UFW güvenlik duvarının icmp cevabına izin vermesi nasıl sağlanır?

21

Bir dizi Ubuntu 10.04 sunucusu var ve hepsinde de ufw firewall etkinleştirilmiş durumda. Bağlantı noktası 22'ye (SSH için) ve 80'e (web sunucusu ise) izin verdim. Sorum şu: icmp echo yanıtını etkinleştirmeye çalışıyorum (ping cevap).

ICMP, diğer protokollerden farklı şekilde çalışır - teknik anlamda IP seviyesinin altında olduğunu biliyorum. Sadece yazabilirsiniz sudo ufw allow 22, ancak yazamazsınız.sudo ufw allow icmp

10.04  server  firewall 
Jeremy Hajek
kaynak

Yanıtlar:

17

ufw, icmp kurallarının komut satırı arayüzü komutu ile belirlenmesine izin vermez. Kural kümenizi, iptables-restore stil dosyaları olan kural dosyaları aracılığıyla düzenlemenizi sağlar.

ufw, icmp echo yanıtı da dahil olmak üzere varsayılan olarak belirli icmp trafiğine izin vermez ve bu, önceden varsayılan olarak şu şekilde yapılandırılmıştır /etc/ufw/before.rules:

-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT

Eğer sunucunuz ping'e cevap vermiyorsa, yukarıdaki satırın mevcut olduğundan emin olmak için bu dosyaya bakın ve bu işe yaramazsa, ping yapan makineye ve bunların arasındaki güvenlik duvarlarına bakın.

jdstrand
kaynak
3
benim için çalışmıyor: 11.04 server.how bu sorunu nasıl giderebilirim?
pylover
Herhangi bir sıfırlamaya veya buna benzer bir şeye ihtiyacı var mı?
Amir Karimi
1
@AmirKarimi sudo ufw reload(ve eklemek zorunda ping isteklere izin verecek şekilde -A ufw-before-output -p icmp --icmp-type echo-request -j ACCEPTde /etc/ufw/before.rules)
baptx
2

Ubuntu 18.04 için, /etc/ufw/before.rules dosyanızda aşağıdaki kurallara sahip olmalısınız :

# ok icmp codes for INPUT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type source-quench           -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded           -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem       -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request            -j ACCEPT

# ok icmp code for FORWARD
-A ufw-before-forward -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type source-quench           -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type time-exceeded           -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type parameter-problem       -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type echo-request            -j ACCEPT

Bunlar varsayılan dosyamdaydı.

Elbette, bunun gerçekten sorun olduğundan emin olun. Sorunum, bilgisayarımın ping'leri ping yapmaya çalıştığım sunucunun bulunduğu ağa gitmesini engellemekti. Zaten benim için ping yapmak için internette zaten olan bir web sitesi kullanarak sona erdi (örneğin https://ping.eu/ping/ ).

hoadlck
kaynak
0

Burada, ping ve arkadaşlarına verilen yanıtları nasıl etkinleştirip / devre dışı bıraktığını tartışan bir yardım belgesi.

UFW yardım

Casey Keller
kaynak
0

Aşağıdakileri /etc/ufw/before.rules dosyasına ekleyin:

# allow outbound icmp
-A ufw-before-output -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A ufw-before-output -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT

Dosyayı düzenledikten sonra şu komutu çalıştırın:

sudo ufw reload
user3801989
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.