Показать всех участников группы
У меня такая же проблема, как у Mookey, но я могу подтвердить, что решение для 2707974 работает для меня!
Давайте посмотрим это шаг за шагом.
Если у Gufw установлено значение incomming: deny и outgoing: allow with logging on. Затем, если я включаю VPN, первый контакт с моим провайдером VPN разрешен обычно без каких-либо правил. Когда провайдер VPN обращается, его вызов блокируется.
[UFW BLOCK] IN = wlan0 OUT = MAC = 49: ........: 10 SRC = yyy.yyy.yyy. yyy DST = xxx.xxx.xxx.xxx LEN = 55 TOS = 0x00 PREC = 0x00 TTL = 49 ID = 33716 PROTO = 47x = me, y = мой поставщик vpn.
Он блокируется комбинацией причин, входящих ip и протокола 47.
Теперь, когда снова выключите Gufw и запустите vpn. netstat -nautp видит:
[UFW BLOCK] IN = wlan0 OUT = MAC = 49: ........: 10 SRC = yyy.yyy.yyy.yyy DST = xxx .xxx.xxx.xxx LEN = 55 TOS = 0x00 PREC = 0x00 TTL = 49 ID = 33716 PROTO = 47
tcp 0 0 xxx.xxx.xxx.xxx:50798 yyy.yyy .yyy.yyy: 1723 ESTABLISHED -
РЕДАКТИРОВАТЬ 1 из 2707974 является правильным, но должен быть вставлен точно в том месте. Это позаботится о разрешении протокола 47. После этого вы можете добавить правило, разрешающее входящее соединение вашего vpn-доказателя. Вы можете использовать: sudo ufw allow yyy.yyy.yyy.yyy, и он работает. Вы даже можете включать порты (когда вы уверены, что они не выбраны случайными)
sudo insert 1 allow from yyy.yyy.yyy.yyy port 1723 to xxx.xxx.xxx.xxx port 50798
Это тоже работает. Вы можете подумать, что сейчас у вас есть разрешение, но есть одна проблема безопасности. Правило протокола 47 обрабатывается намного раньше, чем правило allow ip. Как только есть входящий пакет протокола 47, он разрешен. Нет никакого отклонения, если ip-адрес не подходит.
Вы можете видеть, что происходит, когда вы удаляете правило ip из ufw. sudo ufw delete 1 (не забудьте снова отключить / включить ufw) VPN все равно будет работать.
Я очень уверен, что вы не хотите, чтобы каждый пакет каждого хоста, входящий в вашу систему, был только потому, что он GRE.
-A ufw-before-input -p 47 -s <your vpn provider> -j ACCEPT
-A ufw-before-output -p 47 -s <your vpn provider> -j ACCEPT
Измените EDIT 1 на:
Это работает и безопасно. Вы можете проверить это самостоятельно, изменив ip выше на неправильный ip и vpn перестанет работать. Правило Гуфва больше не нужно, хотя это и было моим намерением. Я был бы признателен за правильное правило Gufw.
4 ответа
getent (поставляется с libc-bin) - это то, что вы ищете.
И вы хотите проанализировать базу данных group (/etc/group и / или аналогично), например: [ ! d1] getent group adm
предоставит вам соответствующую запись для группы adm, включая информацию о членстве в группе.
Поля:
<group_name>:<group_password>:<group_id>:<members>
Если вы просто хочу, чтобы имена пользователей были следующими:
getent group adm | awk -F: '{print $NF}'
Дополнительным преимуществом getent является то, что он также будет извлекать данные из сети, если они настроены на /etc/nsswitch.conf.
В моей системе:
% getent group adm
adm:x:4:syslog,foobar
% getent group adm | awk -F: '{print $NF}'
syslog,foobar
Я тоже совершенно новый. То, как я это делаю: перейдите в папку / etc
cd /etc
, затем откройте группу файлов с помощью выбранного вами редактора (например, nano)
nano group
здесь вы увидите список всех групп, за которыми следуют члены группы
getent (поставляется с libc-bin) - это то, что вы ищете.
И вы хотите проанализировать базу данных group (/etc/group и / или аналогично), например: [ ! d1] getent group adm
предоставит вам соответствующую запись для группы adm, включая информацию о членстве в группе.
Поля:
<group_name>:<group_password>:<group_id>:<members>
Если вы просто хочу, чтобы имена пользователей были следующими:
getent group adm | awk -F: '{print $NF}'
Дополнительным преимуществом getent является то, что он также будет извлекать данные из сети, если они настроены на /etc/nsswitch.conf.
В моей системе:
% getent group adm
adm:x:4:syslog,foobar
% getent group adm | awk -F: '{print $NF}'
syslog,foobar
Я тоже совершенно новый. То, как я это делаю: перейдите в папку / etc
cd /etc
, затем откройте группу файлов с помощью выбранного вами редактора (например, nano)
nano group
здесь вы увидите список всех групп, за которыми следуют члены группы