Um firewall de desktop básico negará a entrada e permitirá o tráfego de saída em uma configuração básica. Essencialmente, embora o Windows possa incorporar a filtragem baseada em aplicativos, seus conjuntos de regras padrão permitem a saída e rejeitam a entrada, exceto quando o tráfego de saída está recebendo uma resposta. Essa é a típica configuração de firewall de "área de trabalho" geralmente observada em ambientes abertos nos desktops típicos do usuário final.
(Idealmente, você está usando ufw
para simplificar, mas um conjunto de regras realmente útil usará iptables
puro).
A maneira ufw
. E provavelmente a configuração mais básica, porém eficaz, de ufw
para um computador desktop que não precisa de nenhuma conexão de entrada especial ou restrições especiais para saída:
Em teoria, você desejará negar o tráfego de entrada e permitir a saída, além de permitir que o tráfego de entrada relacionado às suas ações seja enviado para fora. ufw
praticamente faz isso por padrão.
Observe que não tenho regras allow
adicionais aqui. Você não precisa de nenhuma regra de permissão adicional - ufw
faz o que meu iptables
conjunto instalado abaixo faz - ele aceita tráfego de entrada relacionado a uma conexão de saída estabelecida, portanto, conexões de navegador da Web e clientes de e-mail que inicializam sua saída as comunicações nos números de porta alta, que são o 'intervalo de portas aleatórias', funcionarão e você não precisará aceitar o tráfego de http (80)
, https (443)
, etc. em suas portas de volta, porque ele já é tratado de forma transparente. Para adicionar regras adicionais de ALLOW IN
como a resposta de Boris só abre o usuário típico de desktop para conexões desnecessárias nessas portas, o que A área de trabalho não precisaria.
(1) Ativar o UFW
Ative as regras ufw
ufw enable
Isso realmente deve ser tudo o que você precisa fazer para ufw
. Mas você pode continuar se quiser.
(2) Negar tráfego de entrada
Tenho certeza de que esse é o padrão, mas, para ter certeza, execute isso para garantir que ele negue o tráfego de entrada por padrão (exceto o relacionado à saída, como coisas do navegador da Web):
ufw default deny incoming
(3) Permitir tráfego de saída
Este também deve ser o padrão, mas execute-o e verifique se o tráfego de saída é permitido:
ufw default allow outgoing
Isso deve ser tudo que você precisa fazer!
(vou verificar isso mais tarde hoje)
E então, há o meu caminho, com iptables
e manipulação manual das regras netfilter
/ iptables
em vez de ufw
(que faz isso silenciosamente)
Pelo que posso dizer, ufw
tem um conjunto de regras padrão e isso deve ser tudo o que você precisa para a área de trabalho típica.
No entanto, eu prefiro a abordagem iptables
porque conheço iptables
muito bem até agora, e porque gosto de configurar manualmente meu firewall em vez de deixar ufw
ou software de controle de firewall aleatório criar minhas regras para mim.
Este é o meu conjunto de regras para iptables
(NÃO ufw
) nos meus desktops básicos, sem outras coisas ouvindo, e não está sendo bloqueado como o meu laptop pessoal. Também alcança quase exatamente a mesma coisa que o material UFW:
iptables -A INPUT -i lo -j ACCEPT
- Tem que permitir localhost, não?
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED
- Permite que o tráfego já estabelecido termine de chegar. Permita tráfego relacionado às comunicações de saída.
iptables -A INPUT -p icmp -j ACCEPT
- Permitir pacotes ICMP em (ping, etc.). Você não precisa disso, mas pode tê-lo se quiser.
iptables -A INPUT -j REJECT --reject-with icmp-host-unreachable
- Isso nega todo o resto vindo em direção ao computador.
O padrão do sistema para iptables
sem regras ufw ou qualquer outra regra habilitada é "ACCEPT" para INPUT, OUTPUT e FORWARD. Por isso, adiciono manualmente a regra "Rejeitar todo o outro tráfego" no final.
(Note que isso é quase exatamente o que o How-to-IPtables nas páginas de ajuda do Ubuntu produz. Além disso, alguns pequenos ajustes menores )