duda con ufw

Imagen de qwerty1500
0 puntos

Soy un poco n00b en cuanto a firewalls. Puse ufw con lo clásico (reject incoming y allow outgoing), sin ninguna otra regla. Pero al momento de probarlo con firefox, ¡me conectó sin problemas!. ¿No se supone que deberia dejar la conexión entrante (solicitud de mi navegador a internet) y bloquear la entrante (respuesta de internet a mi navegador)?. Quiero configurar mi firewall para que sea lo mas seguro posible, ¿Alguna sugerencia por cierto?

Gracias de antemano :) !

Imagen de txelu
+1
0
-1

No, la respuesta del servidor no te llega como una nueva conexión entrante, sino que va a través del mismo socket que has abierto al realizar la petición (un mismo socket tiene canales en los sentidos). Es por lo tanto una conexión saliente y el firewall se ha comportado correctamente.
Una conexión entrante se da cuando el equipo local pone un puerto a la escucha y es el equipo remoto el que inicia la conexión, que, una vez establecida, vuelve a tener los dos canales.

+1
0
-1
Imagen de qwerty1500
+1
0
-1

Gracias! ya nada más tengo unas dudas:

¿En tonces, si puedo navegar, es seguro dejar el firewall sin reglas (dejarle con las reglas que llamé "clasicas" en la pregunta)?

En caso de quelo anterior sea correcto, ¿eso hace innecesario configurar reglas para otros servicios como FTP o P2P (Torrent XD)?

Gracias por las respuestas!

+1
0
-1
Imagen de txelu
+1
0
-1

La seguridad es relativa. Con las reglas clásicas nada impide que una aplicación abra una conexión saliente a un servidor conocido (serían casos de troyanos, por ejemplo). Lo que se bloquean son las peticiones entrantes que busquen aprovechar exploits conocidos de algunos servidores.
Por otra parte, para que algunos programas funcionen correctamente es posible que tengas que permitir algunas conexiones entrantes (añadir excepciones). El caso del FTP es complejo porque además del puerto 21 se usan otros puertos y tiene distintos modos de funcionamiento (pasivo y activo).
En resumen, para estar totalmente seguro deberías conocer exactamente quién establece cada conexión.

+1
0
-1