UFW izin vermek için kurallar ayarlasam bile hepsini engelliyor

14

Bir ubuntu sunucusu kullanıyorum, Şimdi bu komutları kullanarak güvenlik duvarını etkinleştirmeye çalışıyorum:

ufw default deny incoming
ufw default allow outgoing

ufw allow ssh
ufw allow www
ufw allow https

ufw enable

Ayrıca ufw default deny incomingsonuncuyu yapmaya çalıştım, ancak hala şans yok, güvenlik duvarını etkinleştirdiğimde, varsayılanı reddetmek için ayarladığımda her şeyi engeller, ancak izin vermek için ayarladığımda, kurallar yok sayılır gibi iyi çalışır. buna ne sebep olabilir?

DÜZENLE

Bu da benim iptables -L -v -n önerilen çözüm denedim ama hala şans yok, sadece ben yaptığımda iyi çalışıyordefault allow incoming

Chain INPUT (policy DROP 30 packets, 1764 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 2 packets, 104 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-after-forward (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-after-input (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ufw-skip-to-policy-input  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:137
    0     0 ufw-skip-to-policy-input  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:138
    0     0 ufw-skip-to-policy-input  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:139
    0     0 ufw-skip-to-policy-input  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:445
    0     0 ufw-skip-to-policy-input  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:67
    0     0 ufw-skip-to-policy-input  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:68
    0     0 ufw-skip-to-policy-input  all  --  *      *       0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type BROADCAST

Chain ufw-after-logging-forward (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "

Chain ufw-after-logging-input (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "

Chain ufw-after-logging-output (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-after-output (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-before-forward (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 3
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 4
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 11
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 12
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8
    0     0 ufw-user-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain ufw-before-input (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 ufw-logging-deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 3
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 4
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 11
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 12
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spt:67 dpt:68
    0     0 ufw-not-local  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            224.0.0.251          udp dpt:5353
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            239.255.255.250      udp dpt:1900
    0     0 ufw-user-input  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain ufw-before-logging-forward (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-before-logging-input (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-before-logging-output (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-before-output (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 ufw-user-output  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain ufw-logging-allow (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW ALLOW] "

Chain ufw-logging-deny (2 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID limit: avg 3/min burst 10
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "

Chain ufw-not-local (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type LOCAL
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type MULTICAST
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type BROADCAST
    0     0 ufw-logging-deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain ufw-reject-forward (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-reject-input (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-reject-output (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-skip-to-policy-forward (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain ufw-skip-to-policy-input (7 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain ufw-skip-to-policy-output (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain ufw-track-forward (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-track-input (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-track-output (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW

Chain ufw-user-forward (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-user-input (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:443

Chain ufw-user-limit (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 5 LOG flags 0 level 4 prefix "[UFW LIMIT BLOCK] "
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain ufw-user-limit-accept (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain ufw-user-logging-forward (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-user-logging-input (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-user-logging-output (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-user-output (1 references)
 pkts bytes target     prot opt in     out     source               destination
firewall  ufw 
engma
kaynak
1
Bana bir iyilik yapabilir misin? Yapın ufw enable, ardından çıkışını sudo iptables -L -v -nsorunuza yapıştırın . Ben altta yatan neyi merak ediyorum netfilter/ iptablesşeyler aslında UFW kurallara yapıyor. :)
Thomas Ward
İlk iki komut gereksizdir. Yapmanız gereken tek şey UFW'yi etkinleştirmektir ve izin vermek için varsayılan reddetme geçerli olacaktır.
14'te mchid
Oooh, mchid haklı, bunlar varsayılanlar, bunlara ihtiyacınız yok. Bunu söyledikten sonra, iptablesilk iki satır hariç tutulduğunda hala bu sorunu yaşıyorsanız verileri görmek istiyorum .
Thomas Ward
Iptables
dosyamın

Yanıtlar:

13

Bir terminal açın ve aşağıdaki komutları yazın:

Mevcut tüm kuralları kaldıracak bir sıfırlama yaparak başlayın:

sudo ufw reset

Sonraki,

sudo ufw app list

Bu OpenSSH ve diğerleri gibi kullanılabilir uygulama profillerini listeler. Bir uygulama hakkında bilgi almak için bu örnekteki gibi aşağıdaki komutu yazın:

sudo ufw app info OpenSSH

İşte çıktı:

Profile: OpenSSH
Title: Secure shell server, an rshd replacement
Description: OpenSSH is a free implementation of the Secure Shell protocol.

Port:
  22/tcp

OpenSSH erişimine izin vermek için aşağıdaki kuralı kullanabilirsiniz:

sudo ufw allow 22/tcp

Debian'ın aksine, www ve https genellikle uygulama profilleri olarak dahil edilmez, ancak bunların 80 ve 443 numaralı bağlantı noktalarında çalıştığını biliyoruz, bu nedenle aşağıdaki komutları kullanın: 

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

UDP eklemek istiyorsanız, bunu da yapın.

sudo ufw allow 80/udp
sudo ufw allow 443/udp

Değişiklikleri uygulamak için ufw'yi devre dışı bırakın ve etkinleştirin:

sudo ufw disable
sudo ufw enable

Kurallarınızı göstermek için:

sudo ufw status

Son olarak, ufw'nin daha az dostluk yönlerinden biri, reddetme kurallarının genellikle kurallara nasıl izin verdiğidir. Örneğin, her şeyi reddedecek şekilde ayarlayıp bağlantı noktalarını izin verecek şekilde ayarlayamazsınız. Tüm bağlantı noktaları yine de engellenecektir. Daha fazla bilgi için buraya bakın .

22, 53, 80 ve 443 dışındaki tüm bağlantı noktalarını global olarak engellemek için bu kuralları ekleyebilirsiniz. DNS isteklerine izin vermek için 53 numaralı bağlantı noktasını ekledim. DNS sorguları yapmanız gerekmiyorsa, kuralları uygun şekilde değiştirin.

Bu engelleme kurallarını yalnızca gelenler için ayarlamak sudo ufw deny in 1:22/tcpiçin örneğin kullanabilirsiniz . Alternatif olarak, giden sudo ufw deny out 1:22/tcpve benzeri için ayarlayın.

sudo ufw deny 1:21/tcp
sudo ufw deny 1:21/udp
sudo ufw deny 23:52/tcp
sudo ufw deny 23:52/udp
sudo ufw deny 54:79/tcp
sudo ufw deny 54:79/udp
sudo ufw deny 81:442/tcp
sudo ufw deny 81:442/udp
sudo ufw deny 444:65535/tcp
sudo ufw deny 444:65535/udp
mchid
kaynak
Cevabınız için çok teşekkürler, ancak bunlar dışında tüm bağlantı noktalarını engellemek istiyorum, ufw default block incomingbu kuralları ayarladıktan sonra kullanmalıyım ?
engma
@ Developer106 Hayır, ufw'yi etkinleştirdiğinizde, blok girişi zaten varsayılan olarak ayarlanmıştır. Bunu, açık bir terminalde aşağıdaki komutu yürüterek doğrulayabilirsiniz sudo ufw status verbose. Yanılmıyorsam, bu kuralı açıkça ayarlamak izin verilen bağlantı noktalarına izin vermez. Bunlar dışındaki tüm bağlantı noktalarını engellemek istiyorsanız, bu konuyu tam olarak yaptıkları gibi kontrol etmenizi öneririm. Çok kapsamlı, bunlar hariç her şeyi engelliyor ve istediğiniz açık portlara sahip olacaksınız. ubuntuforums.org/showthread.php?t=1893751
mchid
@ Developer106 22, 53, 80 ve 443 hariç tüm dünyayı engellemek ve diğer tüm bağlantı noktalarını reddetmek veya engellemek için bazı kurallar ekledim.
mchid
Tamam, sadece özel olarak dışarı olduğunu söylemeden outsöylemeyi reddetmek için belirttiğinizde işe yarıyor deny, hala çalışmıyor. bunun sebebi ne olabilir?
engma
@ Developer106 işe yaramıyor, engellemiyor veya izin vermiyor mu?
14'te mchid
7

Bilginize: başkalarının bu sorunu yaşaması durumunda.

Ayrıntılı iptables çıkışında ufw kurallarının INPUT, OUTPUT ve FORWARD zincirlerinde eksik olduğunu fark ettim. Bir noktada ufw etkinleştirdikten sonra özel FW kurallarımı kaldırmak için iptables -F'yi çalıştırdığımda sistemim böyle bitti. Kendi zincirlerinin bir kısmı iptables'da zaten mevcutsa, ufw en üst düzey kuralları geri eklemez gibi görünüyor.

Ufw yüklemesini kaldırdım, yeniden başlattım, 'iptables -F' yi çalıştırdım (hala aktif olan önceki iptables kurallarını kaldırmak için), sonra ufw'yi yeniden yükleyip yapılandırdım. Üst düzey ufw kuralları geri döndü. Kaldırma / yeniden yükleme gerekli olmayabilir. Sadece ufw'yi devre dışı bırakarak ve yeniden başlatarak iptables'dan tüm ufw kurallarını kaldırmak hile yapmış olabilir.

Üst seviye zincirlerin nasıl görünmesi gerektiği (Debian 9.4'te).

Chain INPUT (policy DROP)
target     prot opt source               destination         
ufw-before-logging-input  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-before-input  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-after-input  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-after-logging-input  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-reject-input  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-track-input  all  --  0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ufw-before-logging-forward  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-before-forward  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-after-forward  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-after-logging-forward  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-reject-forward  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-track-forward  all  --  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ufw-before-logging-output  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-before-output  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-after-output  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-after-logging-output  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-reject-output  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-track-output  all  --  0.0.0.0/0            0.0.0.0/0
FixItDad
kaynak
1
Bu da benim için sorunu çözdü.
Technophobe01
1
iptables -XTüm yerleşik olmayan zincirleri silmek için koşmak ve sonra yeniden başlatmak ufwda benim için çalıştı.
Tblue
0

Ben de aynı sorunu var , iptables zinciri ile bir tür vidalı yapılandırma ufwve fail2banfu ** ed. Ufw'ye başlar başlamaz her şey bloke edildi - hatta ufwzincirin kendisinde hiçbir kural yoktu . ufwsıfırlama yardımcı olmadı. Tamamen yeniden kurdum, bu işe yaradı.

sudo apt-get purge ufw
sudo apt-get install ufw
Maso Mato
kaynak
Merhaba Maso. Yeniden yükledikten sonra herhangi bir ek yapılandırma yapmak zorunda kaldınız mı?
Hee Jin
0

Benim için bu kural, kuralın 

sudo ufw default deny outgoing
sudo ufw default allow outgoing

İşe yarayan tek şey, 53 numaralı bağlantı noktasına izin vermemek, dns'e izin vermek vb.

jamescampbell
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.