Sto avendo un dilemma se dovessi postare questo qui o su superuser, alla fine ho deciso che è più legato alla sicurezza quindi lo postò qui, se è sbagliato per favore spostati.
La situazione: c'è un dispositivo Epson all-in-one in casa che dovrebbe funzionare tramite Wi-Fi. Questo è necessario perché ci sono due persone, che lavorano in due stanze, che hanno bisogno di accedervi ogni giorno.
Su Linux tutto funziona bene ... se e solo se il firewall è disabilitato. Mentre è abilitato, la stampa funziona bene, ma la scansione fallisce. Il firewall è gufw impostato sulle impostazioni predefinite, ovvero Rifiuta in arrivo, Consenti in uscita. Così ho preso l'abitudine di disabilitare il firewall per eseguire la scansione di materiale e riattivarlo non appena la scansione è finita. Questo è noioso e, suppongo, discutibile dal punto di vista della sicurezza. Così ho chiesto ai forum di questa distribuzione cosa dovrei fare - e mentre tutti erano d'accordo sul fatto che disabilitare completamente il firewall o anche solo scansionarlo non era una buona idea e che dovrei aggiungere alcune regole rilevanti, le regole esatte da aggiungere alzato un sopracciglio ...
I consigli (in conflitto) che ho ricevuto:
- Consenti tutto sulla rete locale - Quindi ho capito che non dovrei mai connettere il mio portatile al mio WiFi accademico da ora in poi?
- Consenti solo l'IP locale della stampante / dello scanner - ma la stampa delle informazioni di rete ha dimostrato che, se ho capito bene, l'indirizzo locale della stampante (sia IPv4 che IPv6) viene assegnato dinamicamente
- Definisci alcune regole arcane, ovvero: nel file
/etc/default/ufwtrovaIPT_MODULES="nf_conntrack_ftp nf_nat_ftp nf_conntrack_netbios_ns"e sostituiscilo conIPT_MODULES="nf_conntrack_ftp nf_nat_ftp nf_conntrack_netbios_ns nf_conntrack_sane"; anche nel file/etc/ufw/sysctl.conftrovanet/ipv4/tcp_syncookies=0e lo sostituisco connet/ipv4/tcp_syncookies=1- il problema fondamentale è che non capisco il significato di queste regole, e non mi piace digitare le regole del firewall (o qualsiasi comando in Linux , del resto) che non capisco; I presume che l'intenzione di queste regole è di consentire asanedl'accesso illimitato a Internet, MA ...
Questa è la mia obiezione più fondamentale a tutte le tre regole precedenti, ma soprattutto alla terza. Da man 8 saned :
First and foremost: saned is not intended to be exposed to the internet or other non-trusted networks. Make sure that access is limited by tcpwrappers and/or a firewall setup. Don't depend only on saned's own authentication. Don't run saned as root if it's not necessary. And do not install saned as setuid root.
Ah. Ecco quando, penso, percepisco qualche incoerenza nel pensare. Innanzitutto, tutti sostengono che ho bisogno di un firewall anche se sono dietro un router di casa. Quindi mi viene consigliato di creare regole che rendano saned esenti da questo firewall; anche se, come sto leggendo, se ho bisogno di un firewall per qualcosa, è saned ! Se sto capendo correttamente la terza regola lo fa nel modo più diretto, anche se le prime due regole hanno essenzialmente lo stesso effetto, dal momento che consentono alla stampante e agli indirizzi IP di essere falsificabili. (Permettendo che i destinatari della rete locale possano essere considerati sicuri, ma ancora una volta - per quanto riguarda la rete accademica - e fondamentalmente, dato che sono dietro al router dell'ISP, gestisce la protezione dal mondo, quindi se suppongo che abbia ancora bisogno di un firewall, è per indirizzi locali? O mi sbaglio?)
Un'ultima osservazione: su Windows, c'è un programma di Epson che gestisce la scansione. Curiosamente, questo programma si chiude automaticamente dopo un periodo di inattività. (Questo è noioso quando eseguo la scansione di un documento, lavoro su di esso e poi procedo alla scansione di un altro.) Devo supporre che ciò che realmente fa è consentire la scansione attraverso il firewall di Windows in un modo simile a uno dei tre modi in cui io è stato consigliato di farlo su Linux; ma dal momento che hey, questo è pericoloso, limita questo solo a questi pochi minuti per cui è necessario? Ciò suggerirebbe che rendere tali fori è inevitabile. Tuttavia, questo mi fa perdere la testa; perché fare qualcosa di pericoloso per un periodo limitato di tempo? Non c'è un modo per farlo in sicurezza per periodi di tempo prolungati?
Suppongo che ci debba essere un difetto fondamentale nella mia comprensione, mi dispiace ma la sicurezza di Internet, né i dettagli del networking, non sono mai stati tra i miei principali interessi. Che cosa sto fraintendendo e come dovrebbe essere fatto correttamente?