SObre portas

[cairo]

Como fazer para saber exatamente quais portas podem ser bloqueadas e quais podem ficar em escuta?

Sempre vejo em topicos, usuários falando sobre portas, mas jamais vi um guia prático sobre o que fazer com elas. Quais são importantes para manter o funcionamento do pc e quais apresentam real risco que precisam ser bloqueadas.

[zekkerj]

Cada porta vai estar associada a um programa ou aplicativo. Um aplicativo pode usar mais de uma porta, e pode usar portas de mais de um tipo (tcp ou udp).

Aplicativos que funcionam como servidores (p.ex. servidor web) costumam usar portas fixas; já aplicativos que funcionam como clientes (p.ex. navegador web) costumam usar portas aleatórias.

Pra entender como o firewall funciona, vc precisa entender bem o mecanismo das conexões cliente-servidor. Pra determinar quais portas devem ser bloqueadas e quais devem ficar abertas, vc deve saber quais aplicativos devem poder ser acessados de fora, e quais só podem ser acessados a partir da rede local.

[cairo]

legal, e como que faço para saber as portas que o aplicativo precisa para funcionar.

[zekkerj]

Se for um aplicativo padronizado, vc consulta o documento que define padrão (p.ex. RFC).
Do contrário, consulte o desenvolvedor do aplicativo.

[cairo]

entendi. Para o funcionamento básico da internet aqui no linux o que posso deixar livre, todas requisições de entrada posso bloquear? pelo menos ja fiz e pareceu funcionar legal.

[zekkerj]

Se vc não vai rodar nenhum servidor [dica: acesso remoto ssh é servidor], pode deixar tudo fechadinho sim.

[cairo]

não vou usar servidor, meu negócio aqui é só o básico mesmo, só que reparei que tem umas portas que ficam na escuta no firewall, não sei para que elas servem, procuro no google sobre, mas a forma que são explicadas não deixa muito claro o para um usuário comum para que servem.

[zekkerj]

Então, a maior parte delas simplesmente não é usada. Quais portas são essas que vc tem dúvida?

[cairo]

Por exemplo aqui tem um monte de portas na escuta. Todas UDP e também tem UDP6. e ficam na escuta mais do que uma para cada aplicação e na maioria das vezes eu abro o gufw aparece um monte de porta e logo depois some a maioria.

Application

dhclient
avahi-daemon
cups-browsed
dnsmasq

[zekkerj]

Portas abertas significam que há um programa ativo em sua máquina associado com um serviço. Todas as que vc citou são portas de processos conhecidos e que de uma forma ou de outra são necessárias pra seu dia a dia.

[cairo]

E qual comando, ou de preferência um aplicativo que me permita ver qual é o trafego em cada porta em tempo real? assim posso saber o que posso bloquear e liberar, e tbm saber a função de cada uma.

[zekkerj]

Não há um comando pra isso. O que há são sistemas como o ntop, que faz estatística de tráfego, e o wireshark, que te permite analisar e visualizar o tráfego que passa pela máquina.
Mas ambos exigem que vc tenha um bom conhecimento de como funciona a rede.

[cairo]

o netstat serve para isso tbm? vou ver sobre o ntop e o wireshark aqui entao

[zekkerj]

não, o netstat só vai te mostrar quais são as conexões tcp ativas, ou as portas tcp e udp abertas, mas não o tráfego ou as estatísticas de cada uma delas.