правила ufw не блокируют наводнение
Я пытаюсь сохранить deluged на моем бездисплейном Сервере Ubuntu 14.04.1 от функционирования, когда сервер не подключен к VPN (я знаю, много потоков существуют, обсуждая лучший способ выполнить это; я не ищу альтернативные методы так же как причина, почему шахта перестала работать).
Я установил наводнение для использования входящего порта 40000 и исходящие порты 40001:40101. Я также установил ufw значения по умолчанию, чтобы позволить исходящие соединения и отклонить входящие соединения. Наконец, я имею в распоряжении следующие правила:
To Action From -- ------ ---- [ 1] 22 ALLOW IN Anywhere [ 2] 58846 ALLOW IN Anywhere [ 3] 40000 on tun0 ALLOW IN Anywhere [ 4] 40000 DENY IN Anywhere [ 5] 40001:40101/tcp ALLOW OUT Anywhere on tun0 (out) [ 6] 40001:40101/udp ALLOW OUT Anywhere on tun0 (out) [ 7] 40001:40101/tcp DENY OUT Anywhere (out) [ 8] 40001:40101/udp DENY OUT Anywhere (out)
(и те же правила дублированы для (v6).)
Вы отметите, что я позволяю ssh, и разрешение тонкого клиента наводнения соединить демона, работающего на моем сервере.
Однако наводнению все еще удается функционировать, даже когда я не подключен ни к какой VPN (ifconfig подтверждает это только eth0 и обратная петля активна).
Я не могу выяснить, почему это работает способ, которым это делает. Кто-то может объяснить, что я пропускаю?
1 ответ
Ниже руководство, которое я нашел на форумах Airvpn. Это было очень полезно в понимании той же проблемы, которую я имел.
В следующем быстром учебном руководстве я попытаюсь дать Вам некоторые указания для получения простых настроек (надо надеяться), работающих. Это только для общего руководства. Скорректируйте адреса, номера портов и протоколы по мере необходимости. Например, Если Ваш маршрутизатор находится на другом IP-адресе, затем корректируют правило соответствовать к Вашим потребностям. Также, если Вы хотите подключить к другому использованию сервера VPN IP-адрес сервера, Вы хотите использовать. IP-адреса, используемые здесь, только как пример.
Следует иметь в виду, что упорядочивание правила важно и первые победы соответствия! Правило, которое вводится сначала, закончится выше в списке. В конце я объясню больше об этом (см. точку 8).
Откройте окно терминала и введите следующие команды и скорректируйте их к Вашим потребностям. Используйте su для входа в систему как корень, если Вы не имеете или помещаете sudo перед каждой командой. $ представляет подсказку в терминале.
Включите UFW.
$ ufw включают
Это включит брандмауэр, и теперь можно добавить правила.
Установите поведение по умолчанию для отклонения всего поступления и идущего трафика.
$ ufw значение по умолчанию отклоняют $ ufw, значение по умолчанию отклоняют в
Теперь все в - и исходящий трафик будут заблокированы.
Добавьте правило позволить трафик Вашему маршрутизатору (только если это необходимо).
$ ufw разрешают посещать 192.168.178.0/24
Это позволит трафик маршрутизатору/внутренней сети, который в этом случае расположен на 192.168.178.0/24. Если Ваш компьютер имеет несколько сетевых интерфейсов, можно добавить интерфейс, который Вы хотите использовать. Например.
$ ufw разрешают посещать на eth0 192.168.178.0/24
Это позволит только соединения с внутренней сетью / маршрутизатор на eth0. Если eth0 не соединен, и Вы используете, например, wlan0 соединение, UFW заблокирует трафик, и Вы не сможете соединиться с маршрутизатором/внутренней сетью, потому что только трафику от eth0 позволяют соединиться с 192.168.178.0/24.
Добавьте правило позволить трафик 46.19.137.114 на порте 443 с трафиком UDP. Это - AirVPN_CH-Virginis_UDP-443 сервер.
$ ufw разрешают посещать 46.19.137.144 портов 443 первичным udp
Это позволит трафик UDP на порте 443 к серверу Virginis (=46.19.137.144). Это необходимо для соединения с сервером VPN. Можно добавить больше чем один сервер VPN путем повторения вышеупомянутого правила и скорректировать IP-адрес к серверу, который Вы хотите добавить. Также возможно указать различные номера портов. Просто измените номер порта на номер порта, который необходим для соединения с сервером VPN. Если первичная udp часть опущена затем tcp, и трафик UDP позволяется и если это изменяется на первичный tcp затем, только трафик TCP позволяется.
Добавьте правило позволить войти - и исходящий трафик по tun0. Это - трафик с и на сервер VPN.
$ ufw разрешают посещать на tun0
Теперь для приложения как браузер возможно соединиться с различными сайтами в сети. Весь трафик пройдет vpn сервер.
В случае, что Вы используете клиент разрядного потока, необходимо будет также позволить входящий трафик от порта, который указан Вами в bittorrent клиенте (это - порт, который необходим, чтобы позволить коллегам/сеялкам соединяться с клиентом разрядного потока (NAT).
$ ufw позволяют войти на tun0 от любого до любого порта 54321
Это включит входящий трафик, который прибывает из различных IP-адресов (коллеги/сеялки, которые хотят соединиться с Вашим клиентом) для соединения посредством серверного соединения VPN (который, tun0 здесь). В этом случае номер порта 54321 используется, скорректируйте его правильный номер порта!
Если Вы теперь входите.
$ ufw подробное состояние
Вы получите пронумерованный список который что-то как:
Status: active Logging: off Default: deny (incoming), deny (outgoing) New profiles: skip To Action From -- ------ ---- 54321 on tun0 ALLOW IN Anywhere 192.168.178.0/24 ALLOW OUT Anywhere 46.19.137.114 443 ALLOW OUT Anywhere Anywhere ALLOW OUT Anywhere on tun0Это показывает Вам, какие правила применяются и каково состояние брандмауэра. Когда Вы входите:
$ ufw состояние пронумерован
Вы получите пронумерованный список. Это будет выглядеть примерно так:
Status: active To Action From -- ------ ---- [ 1] 192.168.178.0/24 ALLOW OUT Anywhere (out) [ 2] 46.19.137.114 443 ALLOW OUT Anywhere (out) [ 3] Anywhere ALLOW OUT Anywhere on tun0 (out) [ 4] 54321 on tun0 ALLOW IN AnywhereЭто - пронумерованный список. Важно знать, что порядок правил важен. При разрешении чего-то с правилом номер 1, которое позволяет, например, весь входящий трафик и исходящий трафик, все другие правила, которые указаны после того, как это не будет иметь никакого эффекта!
И как заключительное уведомление я также укажу на возможность удалить и вставить правила. Если Вы входите:
$ ufw удаляют 1 # и подтверждают, конечно,
Правило номер 1 будет удалено и все другие правила, которые следовали, правило 1 сместится в этом примере, список будет выглядеть примерно так (после того, как $ ufw состояние пронумеровал):
Status: active To Action From -- ------ ---- [ 1] 46.19.137.114 443 ALLOW OUT Anywhere (out) [ 2] Anywhere ALLOW OUT Anywhere on tun0 (out) [ 3] 54321 on tun0 ALLOW IN AnywhereИ если Вы хотите добавить правило об определенном месте, это возможно при помощи команды вставки. Например, мы хотим добавить второй сервер VPN, таким образом, мы можем выбрать другой в случае, на который каждый снижается (мог произойти, Вы знаете :-)) или если мы хотим опции. Команда была бы похожа на это;
$ ufw вставляют 2, разрешают посещать 119.81.1.122 порта 443 первичным tcp
это добавит сервер SG-Sagittarii
Теперь на точечном номере 2 существует новое вставленное правило. Другие правила сместятся вниз. Мы можем генерировать новый список:
$ ufw состояние пронумерован
И список будет похож: Состояние: активный
To Action From -- ------ ---- [ 1] 46.19.137.114 443 ALLOW OUT Anywhere (out) [ 2] 119.81.1.122 443/tcp ALLOW OUT Anywhere (out) [ 3] Anywhere ALLOW OUT Anywhere on tun0 (out) [ 4] 54321 on tun0 ALLOW IN Anywhere
Это завершает учебное руководство. Используйте его для Вас преимущество, и я надеюсь, что некоторые вещи становятся немного более ясными. Внесите соответствующие изменения для Вас, устанавливают и подробно останавливаются на нем. И снова версия GUI хороша, но версия командной строки лучше, только требуется определенное время для привыкания к нему.