web-dev-qa-db-fra.com

Comment puis-je avec ufw refuser tous les ports sortants à l'exception de ceux dont j'ai besoin?

J'ai fait ce qui suit: ufw default nier sortant, Sudo ufw autoriser 80 personnes que je pensais me laisser utiliser Internet mais que vous ne pouvez pas aider?

Existe-t-il également d'autres ports utilisés par Ubuntu pour lesquels je devrais autoriser le trafic sortant? J'entends ces 20, 21, 53, 123, 443, qu'en pensez-vous tous?

Merci

networkingfirewalliptables
4
user250155

C'est ma configuration

Sudo ufw default refuse les envois sortants
Sudo ufw default refuser l'entrée
Sudo ufw permettre 993
Sudo ufw permettre 6969
Sudo ufw autoriser dehors 53
Sudo ufw autoriser http
Sudo ufw autoriser https
Sudo ufw laisser sortir 465
Sudo ufw autoriser sur 587
Sudo ufw autoriser 993
Sudo ufw autoriser 6969

Cela fonctionne bien avec Ubuntu 16.04: tout fonctionne correctement

Sudo ufw status numéroté (le raisonnement)

[1] 993 ALLOW IN Anywhere (Thunderbird)
[2] 6969 ALLOW IN Anywhere (qbittorrent)
[3] 53 AUTORISER n'importe où (dns)
[4] 80 ALLOW OUT Anywhere (http)
[5] 443 AUTORISER n'importe où (https)
[6] 465 AUTORISER n'importe où (Thunderbird gmail) (* envoyer)
[7] 587 ALLOW OUT Anywhere (Hotmail Thunderbird) (* envoyer)
[8] 993 ALLOW OUT Anywhere (Thunderbird)

* vérifier Thunderbird edit> paramètres du compte> serveur sortant
Je suggérerais d’autoriser qtorrent uniquement lorsqu’il est utilisé. Peerguadian fera des heures supplémentaires!
Ils par exemple il n'y a pas de spyware sur linux. C'est juste un barrage :)

11
Dan

La règle doit être ufw allow out to any port 80. Toute connexion avec l'extérieur provient de un port local (mais pas 80!), to le port 80 d'un autre ordinateur, la règle doit donc autoriser les communications sortantes to = n'importe où, sur le port 80. Bien sûr, le port et la destination peuvent être modifiés, mais cela devrait fonctionner.

3
user269370

J'ai trouvé un site qui a une liste utile. Je suppose que vous en avez oublié quelques-uns (comme le 8080, couramment utilisé). Vous pouvez utiliser un outil tel que netstat pour voir quels ports vous utilisez à un moment donné. je pense

netstat -u
netstat -t

peut le faire, mais il y a probablement quelque chose de mieux là-bas! Faites attention aux options que vous passez à netstat, car il répertorie également les sockets internes. Ci-dessus, le -u est pour udp et le -t est pour les ports TCP.

Vous pouvez également essayer de voir si quelqu'un a créé ufw profil d'application et configurer ufw pour autoriser le profil spécifié à l'aide de Sudo ufw allow Name

Enfin, si quelque chose se brise, vous pouvez consulter vos journaux ufw pour voir ce que vous devez ajouter pour le faire fonctionner. Gardez simplement à l'esprit que d'autres programmes peuvent avoir besoin d'autres ports. Si vous utilisez un client de messagerie par exemple, vous devrez autoriser des choses comme pop3, imap et smtp.

2
Bruno