Вопросы Теги

Как добавить правило пересылки в UFW? [dубликат]

У этого вопроса уже есть ответ: Переадресация портов с помощью UFW 1 answer

Я установил сервер Ubuntu с двумя сетевыми картами в качестве базового маршрутизатора, используя dnsmasq в качестве сервера DNS и DHCP и Я использую ufw для управления iptables.

Все работает, и я думаю, что у меня есть довольно хорошее базовое понимание того, что происходит.

Однако, чтобы Первыми пакетами я должен установить DEFAULT_FORWARD_POLICY="ACCEPT" в /etc/default/ufw. В файле конфигурации указано, что я, вероятно, также хочу изменить свои правила.

Я настроил /etc/ufw/before.rules и добавил:

*nat :POSTROUTING ACCEPT [0:0] -A POSTROUTING -s 192.168.0.0/24 -o enp0s3 -j MASQUERADE

Итак, мой вопрос:

Неправильно ли установить значение по умолчанию «ПРИНЯТЬ»? Могу ли я не оставить политику по умолчанию «DROP» и добавить правило с UFW?

Я добавил правило пересылки, но на самом деле он не пересылал пакеты.

sudo ufw route allow in on enp0s8 out on enp0s3 to 0.0.0.0/24 from 192.168.0.0/24
0
задан 8 September 2017 в 15:59

2 ответа

Ну, у меня есть несколько комментариев:

Вы ДОЛЖНЫ «ПРИНИМАТЬ» в соответствии с «установите DEFAULT_FORWARD_POLICY =« ACCEPT », чтобы переадресовать трафик между двумя сетевыми картами. Если вы использовали iptables, а не UFW, мог бы написать более конкретные правила, если вы этого захотите. Что вы подразумеваете по умолчанию как «ACCEPT»? Если по умолчанию вы принимаете весь трафик, это то же самое, что не работает брандмауэр. Вы можете просто отключить брандмауэр.

Установка политики по умолчанию для REJECT заблокирует вас, если вы очистите свои правила.

IMO лучше всего использовать по умолчанию как ACCEPT, написать все свои правила для принятия и затем использовать REJECT как окончательное правило в iptables. Таким образом, вы не будете заблокированы, если вы сбросите правила.

Вы ДОЛЖНЫ «ПРИНИМАТЬ» в соответствии с «установите DEFAULT_FORWARD_POLICY =« ПРИНИМАЕТ »для пересылки трафика между вашей 2-й сетью карты. Если вы использовали iptables, а не UFW, вы могли бы написать более конкретные правила, если вы этого пожелаете.

Вы ДОЛЖНЫ «ПРИНИМАТЬ» согласно «установить DEFAULT_FORWARD_POLICY =« ПРИНЯТЬ »для пересылки трафика между двумя сетевыми картами Если вы использовали iptables, а не UFW, вы могли бы написать более конкретные правила, если вы этого пожелаете.

Мы действительно не можем сказать вам, какие правила использовать или как их писать без дополнительной информации.

Какие серверы вы используете? Какой трафик вы хотите переслать? Каковы ваши текущие правила?

2
ответ дан 18 July 2018 в 07:15

Ну, у меня есть несколько комментариев:

Вы ДОЛЖНЫ «ПРИНИМАТЬ» в соответствии с «установите DEFAULT_FORWARD_POLICY =« ACCEPT », чтобы переадресовать трафик между двумя сетевыми картами. Если вы использовали iptables, а не UFW, мог бы написать более конкретные правила, если вы этого захотите. Что вы подразумеваете по умолчанию как «ACCEPT»? Если по умолчанию вы принимаете весь трафик, это то же самое, что не работает брандмауэр. Вы можете просто отключить брандмауэр.

Установка политики по умолчанию для REJECT заблокирует вас, если вы очистите свои правила.

IMO лучше всего использовать по умолчанию как ACCEPT, написать все свои правила для принятия и затем использовать REJECT как окончательное правило в iptables. Таким образом, вы не будете заблокированы, если вы сбросите правила.

Вы ДОЛЖНЫ «ПРИНИМАТЬ» в соответствии с «установите DEFAULT_FORWARD_POLICY =« ПРИНИМАЕТ »для пересылки трафика между вашей 2-й сетью карты. Если вы использовали iptables, а не UFW, вы могли бы написать более конкретные правила, если вы этого пожелаете.

Вы ДОЛЖНЫ «ПРИНИМАТЬ» согласно «установить DEFAULT_FORWARD_POLICY =« ПРИНЯТЬ »для пересылки трафика между двумя сетевыми картами Если вы использовали iptables, а не UFW, вы могли бы написать более конкретные правила, если вы этого пожелаете.

Мы действительно не можем сказать вам, какие правила использовать или как их писать без дополнительной информации.

Какие серверы вы используете? Какой трафик вы хотите переслать? Каковы ваши текущие правила?

2
ответ дан 24 July 2018 в 18:46
  • 1
    Фактически это академическое упражнение, чтобы больше узнать о сети. В частности, я использую сервер ubuntu как сервер dns, сервер dhcp и интернет-шлюз, следовательно, маршрутизацию. Мой комментарий о ACCEPT относится только к политике перехода по умолчанию для того, чтобы трафик трафик с одного интерфейса на другой, действительно ли я принял весь трафик на всех интерфейсах? Хммм не понимал этого. – hatterman 7 September 2017 в 23:42
  • 2
    Позвольте мне рассказать о другом вопросе. Я включил переадресацию, как показано выше, затем установил правило в ufw before.rules для пересылки трафика с lan на wan с использованием masquerade, затем использовал ufw, чтобы разрешить все исходящие и отклонить все входящие. По сути дела, я сделал это правильно? – hatterman 7 September 2017 в 23:50
  • 3
    Делал больше чтения, и кажется, что у dnsmasq есть возможность установить маршрут по умолчанию на основной маршрутизатор. Возможно, dnsmasq - это все, что мне нужно, и мне не нужно настраивать сам iptables (или ufw) для пересылки трафика. Завтра у меня будет игра. – hatterman 8 September 2017 в 00:26

Другие вопросы по тегам:

Похожие вопросы: