UFW'yi IP İletmeye izin verecek şekilde nasıl yapılandırırım?


18

Ev sunucumda UFW, OpenVPN ve Virtualbox yüklü. 10.0.1.0 IP aralığı ve OpenVPN bağlantısının diğer ucunda yapılandırılmış 10.0.0.0 değerinde başka bir IP aralığı ile ayarlanmış sanal makine misafirlerim (vboxnet0) için yalnızca ana bilgisayar ağım var.

IP Yönlendirme ana bilgisayarda yapılandırılır, bu nedenle UFW devre dışı bırakıldığında birbirleriyle sorunsuz konuşabilirler. Ancak, bu ev sahibi web erişilebilir olacak ve bazı erişim kontrolü istiyorum UFW çalıştırmak istiyorum.

UFW'yi bu tür trafiğe izin verecek şekilde nasıl yapılandırabilirim?

Ben çeşitli kombinasyonları denedim: ufw allow allow in|out on vboxnet0|tun0başarı ile.

UFW kurallarım:

root@gimli:~# ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
Anywhere                   ALLOW       10.0.0.0/16
Anywhere on vboxnet0       ALLOW       Anywhere
Anywhere on tun0           ALLOW       Anywhere

Anywhere                   ALLOW OUT   Anywhere on vboxnet0
Anywhere                   ALLOW OUT   Anywhere on tun0

Herhangi bir yardım büyük mutluluk duyacağız.

Yanıtlar:


20

Bunu anladım.

Düzen /etc/default/ufwve seti DEFAULT_FORWARD_POLICYiçin KABUL :

DEFAULT_FORWARD_POLICY="ACCEPT"

10
Yalnızca belirli bağlantı noktalarını iletmesine izin vermenin, her şeyi KABUL ETMEYE ayarlamasının bir yolu var mı?
Marcus Downing

1
Sanırım dosyayı düzenledikten sonra ufw yeniden başlatmanız gerekiyor:service ufw restart
Minh Danh

10

Artık mümkün - ufw man sayfasından:

Ana bilgisayar için değil, güvenlik duvarı üzerinden yönlendirilmesi / iletilmesi gereken trafik için kurallar kuraldan önce rota anahtar sözcüğünü belirtmelidir (yönlendirme kuralları PF sözdiziminden önemli ölçüde farklıdır ve bunun yerine netfilter FORWARD zincir kurallarını dikkate alır) . Örneğin:

     ufw route allow in on eth1 out on eth2

Bu, eth2'ye yönlendirilen ve eth1'e gelen tüm trafiğin güvenlik duvarını geçmesine izin verecektir.

     ufw route allow in on eth0 out on eth1 to 12.34.45.67 port 80 proto tcp

Bu kural, eth0'a gelen tüm paketlerin 12.34.45.67 üzerindeki eth1 üzerindeki güvenlik duvarını 80 numaralı tcp bağlantı noktasına 80 üzerinden geçmesine izin verir.

Yönlendirme kurallarına ve ilkesine ek olarak, IP yönlendirmeyi de ayarlamanız gerekir. Bu, /etc/ufw/sysctl.conf dosyasında aşağıdakiler ayarlanarak yapılabilir:

     net/ipv4/ip_forward=1
     net/ipv6/conf/default/forwarding=1
     net/ipv6/conf/all/forwarding=1

ardından güvenlik duvarını yeniden başlatın:

     ufw disable
     ufw enable

Çekirdek ayarlanabilirlerinin ayarının işletim sistemine özgü olduğunu ve ufw sysctl ayarlarının geçersiz kılınabileceğini unutmayın. Ayrıntılar için sysctl kılavuz sayfasına bakınız.


1
OpenVPN sunucusundaki OpenVPN istemcileri arasında tcp trafiğine izin vermek isteyenler için bu işe yarar. Örneğin: ufw hattı tun0'da tun0'a izin veriyor
log

Kayıt ufw routeiçin sürüm 0.34 beri mevcut
Joril

7

DEFAULT_FORWARD_POLICY öğesini / etc / default / ufw içinde ACCEPT olarak ayarlarsanız, güvenlik duvarı kullanıcı arabiriminin ayarlarına bakılmaksızın tüm paketleri iletir.

Bence kullanıcı arayüzü sadece basit giriş / çıkış filtreleme içindir. Yönlendirme için /etc/ufw/before.rules içine aşağıdaki gibi iptables kuralları eklemeniz gerekir:

-A ufw-before-forward -i eth1 -p tcp -d 192.168.1.11 --dport 22 -j ACCEPT

Muhtemelen içten dışa bağlantılara izin veren bir kuralınız var ve ilgili ve kurulmuş tcp oturumlarından gelen paketlerin tekrar içeri girmesine izin veren başka bir kuralınız var.

Ben iptables uzmanı değilim, bunu anlamak için çok uzun zaman aldı (ip6tables ile, ama benzer olmalı). Belki de sizin durumunuz için gereken her şey bu değildir.

En iyi dileklerimle


4

Bu ufw komutu benim için iyi çalıştı: sudo ufw default allow FORWARD

Değişikliğin uygulandığından emin olmak için: sudo service ufw restart


Bu, "Geçersiz sözdizimi" hatası verir. Dokümanlar "DIRECTION, gelen, giden veya yönlendirilenlerden biri" diyor.
ColinM

@ColinM bu benim için çalıştı Xubuntu 16.04.5 LTS
baptx

FORWARDroutedUbuntu için takma ad gibi çalışır
patricktokeeffe
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.