Tengo un dilema si debo publicar esto aquí o en un superusuario, finalmente decidí que está más relacionado con la seguridad, así que lo publico aquí, si está mal, muévase.
La situación: hay un dispositivo todo en uno Epson en el hogar que se supone que funciona a través de Wi-Fi. Esto es necesario porque hay dos personas que trabajan en dos salas y necesitan acceder a él diariamente.
En Linux, todo funciona bien ... solo si el firewall está desactivado. Mientras está habilitado, la impresión funciona bien, pero el escaneo falla. El firewall está gufw
establecido en la configuración predeterminada, es decir, Denegar entrante, Permitir saliente. Así que me acostumbré a desactivar el firewall para escanear cosas y volver a habilitarlas tan pronto como finalice la exploración. Esto es tedioso y, supongo, cuestionable desde el punto de vista de seguridad. Así que pregunté en los foros de esta distribución qué se supone que debo hacer, y aunque todos estuvieron de acuerdo en que deshabilitar el firewall por completo o incluso simplemente para escanear no era una buena idea y que debería agregar algunas reglas relevantes en su lugar, las reglas exactas para agregar Levanté mi ceja ...
Los consejos (en conflicto) que recibí:
- Permitir todo en la red local. ¿Lo entiendo? ¿De ahora en adelante no debería conectar mi computadora portátil a mi WiFi académico?
- Permitir solo la IP local de la impresora / escáner, pero la impresión de la información de la red mostró que, si la comprendo correctamente, la dirección local de la impresora (tanto IPv4 como IPv6) se asigna de forma dinámica
- Defina algunas reglas arcanas, es decir: en el archivo
/etc/default/ufw
encuentraIPT_MODULES="nf_conntrack_ftp nf_nat_ftp nf_conntrack_netbios_ns"
y reemplázalo conIPT_MODULES="nf_conntrack_ftp nf_nat_ftp nf_conntrack_netbios_ns nf_conntrack_sane"
; también en el archivo/etc/ufw/sysctl.conf
encuentranet/ipv4/tcp_syncookies=0
y reemplázalo connet/ipv4/tcp_syncookies=1
. El problema fundamental es que no entiendo el significado de estas reglas, y no me gusta escribir reglas de firewall (o cualquier comando en Linux). , para el caso) que no entiendo; Supongo que que la intención de estas reglas es permitirsaned
acceso sin restricciones a Internet, PERO ...
Esta es mi objeción más fundamental a las tres reglas anteriores, pero especialmente a la tercera. Desde man 8 saned
:
Lo primero y más importante: saned no está diseñado para exponerse a Internet ni a otras redes que no sean de confianza. Asegúrese de que el acceso está limitado por tcpwrappers y / o una configuración de firewall. No dependa solamente de la propia autenticación de saned. No ejecute saned como root si no es necesario. Y no instale saned como setuid raíz.
Ah. Aquí es cuando, creo, percibo cierta inconsistencia de pensamiento. Primero, todos dicen que necesito un firewall aunque esté detrás de un enrutador doméstico. Luego se me recomienda que establezca reglas que exijan a saned
de este firewall; aunque, mientras estoy leyendo, si necesito firewall para algo, ¡es saned
! Si entiendo correctamente la tercera regla , lo hace de la manera más directa, aunque las dos primeras reglas tienen esencialmente el mismo efecto, ya que permiten que la impresora y las direcciones IP sean suplantadas. (Permitir que los destinatarios de la red local sean seguros, pero una vez más, ¿qué pasa con la red académica? Y más fundamentalmente, ya que estoy detrás del enrutador del ISP, maneja la protección del mundo, así que si supuestamente todavía necesito un firewall, es para ¿Direcciones locales? ¿O me equivoco?)
Una observación final: en Windows, hay un programa de Epson que maneja el escaneo. Curiosamente, este programa se cierra automáticamente después de un período de inactividad. (Esto es tedioso cuando escaneo un documento, trabajo en él y luego procedo a escanear otro.) ¿Debo suponer que lo que realmente hace es permitir el escaneo a través del firewall de Windows de una manera similar a una de las tres formas en que lo hago? Se aconsejó hacer esto en Linux; pero como, hey, esto es peligroso, lo limita solo a estos pocos minutos para los que se necesita. Esto sugeriría que hacer tales agujeros es ineludible. Aún así, esto me deja sin aliento; ¿Por qué hacer algo peligroso por un período de tiempo limitado? ¿No hay una manera de hacerlo de manera segura durante períodos prolongados?
Supongo que debe haber algún error fundamental en mi comprensión, lo siento, pero la seguridad de Internet y los detalles de las redes nunca han estado entre mis principales intereses. ¿Qué estoy malentendido y cómo se debe hacer esto correctamente?