Правило UFW и веб-сайт
Я запускаю сервер ubuntu с DNS-сервером pihole и сервером OpenVPN. Я запускаю его в Интернете, поэтому я хотел защитить его с помощью UFW.
Итак, следующая конфигурация для ufw. Все работает, VPN + DNS через VPN. Но я не могу получить доступ к веб-сайту pihole, обслуживаемому портом 80, пока включен UFW.
У меня такая же настройка на другом сервере, это по существу переход оттуда. Он работает там, но не на этом сервере. Что мне здесь не хватает?
BTW Я могу получить доступ к веб-сайту pihole через частный IP-адрес. 10.x.x.x
To Action From
-- ------ ----
[ 1] 3222/tcp ALLOW IN Anywhere
[ 2] Anywhere ALLOW OUT Anywhere on tun0 (out)
[ 3] Anywhere on tun0 ALLOW IN Anywhere
[ 4] 1194 ALLOW IN Anywhere
[ 5] 53/udp ALLOW IN <work ip>
[ 6] 53/udp ALLOW IN <home ip>
[ 7] 80/tcp ALLOW IN <home ip>
[ 8] 80/tcp ALLOW IN <work ip>
[ 9] 3222/tcp ALLOW IN Anywhere (v6)
[10] Anywhere (v6) ALLOW OUT Anywhere (v6) on tun0 (out)
[11] Anywhere (v6) on tun0 ALLOW IN Anywhere (v6)
[12] 1194 ALLOW IN Anywhere (v6)
2 ответа
Если вы хотите подключить веб-сайт к VPN, я думаю, вы можете разрешить IP VPN для порта 80 на сервере:
ufw allow from [IP VPN] to any port 80
После того, как вы можете проверить telnet на сервер с портом 80:
[root@test test]# netstat -tulpn |grep 80
На сервере OPENVPN вы можете добавить маршрут линии в файл config /etc/openvpn/[name].conf как:
push "route [IP Server Web] 255.255.255.0"
На сервере вы можете проверить разрешить переадресацию IP и редактировать /etc/default/ufw и установите DEFAULT_FORWARD_POLICY на ACCEPT:
DEFAULT_FORWARD_POLICY="ACCEPT"
Если вы хотите подключить веб-сайт к VPN, я думаю, вы можете разрешить IP VPN для порта 80 на сервере:
ufw allow from [IP VPN] to any port 80
После того, как вы можете проверить telnet на сервер с портом 80:
[root@test test]# netstat -tulpn |grep 80
На сервере OPENVPN вы можете добавить маршрут линии в файл config /etc/openvpn/[name].conf как:
push "route [IP Server Web] 255.255.255.0"
На сервере вы можете проверить разрешить переадресацию IP и редактировать /etc/default/ufw и установите DEFAULT_FORWARD_POLICY на ACCEPT:
DEFAULT_FORWARD_POLICY="ACCEPT"
-
1Благодарю. Это уже не проблема. Я переконфигурировал свой брандмауэр, чтобы разрешить трафик на tun0 и больше не нужно делать исключения для разных IP-адресов. Также DNS-сервер только слушал публичные интерфейсы, я также изменил его, чтобы прослушать его на tun0. Итак, теперь у меня есть VPN + DNS, работающий с минимальными правилами. – Jigar Patel 12 August 2017 в 20:06