Jak pracovat s profily firewallu GUFW (SSH, Zorin Connect a další) - LINUX PRO DOMÁCNOST

• UFW (Uncomplicated Firewall) je jednoduchý nástroj pro konfiguraci firewallu v Ubuntu a dalších distribucích. Je připravený pro IPv4 i IPv6 a slouží jako jednodušší vrstva nad iptables.
  
• GUFW je k UFW grafická nadstavba – okno s přehledným nastavením, které je vhodné i pro méně zkušené uživatele. man.archlinux.org.
  

Typické „zdravé“ výchozí nastavení pro běžný domácí počítač:

• Příchozí (Incoming): Zakázat / Deny
  
• Odchozí (Outgoing): Povolit / Allow
  

Takové nastavení:

• umožní prohlížení webu a využívání většiny aplikací směrem ven,
  
• ale z internetu k vám nic samo od sebe „neleze dovnitř“, pokud to vyloženě nepovolíte pravidlem.
  

V horní části okna GUFW najdete:

• Stav (Zapnuto / Vypnuto)
  
• Profil (Profile): výchozí je obvykle Home (Domácí)
  
• dvě rozbalovací nabídky: Příchozí / Odchozí politiky
  

Profily v GUFW jsou pojmenované sady pravidel a výchozích politik. Typicky:

• Home (Domácí)
  
• Office (Kancelář)
  
• Public (Veřejný) It's FOSS.
  

Důležité vlastnosti:

• Profily se nepřepínají automaticky podle sítě (např. domácí vs. kavárna). GUFW ani UFW nepoznají, kde se nacházíte – profil vždy volíte ručně. forums.linuxmint.com.
  
• Každý profil obsahuje:
  
• výchozí politiku (Incoming Allow/Deny/Reject, Outgoing Allow/Deny),
• sadu pravidel (konkrétní porty / aplikace).

Můžete mít například:

• profil Veřejný – maximálně utažený pro neznámé sítě,
  
• profil Domácí – povoluje navíc vybrané služby (např. sdílení souborů, SSH),
  
• vlastní profil ZorinConnect – povoluje jen porty nutné pro přenos souborů s mobilem.
  

1. Otevřete GUFW (např. „Nabídka → Nastavení → Firewall“).

2. Zadejte heslo správce (administrátora).

3. V horní části okna najdete pole Profil (Profile).

4. Klikněte na rozbalovací nabídku a zvolte:

• Home,
  
• Office,
  
• Public,
  
• nebo některý z vlastních profilů, které si vytvoříte.
  

Změna profilu platí okamžitě – to znamená, že se začnou používat pravidla a výchozí politika z daného profilu.

Proto je dobré:

Před přepnutím profilu si uvědomit, kde jste a co zrovna potřebujete.

V kavárně je žádoucí co nejvíce omezit příchozí spojení, doma je možné dočasně povolit některé služby navíc.

Profil Public (Veřejný) je určen pro situace, kdy se připojujete na:

• Wi-Fi v kavárně, restauraci, hotelu, na nádraží, letišti,
  
• jiné cizí nebo nezabezpečené sítě.
  

V těchto případech je vysoké riziko, že:

• ve stejné síti jsou cizí počítače a telefony,
  
• někdo může aktivně zkoušet hledat slabá místa a otevřené služby.
  

Proto by měl veřejný profil:

• blokovat co nejvíce příchozích spojení,
  
• ponechat povolené pouze nezbytné odchozí spojení (webový prohlížeč, aktualizace, e-mail…). It's FOSS.
  

Doporučení pro veřejné sítě:

• Používat profil Veřejný.
  
• Ujistit se, že výchozí politika je:
  
• Příchozí: Zakázat (Deny)
• Odchozí: Povolit (Allow)
• Nenechávat trvale povolené žádné „serverové“ služby (SSH server, sdílení souborů, Zorin Connect apod.), pokud je nutně nepotřebujete.
  

Profil Home (Domácí) je vhodný pro:

• počítače v domácí LAN,
  
• síť, kterou považujete za důvěryhodnou (např. domácí router s kvalitním heslem).
  

V domácím prostředí bývá potřeba:

• sdílet soubory mezi počítači,
  
• přistupovat přes SSH na domácí server nebo PC,
  
• propojit počítač s mobilem přes Zorin Connect / KDE Connect (přenos souborů, schránka, vzdálená myš apod.).
  

Stále platí, že základ firewallu zůstává:

• Příchozí: zakázat (Deny)
  
• Odchozí: povolit (Allow)
  

Rozdíl oproti veřejnému profilu je v tom, že si v domácím profilu můžete přidat konkrétní pravidla (pro SSH, sdílení, Zorin Connect…). Profil pak používáte pouze v důvěryhodné síti (doma), nikoli na veřejné Wi-Fi.

Profil Office (Kancelář) je určen spíše pro:

• firemní sítě,
  
• prostředí, kde je vyšší důraz na ochranu citlivých dat a kde mohou existovat specifické firemní požadavky.
  

Z hlediska chování se často podobá domácímu profilu, ale je myšlený pro:

• striktnější nastavení,
  
• použití speciálních pravidel pro firemní aplikace a servery. Ubunlog.
  

Pro běžné domácí uživatele zpravidla vystačí:

• Public (veřejná Wi-Fi),
  
• Home (domácí síť s vlastními pravidly).
  

Když v záložce Rules → + přidáváte nové pravidlo, v prvním řádku Pravidlo (policy) volíte, co se má s odpovídajícím provozem stát. Tato volba určuje politiku (akci) daného pravidla:

• Allow (Povolit) – povolí daný typ provozu,
  
• Deny (Zakázat) – tiše zahodí spojení bez odpovědi,
  
• Reject (Zahodit / Odmítnout) – aktivně sdělí protistraně, že spojení bylo odmítnuto,
  
• Limit (Omezit) – speciální typ pro omezení frekvence (počtu) pokusů (hodí se například pro SSH proti hrubé síle – automatizovanému zkoušení hesel). Pokud z jedné IP adresy přijde příliš mnoho pokusů o připojení v krátkém čase, firewall začne tyto pokusy brzdit nebo blokovat.
  

Je důležité si uvědomit, že:

• Allow / Deny / Reject / Limit jsou typy politiky jednoho konkrétního pravidla,
  
• samotné pravidlo je až celý záznam v seznamu Pravidla – tedy kombinace akce (Allow/Deny/…), směru (In/Out/Both), portu, služby a případně IP adresy.
  

Pro domácí počítač obvykle stačí:

• ponechat jako globální výchozí politiku profilu (v hlavním okně GUFW):
  
• Příchozí: Zakázat nebo Zahodit,
• Odchozí: Povolit,
• a v jednotlivých pravidlech používat především akci Allow pro konkrétní služby, které chcete povolit (například SSH, Zorin Connect).
  

Díky tomu firewall všechno ostatní, co není pokryté pravidly, blokuje výchozí politikou, a vy jen otevíráte přesně ty služby, které potřebujete.

Nyní se na doporučené nastavení pro veřejné sítě podíváme podrobněji z pohledu politik a pravidel.

Pokud používáte notebook ve veřejných Wi-Fi sítích (kavárna, vlak, letiště, hotel a podobně), je vhodné mít firewall nastavený co nejkonzervativněji.

Pro profil Veřejný lze doporučit následující výchozí politiku:

• Příchozí: Zakázat (Deny) – příchozí spojení, která nemají vlastní pravidlo, se tiše zahodí bez odesílání chybové odpovědi. Oproti volbě Zahodit / Odmítnout (Reject) tak firewall prozrazuje méně informací o tom, co se na Vašem počítači děje.
• Odchozí: Povolit (Allow) – běžné používání internetu (webový prohlížeč, e-mail, aktualizace, komunikace aplikací směrem ven) zůstává plně funkční.

Současně platí:

• v profilu Veřejný je vhodné mít povolené pouze ty služby, které opravdu nezbytně potřebujete,
• typicky nepovolujte žádné „serverové“ služby (SSH, sdílení souborů, Zorin Connect apod.); ty dává větší smysl používat až v domácím profilu v důvěryhodné síti.

Cílem je: z domácího počítače nebo notebooku se bezpečně připojit na jiný počítač v domácí síti pomocí SSH, když běží SSH server (například openssh-server).

8.1. Vytvoření pravidla z předpřipraveného profilu

1. Otevřete GUFW a ujistěte se, že máte zvolený profil Home (nebo jiný domácí profil).

2. Přejděte na záložku Rules (Pravidla).

3. Klikněte na tlačítko + (Add).

4. V horní části okna se ujistěte, že jste na záložce Preconfigured (Přednastavené).

5. V poli Policy (Politika) zvolte Allow (Povolit).  -  v češtině se jedná o řádek „Pravidlo:“.

6. V poli Direction (Směr) zvolte:

In (Incoming - Příchozí) – pokud chcete umožnit připojení zvenčí do tohoto počítače,
nebo (Both – Obojí), pokud potřebujete umožnit nezbytnou komunikaci oběma směry (GUFW obvykle vytvoří dvě pravidla – pro IPv4 i IPv6).

7. Do pole Search / Application napište ssh.

8. Vyberte profil SSH ze seznamu.

9. Potvrďte tlačítkem Add (Přidat).

8.2. Nebo si rovnou profil SSH vytvoříme

Při vytvoření nového profilu tlačítkem „+“ vznikne profil mimo viditelnou oblast. Je potřeba posunout pravý posuvník směrem dolů, jak vidíte na obrázku.

Přejmenujte profil na SSH a potvrďte „Entrem“.

Vyberte profil SSH z nabídky s politikou příchozí zahodit, odchozí povolit a naplňte jej pravidly dle návodu a obrázků.

Automaticky se tak vytvořil soubor „SSH.profile“.

Soubor „SSH.profile“ má základní politiku, ale  zatím není naplněný pravidly.

GUFW vytvoří:

• pravidlo pro port 22/TCP pro IPv4,
• pravidlo pro port 22/TCP pro IPv6 (v transcriptu je vidět „stejný port, ale se závorkami“ pro IPv6).

Soubor „SSH.profile“ naplněný pravidly.

Pro zvětšení klikněte na obrázek.

Důležité:

SSH server musí být nainstalovaný a běžet na cílovém počítači.

Uživatelé, kteří se chtějí připojit, musí znát:

• IP adresu nebo jméno počítače,
  
• uživatelské jméno,
  
• a heslo (případně klíč).
  

Pokud chcete profil SSH vymazat, tak nejdříve vyberete ve firewallu profil jiný, například veřejný. Jinak by vám profil SSH nešlo smazat, neboť by byl zrovna používaný. Pak v nabídce - upravit – předvolby – profily – myší vybereme profil SSH a tlačítkem „-“ mínus (Odstranit vybraný profil) profil smažete.

Pokud jste změnili výchozí port SSH (například z 22 na 2222), musíte místo předpřipraveného profilu použít záložku Simple - Jednoduché a nastavit správný port ručně.

Nejdříve odstraníte původní pravidla.

Tlačítkem plus u profilu SSH vytvoříte pravidlo nové a použijete záložku "Simple - Jednoduché". Nastavíte správný port ručně.

Tlačítkem „Přidat" se nové nastavení aplikuje okamžitě a výsledek je dle obrázku.

Soubor „SSH.profile“ naplněný novými pravidly.

Pro zvětšení klikněte na obrázek.

Samozřejmě můžete provést i pokročilejší nastavení firewallu.

9. Jak vytvořit pravidlo pro Zorin Connect (přenos souborů s mobilem)

Zorin Connect je nástroj pro integraci telefonu s počítačem – přenos souborů, oznámení, sdílená schránka, vzdálené ovládání apod. Funguje na podobném principu jako KDE Connect a používá síťovou komunikaci v lokální síti.

Instalace Zorin Connect, popis funkcí a otevření komunikace skrz firewall GUFW je popsána v článku „ZORIN CONNECT – aplikace jež PROPOJÍ váš MOBILNÍ A POČÍTAČOVÝ SVĚT“.

KDE Connect používá dynamické porty v rozsahu 1714–1764 pro TCP i UDP. Pokud je počítač za firewallem, je potřeba tento rozsah otevřít i v UFW/GUFW. Wikipedie.userbase.kde.org.

9.1. Jednoduché pravidlo pro Zorin Connect v GUFW

1. Otevřete GUFW a zvolte profil Home (Domácí) nebo vlastní domácí profil.

2. Přejděte na záložku Rules (Pravidla) → +.

3. Přepněte se na záložku Simple (Jednoduché).

4. Nastavte:

• Name (Název): například zorin-connect
  
• Policy (Politika): Povolit (Allow)   -  v češtině se jedná o řádek „Pravidlo:“.
  
• Direction (Směr): Both (Obojí)
  
• Protocol: Both (TCP+UDP) – případně vytvořte dvě pravidla, jedno pro TCP a druhé pro UDP
  
• Port: 1714:1764 (rozsah portů)
  

5. Potvrďte tlačítkem Add.

Postup je stejný jako při vytváření profilu a pravidla SSH v bodě 8, viz obrázkový návod.

Bezpečnostní tip: Tento rozsah portů nepovolujte v profilu Veřejný. Používejte jej pouze v domácím profilu, když jste připojeni ve vlastní LAN (doma).

Poznámka:

Doporučuji vám všechny profily vyexportovat. A to nejen ty, které vytvoříte, ale i profily „Veřejný, Domácí, Kancelář“. V případě vymazaní nebo poškození těchto profilů si je tak můžete kdykoliv zpět naimportovat.

Pouze pravidla přidána z Gufw budou exportována (ne ufw pravidla).

10. Rozdíl mezi politikou (policy) a pravidly (rules) v GUFW

V předchozích částech jste viděli, že GUFW pracuje s pojmy politika (policy) a pravidla (rules). Na první pohled to může vypadat podobně, ale ve skutečnosti jde o dvě různé věci, které spolu jen úzce souvisí.

Stručně:

• Policy = politika (výchozí chování)
  
• Rules = pravidla (konkrétní výjimky / povolení / zákazy)
  

Teď detailněji a srozumitelně.

10.1. Výchozí politika firewallu – obecné chování

Politika říká, co má firewall udělat s provozem, pro který neexistuje žádné konkrétní pravidlo.

V GUFW ji najdete:

• v hlavním okně nahoře jako:
  
• Příchozí: Povolit / Zakázat / Zahodit
• Odchozí: Povolit / Zakázat

Toto je globální výchozí politika pro daný profil (například „Home“ nebo „Public“).

Příklad:

· Příchozí: Zakázat

· Odchozí: Povolit

Znamená to:

· vše, co jde z vašeho počítače ven, je obecně povoleno,

· vše, co přichází zvenku k vám, je obecně zakázáno – pokud na to nemáte vytvořené konkrétní pravidlo.

Výchozí politika je tedy jakási „bezpečnostní mříž“, která platí vždy, když neexistuje žádná výjimka.

10.2. Pravidla – konkrétní výjimky a upřesnění

Pravidla (Rules) jsou konkrétní zápisy, které říkají:

„Pro tento port / službu / IP adresu se nechovejte podle obecné politiky, ale udělejte něco jiného.“

Každé pravidlo má typicky:

• Policy – co s daným provozem udělat:
  
• Povolit (Allow),
• Zakázat (Deny),
• Zahodit / Odmítnout (Reject),
• Omezit (Limit),
• Direction – směr (Příchozí / Odchozí / Obojí),
  
• Port nebo služba – například SSH, Zorin Connect, konkrétní číslo portu,
  
• případně IP adresu nebo rozsah adres.
  

Pravidla tedy buď:

• otevírají konkrétní porty či služby, které by jinak byly výchozí politikou zablokované, nebo
  
• naopak zpřísňují situaci (například zakážou něco, co by obecná politika jinak povolila).
  

10.3. Jak spolu politika a pravidla pracují

Logika rozhodování firewallu je vždy stejná:

1. Přijde paket (síťový provoz).

2. Firewall se podívá do seznamu pravidel (Rules):

• pokud najde pravidlo, které odpovídá portu, službě, IP adrese a směru, použije policy z tohoto pravidla (například „Povolit“ nebo „Zakázat“),
  

3. pokud nenajde žádné odpovídající pravidlo, použije globální výchozí politiku z hlavního okna:

• „Příchozí: …“,
  
• „Odchozí: …“.
  

Díky tomu:

• výchozí politika nastaví obecnou úroveň bezpečnosti (například „všechno příchozí blokovat“),
  
• pravidla pak tvoří výjimky, které říkají, co se má v konkrétních případech chovat jinak (například „SSH povolit“).
  

10.4. Praktický příklad: SSH v domácí síti

Mějme profil Home s výchozí politikou:

• Příchozí: Zakázat
  
• Odchozí: Povolit
  

Bez jakýchkoliv pravidel:

• počítač může iniciovat spojení ven (web, aktualizace, e-mail),
  
• zvenku se na něj nikdo nedostane, protože všechny příchozí pokusy jsou zakázané.
  

Teď přidáte pravidlo:

• Policy: Povolit (Allow)
  
• Direction: Příchozí (In)
  
• Služba / port: SSH (22/tcp)
  

Výsledné chování:

• příchozí spojení na port 22/tcp (SSH) → povoleno, protože existuje pravidlo, které říká „Allow“,
  
• příchozí spojení na jakýkoliv jiný port → zakázáno, protože na ně nic neukazuje a platí výchozí politika „Příchozí: Zakázat“.
  

10.5. Stručné shrnutí

• Politika (policy)
  
• určuje obecné chování firewallu, když žádné pravidlo neříká opak,
• nastavuje se v hlavním okně jako „Příchozí / Odchozí“,
• Pravidla (rules)
  
• jsou konkrétní výjimky a upřesnění,
• říkají, co udělat v konkrétní situaci (pro tento port / službu / IP).

Prakticky si to můžete představit tak, že politika je základní „zákon“ firewallu, zatímco pravidla jsou jednotlivé „výjimky“ z tohoto zákona, které umožňují konkrétní služby používat bezpečně a přesně podle vašich potřeb.

Poznámka k překladu v GUFW

• V dialogu „Přidat pravidlo firewallu“ je v českém překladu řádek „Pravidlo:“, kde vybíráte možnost Povolit / Zakázat / Zahodit / Omezit.
  
• V anglické dokumentaci se tento řádek jmenuje „Policy“ (Politika) a určuje, co má firewall s daným provozem udělat.
  
• Abychom se drželi terminologie programu, budeme v článku psát „řádek Pravidlo (politika)“ pro volbu akce (Povolit/Zakázat/…), a výraz „pravidlo“ budeme používat pro celý záznam v seznamu Pravidla (tedy kombinaci akce, směru, portu atd.).
  
• Na obrázku je vidět, že český překlad řádku „Pravidlo“ odpovídá anglickému „Policy“. V tomto návodu budeme proto mluvit o politice (Policy) jako o akci pravidla – Povolit, Zakázat, Zahodit, Omezit.
  

11. Vytváření vlastních profilů v GUFW

Výchozí profily (Home, Office, Public) často nestačí. GUFW umožňuje:

• profily přejmenovat,
  
• přidávat vlastní profily,
  
• mazat profily z nabídky (soubor profilu ale zůstává na disku, dokud jej nesmažete jako root).
  

11.1. Jak přidat vlastní profil

1. V GUFW klikněte v horní liště na Edit → Preferences (Upravit → Předvolby).

2. Přejděte na záložku Profiles.

3. Zde můžete:

• tlačítko „+“ vytvořit nový profil (například Home_SSH nebo Home_ZorinConnect),
  
• profil přejmenovat – dvojklik na název,
  
• tlačítko „−„ profil odebere ze seznamu v GUFW (z rozbalovací nabídky profilů).
  

Omezení názvu profilu:

• název může obsahovat písmena, čísla, pomlčky a podtržítka,
  
• mezery nejsou povoleny – pokud je vložíte, GUFW si postěžuje a název je nutné upravit.
  

11.2. Kde jsou profily uloženy

• Profily pro GUFW jsou v adresáři /etc/gufw/app_profiles/.
  
• Všechny tyto soubory jsou vlastněné uživatelem root, takže pro jejich ruční úpravu či mazání je potřeba být v režimu správce (root).
  

Pro běžné domácí uživatele je bezpečnější:

• řešit vše přes grafické rozhraní GUFW,
  
• soubory v /etc/gufw/app_profiles/ nenechávat ručně editovat, dokud přesně nevíte, co děláte.
  

12.1. Notebook s Linuxem – doma a na cestách

1. Doma (LAN):

• zvolte profil Home,
  
• přidejte pravidla:
  
• SSH (preconfigured profil),
• Zorin Connect (ruční rozsah portů 1714–1764),
• případně sdílení souborů (Samba, NFS, podle potřeby), userbase.kde.org.
• volitelně si vytvořte vlastní profil Home_ZorinConnect jen pro dobu, kdy přenášíte soubory s mobilem.
  

2. Veřejná Wi-Fi (kavárna, hotel):

• přepněte na profil Public,
  
• ponechte pouze základní nastavení:
  
• Příchozí: Deny
• Odchozí: Allow
• nepovolujte žádné dodatečné porty, pokud to není absolutně nutné.
  

3. Na konci práce:

• jakmile skončíte s přenosem souborů (Zorin Connect, SSH),
  
• přepněte zpět na svůj výchozí bezpečný profil – například:
  
• Home (pokud zůstáváte doma),
• Public (pokud jste ve veřejné síti).

Klíčová zásada:

• Otevírané porty a speciální profily používejte jen po dobu, kdy je to opravdu potřeba.
  
• Jakmile skončíte, vraťte se ke konzervativnímu profilu s příchozími zakázanými.
  

Záložka Výpis (Report) v GUFW zobrazuje přehled aktuální komunikace – jaké služby a porty Váš počítač používá, jaký protokol a směr provozu se právě objevuje. Pro začátečníka to může na první pohled vypadat složitě, ale ve skutečnosti jde o velmi užitečný nástroj:

• pomáhá rychle vytvořit pravidlo pro konkrétní službu nebo aplikaci,
  
• umožní dočasně zablokovat podezřelou komunikaci, dokud si neověříte, k čemu slouží.
  

1. Jak z Výpisu vytvořit pravidlo pro známou službu

Typická situace: Spustíte nějakou aplikaci (například program pro vzdálený přístup, speciální klient, herní server apod.) a chcete jí povolit komunikaci přes firewall, ale nevíte přesně, jaký port používá.

Postup v GUFW:

1. Ujistěte se, že je firewall zapnutý a máte zvolený správný profil (například Domácí).

2. Spusťte aplikaci nebo akci, která potřebuje komunikovat po síti (například zahajte připojení, otevřete vzdálený přístup apod.).

3. Otevřete GUFW a přejděte na záložku Výpis (Report).

4. V seznamu najděte řádek, který odpovídá dané službě (podle portu, protokolu nebo názvu).

5. U vybraného řádku klikněte na ikonku „+“.

6. GUFW otevře okno pro přidání pravidla s předvyplněnými hodnotami (port, protokol, směr).

7. V řádku Pravidlo (politika) zvolte Povolit (Allow) a potvrďte tlačítkem Přidat.

Tím vznikne nové pravidlo v seznamu Pravidla, které přesně odpovídá dané komunikaci – bez toho, abyste ručně hledali čísla portů nebo protokol.

Pokud to nechcete mít v profilu „Domácí“, můžete pravidla nejdřív vyexportovat pod novým názvem, například „vmware.profile“, pak pravidla z profilu „Domácí smazat“. A potom naimportovat váš nový profil. Například můj nový profil se jmenuje „vmware.profile“.

2. Jak využít Výpis při podezřelé nebo neznámé komunikaci

Může se stát, že si ve Výpisu všimnete komunikace, kterou neznáte – například:

• neznámý program komunikuje na neobvyklý port,
  
• zobrazuje se opakovaná komunikace, u které si nejste jistí, zda ji potřebujete.
  

V takovém případě můžete postupovat opatrně takto:

1. V záložce Výpis (Report) najděte konkrétní řádek s neznámou komunikací.

2. Nejprve si zapište port, protokol a případně název služby – tyto údaje můžete později vyhledat na internetu (například „port 5228 linux“, „název_služby linux“), abyste zjistili, zda jde o běžnou součást systému nebo nějakou aplikaci, kterou používáte.

3. Pokud máte obavu, že by komunikace mohla být nežádoucí, můžete u daného řádku kliknout na „+“ a vytvořit dočasné blokovací pravidlo:

• v řádku Pravidlo (politika) zvolte Zakázat (Deny) nebo Zahodit / Odmítnout (Reject),
  
• směr nastavte podle situace (často Obojí (Both), pokud si nejste jistí).
  

4. Pravidlo se objeví v seznamu Pravidla a daná komunikace bude zablokována.

5. Pokud později zjistíte, že šlo o legitimní službu (například součást systému, synchronizaci času, aktualizace apod.), můžete pravidlo:

• buď dočasně vypnout (odškrtnout zatržítko u pravidla),
  
• nebo jej zcela smazat.
  

Důležité upozornění:

Ne každá neznámá položka ve Výpisu znamená problém nebo škodlivou činnost. Často jde o běžné systémové služby (DNS, časová synchronizace, tisk, sdílení v lokální síti apod.). Pokud si nejste jisti, je vždy dobré si nejprve podle čísla portu nebo názvu služby zjistit více informací a až poté trvale blokovat.

Záložka Výpis tak může být pro běžného uživatele užitečným „oknem do sítě“ – pomůže Vám:

• rychle povolit konkrétní legitimní komunikaci,
  
• nebo naopak dočasně omezit podezřelou komunikaci, dokud si neověříte, zda ji opravdu potřebujete.
  

Pokud po přidání pravidla něco nefunguje:

1. Ujistěte se, že:

• je zvolen správný profil,
  
• je firewall zapnutý (Enabled),
  
• pravidlo je aktivní (zaškrtnuté).
  

2. Zkontrolujte záložku Výpis (Report):

• ukazuje aktivní služby, porty, protokoly – z této záložky lze rovnou vytvořit pravidlo pro konkrétní službu.
  

3. V případě problémů použijte záložku Logs (Záznamy):

• zde najdete detailní informace o tom, jaký provoz byl povolen nebo blokován,
  
• hodí se pro hledání chyb – například když se pravidlo nepodaří aplikovat správně.
  

Pokud máte v plánu používat SSH nebo Zorin Connect častěji, je vhodné:

• pečlivě si uložit a pojmenovat profil,
  
• případně si exportovat profily jako zálohu (pokročilá možnost ukázaná ve videu „Zorin 17.3 – Core – Firewall Tips“).
  

POZOR:

Pro kontrolu, zda je UFW skutečně aktivní, používejte příkaz „sudo ufw status verbose“ nebo přepínač v GUI GUFW. Výstup „systemctl status ufw“ ukazuje jen stav startovací služby v systemd, nikoliv to, zda je firewall aktuálně zapnutý.

NOUZOVÉ ŘEŠENÍ: úplný reset GUFW (pokročilé)

Tento postup:

• smaže všechny profily a pravidla v GUFW,
  
• vrátí výchozí profily Home, Office, Public,
  
• resetuje i samotný UFW.
  

Používejte jen v případě, že je nastavení GUFW/UFW úplně rozbité a máte možnost si firewall znovu ručně nastavit. Otevřete terminál a spusťte  v něm postupně jednotlivé řádky příkazů a potvrďte klávesou „ENTER“. (Postup je určen pro Linux Zorin a linuxové distribuce založené na Debianu a Ubuntu).

sudo ufw disable         # vypne UFW

sudo apt purge gufw       # odinstaluje GUFW včetně konfigů

ls /etc/gufw             # kontrola, zda adresář ještě existuje

sudo rm -rf /etc/gufw     # pokud existuje, smaže jej

sudo apt install gufw     # znovu nainstaluje GUFW

sudo ufw reset            # resetuje UFW do výchozího stavu

sudo ufw enable          # znovu zapne UFW

Po tomto postupu:

• jsou v GUFW zpět výchozí profily Home, Office, Public,
• firewall je čistý, jako po nové instalaci,
• musíte si znovu nastavit všechna pravidla (SSH, Zorin Connect, sdílení souborů atd.).

• GUFW je jednoduchá grafická nadstavba nad UFW, vhodná i pro začátečníky.
  
• Profily firewallu (Home, Office, Public) jsou ručně volené scénáře, ne automatická detekce sítě.
  
• Pro veřejné sítě používejte profil Public s co nejvíce omezenými příchozími spojeními.
  
• Pro domácí síť je vhodný profil Home, ve kterém lze přidat pravidla pro:
  
• SSH – vzdálená správa,
• Zorin Connect / KDE Connect – přenos souborů a další integrace s telefonem.
• Vlastní profily vám umožní oddělit scénáře „jen Zorin Connect“, „jen SSH“, „domácí sdílení“ atd.
  
• Po dokončení sdílení nebo vzdáleného přístupu je dobré se vrátit k výchozímu bezpečnému profilu (příchozí zakázat, odchozí povolit).
  

Tento způsob práce s profily firewallu vám umožní zůstat bezpeční ve veřejných sítích a zároveň si zachovat pohodlí v domácí síti, kde potřebujete sdílet soubory a přistupovat na počítač na dálku.

• Video: Zorin 17.3 – Core – Firewall Tips (YouTube, nastavení GUFW, profily, import/export vlastních profilů, pravidla pro SSH a Zorin Connect).
  
• Video: How to Install and Use GUFW Firewall on Ubuntu | Linux Mint (YouTube, základní vysvětlení instalace GUFW, profilů a pravidel).
  
• Ubuntu Community Help Wiki – Gufw (základní příručka k GUFW). help.ubuntu.com.
  
• Ubuntu Community Help Wiki – UFW – Uncomplicated Firewall (dokumentace k UFW, příklady pravidel). help.ubuntu.com.
  
• Článek „How to Set Up Firewall with GUFW GUI Tool on Linux“ – ITSfoss (přehled profilů Home/Public/Office a práce s GUFW). It's FOSS.
  
• Dokumentace KDE Connect – informace o použitých portech 1714–1764/TCP+UDP (pro pravidla Zorin Connect / KDE Connect). Wikipedie.userbase.kde.org.