0 references) pkts bytes target prot opt in out source destination
0 0 LOG all – * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 0 level 4 prefix "[UFW LIMIT BLOCK] " 0 0 REJECT all – * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable

Chain ufw-user-limit-accept (0 references) pkts bytes target prot opt in out source destination
0 0 ACCEPT all – * * 0.0.0.0/0 0.0.0.0/0

Chain ufw-user-logging-forward (0 references) pkts bytes target prot opt in out source destination

Chain ufw-user-logging-input (0 references) pkts bytes target prot opt in out source destination

Chain ufw-user-logging-output (0 references) pkts bytes target prot opt in out source destination

Chain ufw-user-output (1 references) pkts bytes target prot opt in out source destination
172 10320 DROP tcp – * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 0 0 DROP udp – * * 0.0.0.0/0 0.0.0.0/0 udp dpt:443

jajabineX
(22.12.22 02:23:38 MSK) автор топика

Ответ на: комментарий от jajabineX 22.12.22 02:23:38 MSK

Chain ufw-before-output (1 references) pkts bytes target prot opt in out source destination
0 0 ACCEPT all – * lo 0.0.0.0/0 0.0.0.0/0

20018 3818176 ACCEPT all – * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED 

1644 141149 ufw-user-output all – * * 0.0.0.0/0 0.0.0.0/0

Chain ufw-user-output (1 references) pkts bytes target prot opt in out source destination
172 10320 DROP tcp – * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 
0 0 DROP udp – * * 0.0.0.0/0 0.0.0.0/0 udp dpt:443

Ну вот, все нормально. 172 пакета на 10320 байт заблокировано.

Anoxemian ★★★★★
(22.12.22 02:30:05 MSK)

Ответ на: комментарий от Anoxemian 22.12.22 02:30:05 MSK

iptables -t filter -L -nxv кстати после этой команды все заработало почему-то, сейчас смотрю вкладки в браузере стояли на обновлении и перестали обновляться, почему то на яндекс все равно заходит, а на другие ресурсы блок, а это нормально что если я настраиваю на блокировку всего трафика входящего и исходящего, создаю правило разрешающее тому же браузеру отправлять и получать пакеты, то он тоже не получает пакеты и остается дальше в блоке?

jajabineX
(22.12.22 02:35:58 MSK) автор топика

Ответ на: комментарий от jajabineX 22.12.22 02:35:58 MSK

по идее такого же не должно быть? ведь я создал правило разрешающее ему получать и отправлять пакеты

jajabineX
(22.12.22 02:42:11 MSK) автор топика

Ответ на: комментарий от jajabineX 22.12.22 02:35:58 MSK

Ненормально - это то, что ты мелешь. Попробуй сначала складывать мысли в слова самому себе, потом вываливать этот поток другим на обозрение. Очевидно, ты просто понятия не имеешь, что делаешь и как это все работает. Переформатируй свою мысль, желательно выкинув на мороз аналогии вроде «браузер». А правила исполняются последовательно. Если первое - DROP, то последующее ACCEPT уже неактуально.

Anoxemian ★★★★★
(22.12.22 02:43:04 MSK)

Ответ на: комментарий от Anoxemian 22.12.22 02:43:04 MSK

понял, спасибо за помощь

jajabineX
(22.12.22 02:47:13 MSK) автор топика

←	keyboard (brown switches) советов тред

General

Самый простые способы шифрования папок?

→

Похожие темы