Позвольте мне показать вам, на что я потратил 2 часа впустую:
To Action From
-- ------ ----
22 REJECT Anywhere
23/tcp REJECT Anywhere
79/tcp REJECT Anywhere
25/tcp REJECT Anywhere
43/tcp REJECT Anywhere
49 REJECT Anywhere
21/tcp REJECT Anywhere
110 REJECT Anywhere
115/tcp REJECT Anywhere
39/udp REJECT Anywhere
143 REJECT Anywhere
161 REJECT Anywhere
199 REJECT Anywhere
209 REJECT Anywhere
213 REJECT Anywhere
530/tcp REJECT Anywhere
389 REJECT Anywhere
444 REJECT Anywhere
465/tcp REJECT Anywhere
512/udp REJECT Anywhere
513/udp REJECT Anywhere
514/tcp REJECT Anywhere
514/udp REJECT Anywhere
540/tcp REJECT Anywhere
554 REJECT Anywhere
556/tcp REJECT Anywhere
623/udp REJECT Anywhere
706 REJECT Anywhere
88 REJECT Anywhere
990/tcp REJECT Anywhere
994 REJECT Anywhere
995 REJECT Anywhere
993 REJECT Anywhere
130/tcp REJECT Anywhere
130/udp REJECT Anywhere
131/udp REJECT Anywhere
132/udp REJECT Anywhere
133/udp REJECT Anywhere
134/udp REJECT Anywhere
135/udp REJECT Anywhere
136/udp REJECT Anywhere
137/udp REJECT Anywhere
138/udp REJECT Anywhere
139/udp REJECT Anywhere
139/tcp REJECT Anywhere
138/tcp REJECT Anywhere
137/tcp REJECT Anywhere
136/tcp REJECT Anywhere
135/tcp REJECT Anywhere
134/tcp REJECT Anywhere
133/tcp REJECT Anywhere
132/tcp REJECT Anywhere
131/tcp REJECT Anywhere
22 (v6) REJECT Anywhere (v6)
23/tcp (v6) REJECT Anywhere (v6)
79/tcp (v6) REJECT Anywhere (v6)
25/tcp (v6) REJECT Anywhere (v6)
43/tcp (v6) REJECT Anywhere (v6)
49 (v6) REJECT Anywhere (v6)
21/tcp (v6) REJECT Anywhere (v6)
110 (v6) REJECT Anywhere (v6)
115/tcp (v6) REJECT Anywhere (v6)
39/udp (v6) REJECT Anywhere (v6)
143 (v6) REJECT Anywhere (v6)
161 (v6) REJECT Anywhere (v6)
199 (v6) REJECT Anywhere (v6)
209 (v6) REJECT Anywhere (v6)
213 (v6) REJECT Anywhere (v6)
530/tcp (v6) REJECT Anywhere (v6)
389 (v6) REJECT Anywhere (v6)
444 (v6) REJECT Anywhere (v6)
465/tcp (v6) REJECT Anywhere (v6)
512/udp (v6) REJECT Anywhere (v6)
513/udp (v6) REJECT Anywhere (v6)
514/tcp (v6) REJECT Anywhere (v6)
514/udp (v6) REJECT Anywhere (v6)
540/tcp (v6) REJECT Anywhere (v6)
554 (v6) REJECT Anywhere (v6)
556/tcp (v6) REJECT Anywhere (v6)
623/udp (v6) REJECT Anywhere (v6)
706 (v6) REJECT Anywhere (v6)
88 (v6) REJECT Anywhere (v6)
990/tcp (v6) REJECT Anywhere (v6)
994 (v6) REJECT Anywhere (v6)
995 (v6) REJECT Anywhere (v6)
993 (v6) REJECT Anywhere (v6)
130/tcp (v6) REJECT Anywhere (v6)
130/udp (v6) REJECT Anywhere (v6)
131/udp (v6) REJECT Anywhere (v6)
132/udp (v6) REJECT Anywhere (v6)
133/udp (v6) REJECT Anywhere (v6)
134/udp (v6) REJECT Anywhere (v6)
135/udp (v6) REJECT Anywhere (v6)
136/udp (v6) REJECT Anywhere (v6)
137/udp (v6) REJECT Anywhere (v6)
138/udp (v6) REJECT Anywhere (v6)
139/udp (v6) REJECT Anywhere (v6)
139/tcp (v6) REJECT Anywhere (v6)
138/tcp (v6) REJECT Anywhere (v6)
137/tcp (v6) REJECT Anywhere (v6)
136/tcp (v6) REJECT Anywhere (v6)
135/tcp (v6) REJECT Anywhere (v6)
134/tcp (v6) REJECT Anywhere (v6)
133/tcp (v6) REJECT Anywhere (v6)
132/tcp (v6) REJECT Anywhere (v6)
131/tcp (v6) REJECT Anywhere (v6)
Затем я установил fail2ban. Я проделал все это вручную из списка страниц вики-портов и набирал каждую команду reject!
Еще, наверное, пропустил еще 60000
Почти каждый список доступа по умолчанию заканчивается deny all all
.
Когда Вы включаете ufw
ширина любые правила к allow
некоторый трафик все находится в deny
состояние.
Status: active
To Action From
-- ------ ----
69 ALLOW Anywhere
53 ALLOW Anywhere
22 ALLOW 213.xxx.xxx.xxx
80/tcp ALLOW 194.247.xxx.xxx
21/tcp ALLOW 194.247.xxx.xxx
69 (v6) ALLOW Anywhere (v6)
80 (v6) ALLOW Anywhere (v6)
Это управляет, принимают любого на порте 69, любого на порте 53, ssh от 213.xxx.xxx.xxx, 80 и 21 от 194.247.xxx.xxx... и отклоняют любой другой входящий трафик
Редактирование 1
Когда включают ufw
ни с кем allow
правило все deny
.
Полная команда для правила в ufw
sudo ufw [--dry-run] [delete] [insert NUM] allow|deny|reject|limit [in|out on INTERFACE] [log|log-all] [proto protocol] [from ADDRESS [port PORT]][to ADDRESS [port PORT]]
На основе этого шаблона правила можно позволить от xxx.xxx.xxx.xxx на порте 80 с этим правилом
для определенного хоста
sudo ufw allow proto tcp from xxx.xxx.xxx.xxx to any port 80
если Вы привычка позволить любому получать доступ к Вашему веб-серверу
sudo ufw allow proto tcp from any to any port 80
если Вы хотите предоставить доступ из определенной сети
sudo ufw allow proto tcp from xxx.xxx.xxx.xxx/yy to any port 80
где
xxx.xxx.xxx.xxx - представьте сетевой IP
yy - представьте сетевую маску
Если Вы имеете DNS
сервис на использование сервера делает правило для port 53
и proto tcp
и proto udp
.
sudo ufw allow proto tcp from xxx.xxx.xxx.xxx/yy to any port 53
sudo ufw allow proto udp from xxx.xxx.xxx.xxx/yy to any port 53