ufw - (strange) uncomplicated firewall :D

[regisinferni]

Salve ragazzi,
stavo vedendo un po' questo ufw.
Abituato a iptables nudo e crudo sono rimasto stupito dalla semplicità di questo programma che seppur con ridotte funzionalità va benissimo per un uso home and office.
Ho un problema demenziale, io avvio il firewall applico la regola ad esempio blocca http in tcp e udp anywhere e caso strano firefox funziona correttamente e il sito di prova che hosto sul mio pc è tranquillamente raggiungibile. Insomma, ufw sembra non andare anche se è avviato (e riavviato) correttamente. Strano no? Come posso risolvere ragazzi?


P.S. vorrei inoltre che quando avvio il firewall sia tutto bloccato e che sia io ad aprire le porte e via dicendo (mad)

[regisinferni]

errore stupido mio, avevo lasciato default allow outgoing.

Scusate e ciao a tutti

[regisinferni]

scusate ancora temo di non aver capito.
allora io hofatto questo:

ufw default deny outgoing
ufw default deny incoming

cosi blocca tutto in e out, quindi vado ad aprire http in modo che io navighi solamente:

ufw allow in http
ufw allow out http

Il problema è che cosi non naviga lo stesso perché il firewall blocca tutto. Perché?
Inoltre se io faccio

ufw default allow incoming

e

ufw deny in http
ufw deny out http

il firewall mi permette lo stesso di navigare. Perché?

In conclusione come posso bloccare tutto (in e out) e aprire solo quello che dico io?
Anche perché cosi come è di default è una cretinata non credete? Devo decidere io cosa entra si ma anche cosa esce. Senno è inutile

Grazie

[sirtao]

probabilmente non riconosce "http".
usa il numero di porta- 80, per l'http

[fortran77]

Hai abilitato le chiamate al dns? Perché altrimenti navighi solo tramite indirizzi ip...
Questo è un esempio di catena per aprire i dns con iptables:

Codice: Seleziona tutto

#DNS (client -> server) Vengono abilitate le query in uscita ai DNS servers
 $IPTABLES -N dns_query
 $IPTABLES -F dns_query
 $IPTABLES -A dns_query -o $IFACE -p udp -s $NAMESERVER_1 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
 $IPTABLES -A dns_query -o $IFACE -p udp -s $NAMESERVER_2 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT

Non ho idea di come si faccia con ufw, ma immagino ti possa ispirare.

[regisinferni]

Hai abilitato le chiamate al dns? Perché altrimenti navighi solo tramite indirizzi ip...
Questo è un esempio di catena per aprire i dns con iptables:

Codice: Seleziona tutto

#DNS (client -> server) Vengono abilitate le query in uscita ai DNS servers
 $IPTABLES -N dns_query
 $IPTABLES -F dns_query
 $IPTABLES -A dns_query -o $IFACE -p udp -s $NAMESERVER_1 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
 $IPTABLES -A dns_query -o $IFACE -p udp -s $NAMESERVER_2 --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT

Non ho idea di come si faccia con ufw, ma immagino ti possa ispirare.

ti ringrazio ma cosi allora non serve usare ufw 

non funziona neanche con l'80

[fortran77]

Ma hai provato ad aprire la porta 53udp in uscita

[regisinferni]

già  >:(

[fortran77]

Prova ad aprire tutte le porte udp in uscita. Forse non era la 53 e mi sono sbagliato. Ti funziona se provi a connetterti direttamente ad un indirizzo ip?

[regisinferni]

no il servizio dns è la 53 in uscita è corretto quel che hai detto già l'avevo impostato. preferisco tornare a iptables classico, grazie per l'aiuto, magari quando il progetto diventa più importante ci ritorno.