02-02-2022, 23:41
1
No tu już trochę lepiej ale dalej bez sensu z punktu widzenia bezpieczeństwa. 
O ile OUTPUT masz domyślnie blokowany i filtrujesz wyjście, to robisz to jedynie w oparciu o same porty. Masz tam coś takiego:
Czyli ruch każdej appki w systemie kierowany na zdalne port 80/443, np. w przeglądarkach, jest przepuszczany. Obecnie syf nadaje głównie na 443, więc to jest żadne zabezpieczenie.
Te wpisy z -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT to mają akceptować połączenia nawiązane już.
Ten -d 224.0.0.251/32 -p udp -m udp --dport 5353 to Bonjour/mDNS/Avahi, przydatne w sieci lokalnej/domowej, która ma sporo hostów udostępniających różne usługi.
Ten -d 239.255.255.250/32 -p udp -m udp --dport 1900 to UPnP/SSDP, jak np. aplikacje chcą wysłać żądanie do routera by otworzył port, gdy ma się publiczne IP. Bardzo niebezpieczny mechanizm swoją drogą.
Póki co lepiej zostaw sobie REJECT, bo to ci ułatwi diagnostykę ewentualnych problemów.
O ile OUTPUT masz domyślnie blokowany i filtrujesz wyjście, to robisz to jedynie w oparciu o same porty. Masz tam coś takiego:
Kod:
-A ufw-user-output -p tcp -m tcp --dport 80 -j ACCEPT
-A ufw-user-output -p tcp -m tcp --dport 443 -j ACCEPTCzyli ruch każdej appki w systemie kierowany na zdalne port 80/443, np. w przeglądarkach, jest przepuszczany. Obecnie syf nadaje głównie na 443, więc to jest żadne zabezpieczenie.
Te wpisy z -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT to mają akceptować połączenia nawiązane już.
Ten -d 224.0.0.251/32 -p udp -m udp --dport 5353 to Bonjour/mDNS/Avahi, przydatne w sieci lokalnej/domowej, która ma sporo hostów udostępniających różne usługi.
Ten -d 239.255.255.250/32 -p udp -m udp --dport 1900 to UPnP/SSDP, jak np. aplikacje chcą wysłać żądanie do routera by otworzył port, gdy ma się publiczne IP. Bardzo niebezpieczny mechanizm swoją drogą.
Póki co lepiej zostaw sobie REJECT, bo to ci ułatwi diagnostykę ewentualnych problemów.