Ну я новичок в этом деле, я искал решение для моей проблемы, перезагрузите, и сделайте это снова, укажите порт и протокол, вход и выход с протоколом, но я не могу.
problem: Firewall блокирует некоторые, не все, но некоторые ips, входящие в порт, который я настроил на разрешение входящих tcp и udp, я увидел ошибки в syslog с тегом [UFW BLOCK] SPT=45000 DPT=1563
...
Что я хочу: только открытые порты ssh, http и диапазон от 1500 до 1600 tcp и udp...
Мои команды для настройки брандмауэра на разрешение входящих и исходящих соединений
ufw allow 22
ufw allow 80
ufw allow 1500:1600/tcp
ufw allow 1500:1600/udp
Статус брандмауэра с ufw
root@u19312139:~# ufw status
Status: active
To Action From
-- ------ ----
22 ALLOW Anywhere
80 ALLOW Anywhere
1500:1600/tcp ALLOW Anywhere
1500:1600/udp ALLOW Anywhere
22 (v6) ALLOW Anywhere (v6)
80 (v6) ALLOW Anywhere (v6)
1500:1600/tcp (v6) ALLOW Anywhere (v6)
1500:1600/udp (v6) ALLOW Anywhere (v6)
syslog log
примечание: команда для просмотра в реальном времени syslog только строк, в которых есть "UFW"
tail -f /var/log/syslog | grep "UFW"
Мой вывод
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=189.173.30.x DST=xx:xx:xx:xx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=52308 DF PROTO=TCP SPT=52572 DPT=1557 WINDOW=1445 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=189.173.30.x DST=xx:xx:xx:xx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=52309 DF PROTO=TCP SPT=52572 DPT=1557 WINDOW=1445 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=189.173.30.x DST=xx:xx:xx:xx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=12518 DF PROTO=TCP SPT=62545 DPT=80 WINDOW=1445 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=189.173.30.x DST=xx:xx:xx:xx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=52310 DF PROTO=TCP SPT=52572 DPT=1557 WINDOW=1445 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=189.173.30.x DST=xx:xx:xx:xx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=12519 DF PROTO=TCP SPT=62545 DPT=80 WINDOW=1445 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=189.173.30.x DST=xx:xx:xx:xx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=52311 DF PROTO=TCP SPT=52572 DPT=1557 WINDOW=1445 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=189.173.30.x DST=xx:xx:xx:xx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=12520 DF PROTO=TCP SPT=62545 DPT=80 WINDOW=1445 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=189.173.30.x DST=xx:xx:xx:xx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=52312 DF PROTO=TCP SPT=52572 DPT=1557 WINDOW=1445 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=187.237.167.x DST=xx:xx:xx:xx LEN=40 TOS=0x00 PREC=0x00 TTL=115 ID=2280 DF PROTO=TCP SPT=42542 DPT=1563 WINDOW=10880 RES=0x00 ACK URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=189.173.30.x DST=xx:xx:xx:xx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=12521 DF PROTO=TCP SPT=62545 DPT=80 WINDOW=1445 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=187.210.142.x DST=xx:xx:xx:xx LEN=40 TOS=0x00 PREC=0x00 TTL=117 ID=6018 PROTO=TCP SPT=48744 DPT=1563 WINDOW=8160 RES=0x00 ACK URGP=0
Примечания:
[UFW BLOCK]
показывает, что ufw блокирует соединение с некоторых ips... Для тех IT, то использование iptables отслеживание GPS, я решил свою проблему, позволяют диапазон портов с этим решением....
Некоторое отслеживание gps сообщает серверу много в короткий период времени..., и это генерирует недопустимые пакеты, мы хотим позволить им всем...
пример:
прежде добавляют правила в файле before.rules
я удаляю, позволяют порты диапазона с ufw
ufw delete allow 1500:1600/tcp
ufw delete allow 1500:1600/udp
и затем редактирование /etc/ufw/before.rules
прежде drop INBALID Packets
добавьте позволяют порты, которые Вы хотите...
# quickly process packets for which we already have a connection
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# these ports sometimes generate invalid packets, just accept everything for now
-A ufw-before-input -p tcp -m multiport --dports 1500:1600 -j ACCEPT
-A ufw-before-input -p udp -m multiport --dports 1500:1600 -j ACCEPT
# drop INVALID packets (logs these in loglevel medium and higher)
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
Я добавляю, что код для позволяет диапазон дюйм/с с протоколом tcp/udp после того, как это делает a
ufw reload
и посмотрите, вносит ли это изменения... посмотрите iptables -S
и iptables -L
примечание: позвольте определенные порты, что у Вас есть проблемы,
пример: если я хочу, позволяют диапазону порты o порты специфических особенностей, но xx порт показывает мне теги UFW BLOCK
в syslog
, tail -f /var/logs/syslog | grep "UFW BLOCK"
необходимо включить тот порт /etc/ufw/before.rules
и в /etc/ufw/before6.rules
добавьте только, что у Вас есть проблемы... не все...
Для тех, у кого есть некоторые теги как UFW BLOCK
с ACK FIN
и RST
Странное поведение UFW. Блоки некоторый Порт 80 запросов при сообщении не.
Рассмотрение Ваших правил и сравнение их к Вашему журналу поднимают несколько вопросов. Похоже, что Вы пытаетесь управлять всем трафиком к и от Вашего интерфейса. Проблема здесь состоит в том, что при сравнении заблокированного пакета со списком брандмауэра, необходимо найти правило, что пакет соответствует. Все Вы, заблокированные пакеты имеют целевые порты, которые находятся в Вашем списке, но исходные порты, которые не являются. Если мой компьютер инициирует связь со стандартом http веб-сервер на Вашем компьютере затем, мое место назначения является портом 80, и мой источник является некоторым случайным числом, вероятно, в 50,000 + диапазон. Позвольте нам просто сказать, что мой 62545. Когда Ваш веб-сервер пытается ответить мне, нужно позволить выйти из Вас интерфейс на порте 80 предназначенных для моих 62545. То, где на Вашем разрешать посещать списку это, разрешило иметь пакет к 62 545? Если там не будет идти ни в какое сравнение затем, то пакет будет заблокирован. При рассмотрении 2-го для длительности, запись в журнале отобразилась, который является точно сценарием, который я просто объяснил. Нигде на Вас список не делает он позволяет, чтобы пакет перешел в 62 545.
Это оставляет две вещи рассмотреть. Один, брандмауэр является значением с сохранением информации, если Вы будете инициировать коммуникацию от своего интерфейса к целевому порту, говорить 80, то возвращаемый пакет будет позволен. Тот же пакет не мог ввести Ваш интерфейс с внешней стороны если не сначала инициируемый с внутренней части. Я думаю, что можно пытаться управлять слишком большим исходящего трафика. Это - то, если, вторая вещь, Вы не управляете маршрутизацией между интерфейсами. Если это так, тогдашний установка правила запрашивает больше информации в Вашем синтаксисе (тип: 'человек ufw' из командной строки для деталей). Я обычно ввожу подробные правила, когда я показал ранее, но только на входящей стороне, потому что я не направляю между интерфейсами. Подробное правило помогает re-evalute правила позже, если вопросы возникают относительно конфигурации UFW. Попытайтесь отбросить Вас, разрешают посещать правилам, если Вы не направляете и видите, разрешена ли проблема. Я мог быть неправым, но это - способ, которым я интерпретирую UFW и способ, которым я использую его успешно.Удачи. надежда это помогает.