阅读这个答案关于启用 UFW我知道,没有防火墙的计算机在我的本地网络中是安全的,但在我的本地网络之外使用的笔记本电脑上采用同样的安全配置可能会有风险。
作为联邦快递是默认安装的,我想打开它,并且我想为我的“基本台式机/笔记本电脑配置”配置它。
所谓“基本台式机/笔记本电脑配置”,是指我的计算机用于:
- 使用火狐
- 阅读电子邮件雷鸟
- 与交流Skype
- 玩游戏蒸汽和我的世界为了我的孩子们
- 分享文档我的本地 NFS 网络
答案1
在基本设置中,基本桌面防火墙将拒绝入站并允许出站“流量”。本质上,虽然 Windows 可以整合基于应用程序的过滤,但其默认规则集是允许出站并拒绝入站,除非出站流量得到响应。这是通常在典型最终用户桌面上观察到的典型“桌面”防火墙设置。
(理想情况下,您使用是ufw为了简单,但真正有用的规则iptables集将使用纯规则。)
方法。对于不需要任何特殊入站连接或特殊出站限制的台式计算机来说,这ufw可能是最基本但最有效的设置:ufw
理论上,您将需要拒绝入站流量、允许出站流量并允许与您的操作相关的入站流量出站。 ufw默认情况下几乎都会这样做。
请注意,我这里没有任何其他allow规则。您不需要任何额外的允许规则 -ufw默认情况下,它执行我iptables下面手动安装的设置 - 它接受与已建立的传出连接相关的入站流量,因此 Web 浏览器连接和电子邮件客户端(它们在高端口号中初始化其传出通信,即“随机端口范围”)将正常工作,并且您不需要接受http (80)、https (443)等。其端口上的流量,因为它已经透明地处理了。要添加其他ALLOW IN规则,例如鲍里斯的回答确实如此只会向典型的桌面用户开放这些端口上不需要的连接,而桌面则不需要这些连接。
(1)启用UFW
开启ufw规则
ufw enable
这实际上应该是您需要做的全部工作ufw。但是,如果您愿意,可以继续。
(2)拒绝入站流量
很确定这是默认设置,但是为了确保它默认拒绝传入流量(除了与传出相关的流量,例如 Web 浏览器流量):
ufw default deny incoming
(3)允许出境交通
这也应该是默认设置,但运行它并确保允许传出流量:
ufw default allow outgoing
这就是您需要做的全部!
(今天晚些时候我会抽查一下)
然后,这就是我的方法,使用iptables和手动操作netfilter/iptables规则而不是ufw(默默地执行此操作)
据我所知,ufw有一个默认规则集,这应该是典型桌面所需要的全部内容。
但是,我更喜欢这种iptables方法,因为iptables到目前为止我非常了解,并且因为我喜欢手动配置我的防火墙,而不是让ufw随机的防火墙控制软件为我构建规则。
这是我的基本桌面上的iptables(NOT ufw) 规则集,没有其他东西在监听,也不会像我的个人笔记本电脑那样被锁定。它还实现了几乎与 UFW 完全相同的功能:
iptables -A INPUT -i lo -j ACCEPT- 必须允许本地主机,不是吗?
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED- 允许已经建立的流量完成进入。允许与传出通信相关的流量通过。
iptables -A INPUT -p icmp -j ACCEPT- 允许 ICMP 数据包进入(ping 等)。您不需要这个,但如果需要,您可以拥有它。
iptables -A INPUT -j REJECT --reject-with icmp-host-unreachable- 这将阻止其他一切进入计算机的事物。
如果没有启用 ufw 规则或任何其他规则,系统默认iptablesINPUT、OUTPUT 和 FORWARD 为“接受”。因此,我手动在最后添加了“拒绝所有其他流量”规则。
(请注意,这几乎完全是Ubuntu 帮助页面上的 IPtables HowTo 是什么制作。加上一些小的调整)