Door The FOSS: Simpel in te stellen: https://help.ubuntu.com/community/UFW

Door Anoniem:
De firewall van Ubuntu is slecht geconfigureerd.
Heb jij zelf je firewall geconfigureerd?

Door The FOSS:
Ja (met UFW onder Debian). Simpel. Robuust. Veilig. Zoals Linux zelf eigenlijk.

Door Bartbartbart: Met UFW valt niet in te stellen dat App1 bv wel poort 80 mag gebruiken en geen poort 25. Slechts Wel/Geen toegang.
Ook valt niet in te stellen dat App2 bv wel naar www.bla.com mag gaan maar niet naar www.phonehome.com.
Nieuwe connectionattempts op nieuwe poorten worden ook niet kenbaar gemaakt en als ze lokaal via andere apps die wel internettoegang hebben willen communiceren dan zie je dat ook niet terug. (Op Windows willen apps bv maar wat graag via svchost op internet als ze het niet rechtstreeks mogen, en dat moet je dan wel per connection kunnen managen.)

Door Anoniem:
Ja en dit op een interactieve wijze. Om echt veilig te zijn ben ik het de TS een dat er geadvanceerdere oplossingen nodig zijn dan hoe de meeste hun firewall configureren...

Door Anoniem: Ik vind dit een erg onsamenhangend verhaal,slecht Nederlands.

Door Anoniem: Het onderliggende probleem is dat de Linux firewall een echte netwerk firewall is, die alleen kijkt naar pakketjes en niet
naar programma's. Dat is dus anders dan de Windows firewall.
Wat dat betreft kun je een firewall op een Linux machine vergelijken met een los staande machine en een daarvoor
staande router met firewall. Die router weet ook niet wat de bron/bestemming van het verkeer is.

Als je functionaliteit aantreft van "zet de poorten voor dit programma open" dan is dat niet gebaseerd op een koppeling
met dat specfieke programma, maar op info die er is vastgelegd over dat programma en de benodigde poorten.
Bijvoorbeeld als je een mailserver installeert en in de firewall registreert dan wordt inkomend poort 25 toegevoegd.
Maar het is dus niet zo dat de geinstalleerde server dan die poort mag gebruiken en een ander programma niet.
(uiteraard kan maar 1 programma luisteren op een bepaalde poort, maar als het originele programma niet draait kan
een ander programma dat wel).

Er bestaat wel een match op uid en gid van een lokaal proces maar daarmee laat je dus geen programma toe maar een
user/group.

Door Anoniem: Het onderliggende probleem is dat de Linux firewall een echte netwerk firewall is, die alleen kijkt naar pakketjes en niet
naar programma's. Dat is dus anders dan de Windows firewall.
Wat dat betreft kun je een firewall op een Linux machine vergelijken met een los staande machine en een daarvoor
staande router met firewall. Die router weet ook niet wat de bron/bestemming van het verkeer is.

Als je functionaliteit aantreft van "zet de poorten voor dit programma open" dan is dat niet gebaseerd op een koppeling
met dat specfieke programma, maar op info die er is vastgelegd over dat programma en de benodigde poorten.
Bijvoorbeeld als je een mailserver installeert en in de firewall registreert dan wordt inkomend poort 25 toegevoegd.
Maar het is dus niet zo dat de geinstalleerde server dan die poort mag gebruiken en een ander programma niet.
(uiteraard kan maar 1 programma luisteren op een bepaalde poort, maar als het originele programma niet draait kan
een ander programma dat wel).

Er bestaat wel een match op uid en gid van een lokaal proces maar daarmee laat je dus geen programma toe maar een
user/group.

Door Anoniem:
Het is ook niet echt relevant welke applicatie op die poort draait en het geeft je prima mogelijkheden om te tunnelen.

Door Anoniem: Ik lees heel veel van jullie denken dat firewall de main security van een systeem is.
Er is een reden waarom Ubuntu en Mac OS uitstaat.
https://www.howtogeek.com/205108/your-mac%E2%80%99s-firewall-is-off-by-default-do-you-need-to-enable-it/

Firewall is iets wat windows gebruiks zich aan hebben geleerd.
Daarnaast is de firewall van Mac OS X bijvoorbeeld makkelijk te omzeilen.
https://www.defcon.org/images/defcon-14/dc-14-presentations/DC-14-Beale.pdf

Geloof niet wat de mening van andere maar weet iets zeker voordat je spreekt.
Ik zag een topic waar iemand Bonjour wou uitschakelen wat heel verstandig is en waarom zou je het gebruiken als je het niet gebruikt maar deze persoon krijgt kritiek.

Hetzelfde geld voor Ubuntu.
Avanhi bijvoorbeeld.

Windows is een kwetsbare OS, maar de Firewall van Windows is wel de meest Mature firewall (Is zeker ook nodig op een windows Machine).

Weet wat de firewall van Mac doet en hoe het is geconfigureerd voordat je aannames doet.
ALs je veilig wilt zijn voor op het Web dan heb je geadvanceerdere oplossingen nodig bijvoorbeeld een firewall als die van windows die meerdere lagen van bescherm biedt.
Little Snitch en andere firewalls schieten ook te kort hierin.

Door Anoniem: Ik lees heel veel van jullie denken dat firewall de main security van een systeem is.
Er is een reden waarom Ubuntu en Mac OS uitstaat.
https://www.howtogeek.com/205108/your-mac%E2%80%99s-firewall-is-off-by-default-do-you-need-to-enable-it/

Firewall is iets wat windows gebruiks zich aan hebben geleerd.
Daarnaast is de firewall van Mac OS X bijvoorbeeld makkelijk te omzeilen.
https://www.defcon.org/images/defcon-14/dc-14-presentations/DC-14-Beale.pdf

Geloof niet wat de mening van andere maar weet iets zeker voordat je spreekt.
Ik zag een topic waar iemand Bonjour wou uitschakelen wat heel verstandig is en waarom zou je het gebruiken als je het niet gebruikt maar deze persoon krijgt kritiek.

Hetzelfde geld voor Ubuntu.
Avanhi bijvoorbeeld.

Windows is een kwetsbare OS, maar de Firewall van Windows is wel de meest Mature firewall (Is zeker ook nodig op een windows Machine).

Weet wat de firewall van Mac doet en hoe het is geconfigureerd voordat je aannames doet.
ALs je veilig wilt zijn voor op het Web dan heb je geadvanceerdere oplossingen nodig bijvoorbeeld een firewall als die van windows die meerdere lagen van bescherm biedt.
Little Snitch en andere firewalls schieten ook te kort hierin.

Door Anoniem:
De firewall van Linux en Mac zijn bedoeld om in je router te zetten.
Als je deze systemen veilig wilt hebben dan moet je echt nog heel veel doen en het heeft gewoon beperkingen...

Door Anoniem:
Dat ligt er maar aan met wat je met veilig bedoelt.
Deze firewall beveiligt prima tegen inkomend verkeer en dat is toch de grootste dreiging.
Als je trojans binnenhaalt dan kunnen die wellicht naar buiten communiceren. Maar dat doe je dan wel zelf.

Door Anoniem: Ben het een met TS heel veel mensen denken veilig te zijn voor hackers door de standaard firewall Firewall te gebruiken of little snitch hoor ik ook veel voorbij komen.
De firewall op netwerk niveau biedt een eerste laag van beschermin maar echte firewall bescherming zoals windows ontbreekt

Door Anoniem: Je kunt onder macOS Little Snitch gebruiken indien je gerichte controle wilt over je Firewall. Werkt erg eenvoudig (voor een firewall) en is vrij gedetailleerd beheersbaar.

Door The FOSS:
Ik heb toch echt AppArmor op mijn Debian installatie. En dat is gewoon de default volgens mij. AppArmor doet wat een Windows applicatie-firewall doet en nog veel meer. Het gaat dus verder dan wat Windows biedt. Verder nog iets?

Door Anoniem: Een zich herhalend patroon de laatste dagen, kennelijk een nieuwe deelnemer die er lol in heeft om dit soort topics
aan te maken...

Door Anoniem:
We hebben het hier over de beperkingen van de firewall en niet windows vs Linux denk ik.
Daarnaast is windows firewall meer dan een APP-firewall.

Door The FOSS:
De titel die topic poster heeft gekozen is 'Firewall Mac OS X en Ubuntu, waardeloos'. En dan wordt er door TS uitgeweid over de Windows firewall. Welnu: onder Linux heb je dezelfde functionaliteit (meer zelfs) dan onder Windows. Alleen heet het anders:

a) Linux firewall; plus b) AppArmor (of iets vergelijkbaars).

Dat Windows meer is dan een APP-firewall, dat geloof ik wel. Het gaat echter niet zo ver dan Linux firewall + AppArmor. (En de titel van TS heeft het over Linux.) Verder nog iets?

Door Anoniem: Ik heb een paar topics hier gelezen en irriteer mij hoe jullie over beveiliging denken.
Jullie lezen wat op het internet en weten niet wat er onder motorkap gebeurd en reageren in posts dan Mac en Linux een hele goede firewall hebben of met onzin dat je little snitch ofzo moet installeren.

De firewalls van Mac en Linux schieten veels te kort om je daadwerkelijk tegen een geadvanceerde hack te beschermen.
Als een proces wordt misbruikt door kwaadwillende code om netwerkacties uit te voeren, dan is dit bijvoorbeeld toegestaan in Mac en Linux (Windows blinkt hier uit, dat komt omdat Windows dat nodig heeft).

Mijn boodschap is ken de beperkingen van je systeem beveiliging ipv de suggesties die jullie in de media ofzo lezen.
Wees geen toetsenbord held maar een deskundige...

Door Anoniem: AppArmor is reactief, het blokt niet op het netwerk niveau.

Door Anoniem: Jij wilt dus op applicatie niveau gaan "firewallen"

Door The FOSS:Ik ben geen beheerder dus dat soort dingen doe ik niet zelf. Echter bovenstaande toelichting suggereert dat AppArmor wel degelijk kan worden gebruikt om je applicaties te beveiligen.

Verder nog iets?

Door Anoniem:
Ja, dat is het geval. Dat is juist het hele idee er achter :-)


Ja. Ondanks Linux, uitgerust met AppArmour en Gufw, zet ik een toch extra OpenBSD router met PF tussen mijn laptop en de modemrouter. De fijnmazige filtering besteed ik dus graag uit aan Theo de Raadt en consorten.

Door Anoniem: Nou weet ik waarom er zoveel problemen zijn met slecht werkende computers, virus infecties, ransomware etc. etc. etc.
Ik heb zelden zoveel onzin gelezen en onsamenhangende bijdrages gezien als hier. Er wordt hier vrijwel geen onderscheid gemaakt tussen netwerk en applicaties, inkomend,uitgaand en gerelateerd verkeer. Er wordt gerefereerd aan documenten uit de tijd dat een kut nog haar had om vervolgens een product 'aan te bevelen' (Bastille) wat voor het laasts geupdated was in 2006.

Kom jongens, laten we elkaar niet gek maken.

Door Anoniem: Het is overbodig om de firewall van je Ubuntu en Mac te gebruiken als je al een netwerk firewall hebt...

Door Anoniem:
Ja ben het met jou eens!
Hoe heb jij je firewall ingesteld?

Door Anoniem: Pssst, als je wilt kijken welke poorten er open zijn of open gaan moet je eens netstat draaien.

Door Anoniem:
Ja, dat is het geval. Dat is juist het hele idee er achter :-)


Ja. Ondanks Linux, uitgerust met AppArmour en Gufw, zet ik een toch extra OpenBSD router met PF tussen mijn laptop en de modemrouter. De fijnmazige filtering besteed ik dus graag uit aan Theo de Raadt en consorten.

Door Anoniem:
Heeft het ooit iets voor jou tegen gehouden?

Door Anoniem:
Welke firewall bedoel je, die op mijn router, mijn desktops of op mijn servers? En bedoel je dan mijn inkomende of uitgaande (applicatie) firewall?

En zelfs daar kan ik geen generiek antwoord op geven omdat ik voor iedere computer en toepassing opnieuw bekijk wat ik aan beveiliging nodig heb.

Beveiliging is bij mij een mindset welke gesteund wordt door technische middelen.

Door Anoniem:
Ja hoor, het blokkeerd al mijn UITgaande netwerkverkeer en geeft een pop-up als er verkeer naar buiten wil gaan.
In die pop-up staat informatie over welk programma/applicatie naar buiten wil en naar wie. Als ik niet wil dat een programma naar buiten zou moeten praten dan blokkeer ik dat.

Mooi spul joh, zo'n UITgaande firewall, zouden meer mensen moeten doen.

Door Anoniem: Nou, vooruit ... hou vast, daar komt ie:

# Generated by iptables-save v1.6.1 on Thu Sep 27 19:08:05 2018
*nat
:PREROUTING ACCEPT [381:74503]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [118:8260]
:POSTROUTING ACCEPT [118:8260]
:OUTPUT_direct - [0:0]
:POSTROUTING_ZONES - [0:0]
:POSTROUTING_ZONES_SOURCE - [0:0]
:POSTROUTING_direct - [0:0]
:POST_public - [0:0]
:POST_public_allow - [0:0]
:POST_public_deny - [0:0]
:POST_public_log - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_public - [0:0]
:PRE_public_allow - [0:0]
:PRE_public_deny - [0:0]
:PRE_public_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A OUTPUT -j OUTPUT_direct
-A POSTROUTING -j POSTROUTING_direct
-A POSTROUTING -j POSTROUTING_ZONES_SOURCE
-A POSTROUTING -j POSTROUTING_ZONES
-A POSTROUTING_ZONES -o tun0 -g POST_public
-A POSTROUTING_ZONES -o wlp4s0 -g POST_public
-A POSTROUTING_ZONES -g POST_public
-A POST_public -j POST_public_log
-A POST_public -j POST_public_deny
-A POST_public -j POST_public_allow
-A PREROUTING_ZONES -i tun0 -g PRE_public
-A PREROUTING_ZONES -i wlp4s0 -g PRE_public
-A PREROUTING_ZONES -g PRE_public
-A PRE_public -j PRE_public_log
-A PRE_public -j PRE_public_deny
-A PRE_public -j PRE_public_allow
COMMIT
# Completed on Thu Sep 27 19:08:05 2018
# Generated by iptables-save v1.6.1 on Thu Sep 27 19:08:05 2018
*mangle
:PREROUTING ACCEPT [8792:9132693]
:INPUT ACCEPT [8552:9087565]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5939:2867992]
:POSTROUTING ACCEPT [5950:2868589]
:FORWARD_direct - [0:0]
:INPUT_direct - [0:0]
:OUTPUT_direct - [0:0]
:POSTROUTING_direct - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_public - [0:0]
:PRE_public_allow - [0:0]
:PRE_public_deny - [0:0]
:PRE_public_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A INPUT -j INPUT_direct
-A FORWARD -j FORWARD_direct
-A OUTPUT -j OUTPUT_direct
-A POSTROUTING -j POSTROUTING_direct
-A PREROUTING_ZONES -i tun0 -g PRE_public
-A PREROUTING_ZONES -i wlp4s0 -g PRE_public
-A PREROUTING_ZONES -g PRE_public
-A PRE_public -j PRE_public_log
-A PRE_public -j PRE_public_deny
-A PRE_public -j PRE_public_allow
COMMIT
# Completed on Thu Sep 27 19:08:05 2018
# Generated by iptables-save v1.6.1 on Thu Sep 27 19:08:05 2018
*raw
:PREROUTING ACCEPT [8792:9132693]
:OUTPUT ACCEPT [5939:2867992]
:OUTPUT_direct - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_public - [0:0]
:PRE_public_allow - [0:0]
:PRE_public_deny - [0:0]
:PRE_public_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A OUTPUT -j OUTPUT_direct
-A PREROUTING_ZONES -i tun0 -g PRE_public
-A PREROUTING_ZONES -i wlp4s0 -g PRE_public
-A PREROUTING_ZONES -g PRE_public
-A PRE_public -j PRE_public_log
-A PRE_public -j PRE_public_deny
-A PRE_public -j PRE_public_allow
COMMIT
# Completed on Thu Sep 27 19:08:05 2018
# Generated by iptables-save v1.6.1 on Thu Sep 27 19:08:05 2018
*security
:INPUT ACCEPT [8856:9587642]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [6311:2895523]
:FORWARD_direct - [0:0]
:INPUT_direct - [0:0]
:OUTPUT_direct - [0:0]
-A INPUT -j INPUT_direct
-A FORWARD -j FORWARD_direct
-A OUTPUT -j OUTPUT_direct
COMMIT
# Completed on Thu Sep 27 19:08:05 2018
# Generated by iptables-save v1.6.1 on Thu Sep 27 19:08:05 2018
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:FORWARD_IN_ZONES - [0:0]
:FORWARD_IN_ZONES_SOURCE - [0:0]
:FORWARD_OUT_ZONES - [0:0]
:FORWARD_OUT_ZONES_SOURCE - [0:0]
:FORWARD_direct - [0:0]
:FWDI_public - [0:0]
:FWDI_public_allow - [0:0]
:FWDI_public_deny - [0:0]
:FWDI_public_log - [0:0]
:FWDO_public - [0:0]
:FWDO_public_allow - [0:0]
:FWDO_public_deny - [0:0]
:FWDO_public_log - [0:0]
:INPUT_ZONES - [0:0]
:INPUT_ZONES_SOURCE - [0:0]
:INPUT_direct - [0:0]
:IN_public - [0:0]
:IN_public_allow - [0:0]
:IN_public_deny - [0:0]
:IN_public_log - [0:0]
:OUTPUT_direct - [0:0]
:ufw-after-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-output - [0:0]
:ufw-logging-allow - [0:0]
:ufw-logging-deny - [0:0]
:ufw-not-local - [0:0]
:ufw-reject-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-input - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-output - [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j INPUT_direct
-A INPUT -j INPUT_ZONES_SOURCE
-A INPUT -j INPUT_ZONES
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -j FORWARD_direct
-A FORWARD -j FORWARD_IN_ZONES_SOURCE
-A FORWARD -j FORWARD_IN_ZONES
-A FORWARD -j FORWARD_OUT_ZONES_SOURCE
-A FORWARD -j FORWARD_OUT_ZONES
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j OUTPUT_direct
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A FORWARD_IN_ZONES -i tun0 -g FWDI_public
-A FORWARD_IN_ZONES -i wlp4s0 -g FWDI_public
-A FORWARD_IN_ZONES -g FWDI_public
-A FORWARD_OUT_ZONES -o tun0 -g FWDO_public
-A FORWARD_OUT_ZONES -o wlp4s0 -g FWDO_public
-A FORWARD_OUT_ZONES -g FWDO_public
-A FWDI_public -j FWDI_public_log
-A FWDI_public -j FWDI_public_deny
-A FWDI_public -j FWDI_public_allow
-A FWDI_public -p icmp -j ACCEPT
-A FWDO_public -j FWDO_public_log
-A FWDO_public -j FWDO_public_deny
-A FWDO_public -j FWDO_public_allow
-A INPUT_ZONES -i tun0 -g IN_public
-A INPUT_ZONES -i wlp4s0 -g IN_public
-A INPUT_ZONES -g IN_public
-A IN_public -j IN_public_log
-A IN_public -j IN_public_deny
-A IN_public -j IN_public_allow
-A IN_public -p icmp -j ACCEPT
-A IN_public_allow -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-forward -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-after-logging-input -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-after-logging-output -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j DROP
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j DROP
-A ufw-before-input -j ufw-user-input
-A ufw-before-logging-forward -j LOG --log-prefix "[UFW AUDIT] "
-A ufw-before-logging-input -j LOG --log-prefix "[UFW AUDIT] "
-A ufw-before-logging-output -j LOG --log-prefix "[UFW AUDIT] "
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m conntrack --ctstate INVALID -j LOG --log-prefix "[UFW AUDIT INVALID] "
-A ufw-logging-deny -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j DROP
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 20595 -j DROP
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
COMMIT
# Completed on Thu Sep 27 19:08:05 2018


En nou braaf gaan spelen ... ;)

Door Anoniem:


Heerlijk dat OpenSense..... :P

Door Anoniem:
Hoe moet je deze regels instellen?
Ik wil deze regels ook

Door Anoniem:
Hoe moet je deze regels instellen?
Ik wil deze regels ook

Door Anoniem: Nou, vooruit ... hou vast, daar komt ie:

[cut]

En nou braaf gaan spelen ... ;)

Door The FOSS:
Waarom kwoot je nou al die regels? Je kan met iptables-restore de met iptables-save regels activeren: https://www.cyberciti.biz/faq/how-to-save-restore-iptables-firewall-config-ubuntu/. Maar kijk uit wat je doet want je hakt je computer zo van het netwerk af. Ik zou eerst je eigen regels in een bestand opslaan met iptables-save, zodat je een backup hebt waarop je terug kan vallen.

Door Anoniem:
Heb je er ooit een hacker mee tegen gehouden?

Door Anoniem:
Armor of armour? OPN of Open? Een klinkertje meer of minder, maar wat geeft het? :-) Daar zijn rechtzaken om gevoerd.

https://en.wikipedia.org/wiki/Apparmor

https://en.wikipedia.org/wiki/OPNSense

Door Anoniem:
Firewall is iets wat windows gebruiks zich aan hebben geleerd.

Door Anoniem: Maar zijn jullie het niet eens met TS dat je services die je niet nodig hebt moet uitschakelen?

Door Anoniem:
Op Mac en Linux heb je bijna geen firewall nodig is security by design.

Door Bartbartbart: Die naieve Linux-fanboy onzin hoor ik nu toch echt al veel te lang he.
Denk je nu werkelijk dat jouw Linuxapps niet ook even naar huis willen bellen om te rapporteren hoe goed het allemaal wel niet bij jou functioneert? Google social-meuk zit notabene tegenwoordig standaard in Ubuntu ingebakken.
Het beheren van outgoing verbindingen is ook op Linux relevant.

Door Bartbartbart: Het beheren van outgoing verbindingen is ook op Linux relevant.

Door The FOSS:
In open source software zitten dat soort dingen niet. Want iedereen die de source bekijkt kan het zo zien.

Door Bartbartbart: Het beheren van outgoing verbindingen is ook op Linux relevant.

In open source software zitten dat soort dingen niet. Want iedereen die de source bekijkt kan het zo zien.

Daar maak je jezelf alleen maar erg moe mee.

Daar maak je jezelf alleen maar erg moe mee.

Door Bartbartbart: Jij gebruikt dus geen Firefox of Chrome ofzo, maar 1 of andere gare Win3.11/95 lookalike, en ook in open source is feedback relevant.

Door Bartbartbart: Die naieve Linux-fanboy onzin hoor ik nu toch echt al veel te lang he.

Door The FOSS:
In open source software zitten dat soort dingen niet. Want iedereen die de source bekijkt kan het zo zien.

Door TheFlOSS:
Kolder en je weet het, ook OSS heeft zijn problemen.

Niet weer een OSS/Linux/Windows in deze thread.

Firewall Mac OS X en Ubuntu, waardeloos Windows is een kwetsbare OS, maar de Firewall van Windows is wel de meest Mature firewall (Is zeker ook nodig op een windows Machine).

Lees even door het totaal achterlijke taalgebruik heen en kijk door de kleuterschoolredenaties heen. Dan kom je uit bij een Linux-Windows polarisatie.

Door The FOSS:
Het is een beetje moeilijk te volgen, voor sommigen, die lange draadjes. Mag ik je eraan herinneren dat dit topic begonnen is als een Linux-Windows polarisatie? Lees de post van TS er maar eens op na. Hieronder een uittrekseltje van het relevante gedeelte:


Lees even door het totaal achterlijke taalgebruik heen en kijk door de kleuterschoolredenaties heen. Dan kom je uit bij een Linux-Windows polarisatie.

Door The FOSS:
Wat? Chromium is gewoon open source hoor: https://chromium.googlesource.com/chromium/src/.

Door Bartbartbart: Een paar draadjes geleden werd nog gewezen op het feit dat ook Chromium ingebouwde Googlesync automatisch inlogde, maar dat had jij natuurlijk allang in de sourcecode ontdekt ;)

ONNODIGE services moet je niet aanzetten of eventueel uitzetten als je weet waar je mee bezig bent.
Ubuntu zet b.v. standaard cups aan, dat heb ik niet nodig dus dat zet ik uit maar ik weet dat dan mijn printer niet werkt, TS is zo iemand die b.v. cups uit zou zetten om vervolgens te klagen hoe hij zijn printer aan de gang moet krijgen.

Je kan er altijd uit filteren wat je zelf wilt lezen, als ik het oorspronkelijke bericht van TS lees zie ik een firewall onderwerp als kern en niet een W/L 'polarisatie'. Wat ik wel zie is een tsunamie van onzin.

Door Anoniem:

[... ] ik wou alleen een statement maken, excuses voor de heibel.

Heel simpel, hoe minder programma's er draaien op je computer des te minder kans op problemen, hacken en functionaliteit.
Dus het uitzetten van overbodige daemons is prima dat gaat natuurlijk wel ten koste van functionaliteit van je computer.

Dat komt overeen met de gangbare besturingssystemen die wij gebruiken op onze digitale devices (computer/smartphone)
Hoe meer services/daemons (niet deamons; wat je zo vaak leest) er draaien hoe ruimer de aanvalsvector van buitenaf en dan hebben we het nog niet over de vaak grote aantallen programma's die allemaal openstaan voor malware exploitatie.

Ik schrijf dit niet om onrust te zaaien maar om kenbaar te maken dat de consument over het algemeen digitale devices in huis heeft die een grote hoeveelheid aan exploitabele software biedt waar kwaadwillenden gebruik van kunnen maken.
Dus hoe uitvoeriger je een Firewall configureert hoe beter natuurlijk, maar kom, relativeer het een beetje; maak er geen neurose van. Een computer is om te gebruiken. Niet om je tactisch leider van een vesting te laten zijn, want dan gaat de lol er snel vanaf of je moet een security neuroticus zijn (niet negatief bedoeld)

Ik las in een post dat iemand UPNP wou uitschakelen wat ik een hele tactische zet vond als hij/zij dat niet gebruikt.

Mensen komen hier met firewall regels en presenteren deze alsof deze "de" oplossing is. Iemand hier weet niet eens wat het doet en wilt het gewoon klakkeloos overnemen.

Ik wil niemand afkraken ik wil alleen mensen aanmoedigen om verder te kijken dan alleen de firewall.

Daarnaast is het configureren van firewall een vergevorderde situationele taak wat enorm veel tijd en aandacht vraagt, maar dit moet je ervoor over hebben.

Door Anoniem:
UPnP uitzetten is inderdaad een goede tactische zet. Die actie heeft echter alleen nut binnen een iets meer doordachte strategie. Het gaat uiteindelijke om het hele plaatje, gegeven een realistisch dreigingsmodel.

Daar ben ik helemaal mee eens. Daarom besteed ik het configuren van een OpenBSD router uit aan iemand met veel meer ervaring. Dat laat ik mij stap voor stap uitleggen, want een blunder is zo gemaakt.

Op een dokterpost zouden ze dat intervisie noemen, in de wetenschap heet dat peer review. Zelf werk ik twintig jaar met Windows, macOS, Linux en BSD. Dagelijks leer ik er iets bij. Vragen kan altijd.

Door Anoniem:
Hoe moet je deze regels instellen?
Ik wil deze regels ook

iptables-restore < regeltjes

Door Anoniem:
Wat hoop je met deze firewall regels te bereiken?

Door Anoniem:
Dat er geen, of nagenoeg geen, binnenkomend netwerkverkeer connectie kan maken met die computer. En dan heb ik het niet over gerelateerd verkeer wat natuurlijk noodzakelijk is om uberhaubt iets met netwerken te kunnen doen.

Door Anoniem:
Het lijkt als of je een NAT hebt geïmplementeerd en enkele poorten hebt geblokeert en bepaalde protocollen(dit laatste is een hele slimme zet) klopt dit? Je kan ervoor kiezen om IP adressen hardcoded toegang te verlenen om zo spoofing en tunneling attacks deels te blokkeren. Bijvoorbeeld strickter te zijn dns alleen 8.8.8.8 on port 53.
Voor de rest ben ik niet bekend met ufw gegeneerde iptables rules.

Een lachertje natuurlijk om DNS 8.8.8.8, als ik iets niet wil dan is het iets met Google te maken hebben. ;)