Я пытаюсь сохранить deluged
на моем бездисплейном Сервере Ubuntu 14.04.1 от функционирования, когда сервер не подключен к VPN (я знаю, много потоков существуют, обсуждая лучший способ выполнить это; я не ищу альтернативные методы так же как причина, почему шахта перестала работать).
Я установил наводнение для использования входящего порта 40000 и исходящие порты 40001:40101. Я также установил ufw
значения по умолчанию, чтобы позволить исходящие соединения и отклонить входящие соединения. Наконец, я имею в распоряжении следующие правила:
To Action From -- ------ ---- [ 1] 22 ALLOW IN Anywhere [ 2] 58846 ALLOW IN Anywhere [ 3] 40000 on tun0 ALLOW IN Anywhere [ 4] 40000 DENY IN Anywhere [ 5] 40001:40101/tcp ALLOW OUT Anywhere on tun0 (out) [ 6] 40001:40101/udp ALLOW OUT Anywhere on tun0 (out) [ 7] 40001:40101/tcp DENY OUT Anywhere (out) [ 8] 40001:40101/udp DENY OUT Anywhere (out)
(и те же правила дублированы для (v6).)
Вы отметите, что я позволяю ssh
, и разрешение тонкого клиента наводнения соединить демона, работающего на моем сервере.
Однако наводнению все еще удается функционировать, даже когда я не подключен ни к какой VPN (ifconfig
подтверждает это только eth0
и обратная петля активна).
Я не могу выяснить, почему это работает способ, которым это делает. Кто-то может объяснить, что я пропускаю?
Ниже руководство, которое я нашел на форумах Airvpn. Это было очень полезно в понимании той же проблемы, которую я имел.
В следующем быстром учебном руководстве я попытаюсь дать Вам некоторые указания для получения простых настроек (надо надеяться), работающих. Это только для общего руководства. Скорректируйте адреса, номера портов и протоколы по мере необходимости. Например, Если Ваш маршрутизатор находится на другом IP-адресе, затем корректируют правило соответствовать к Вашим потребностям. Также, если Вы хотите подключить к другому использованию сервера VPN IP-адрес сервера, Вы хотите использовать. IP-адреса, используемые здесь, только как пример.
Следует иметь в виду, что упорядочивание правила важно и первые победы соответствия! Правило, которое вводится сначала, закончится выше в списке. В конце я объясню больше об этом (см. точку 8).
Откройте окно терминала и введите следующие команды и скорректируйте их к Вашим потребностям. Используйте su для входа в систему как корень, если Вы не имеете или помещаете sudo перед каждой командой. $ представляет подсказку в терминале.
Включите UFW.
$ ufw включают
Это включит брандмауэр, и теперь можно добавить правила.
Установите поведение по умолчанию для отклонения всего поступления и идущего трафика.
$ ufw значение по умолчанию отклоняют $ ufw, значение по умолчанию отклоняют в
Теперь все в - и исходящий трафик будут заблокированы.
Добавьте правило позволить трафик Вашему маршрутизатору (только если это необходимо).
$ ufw разрешают посещать 192.168.178.0/24
Это позволит трафик маршрутизатору/внутренней сети, который в этом случае расположен на 192.168.178.0/24. Если Ваш компьютер имеет несколько сетевых интерфейсов, можно добавить интерфейс, который Вы хотите использовать. Например.
$ ufw разрешают посещать на eth0 192.168.178.0/24
Это позволит только соединения с внутренней сетью / маршрутизатор на eth0. Если eth0 не соединен, и Вы используете, например, wlan0 соединение, UFW заблокирует трафик, и Вы не сможете соединиться с маршрутизатором/внутренней сетью, потому что только трафику от eth0 позволяют соединиться с 192.168.178.0/24.
Добавьте правило позволить трафик 46.19.137.114 на порте 443 с трафиком UDP. Это - AirVPN_CH-Virginis_UDP-443 сервер.
$ ufw разрешают посещать 46.19.137.144 портов 443 первичным udp
Это позволит трафик UDP на порте 443 к серверу Virginis (=46.19.137.144). Это необходимо для соединения с сервером VPN. Можно добавить больше чем один сервер VPN путем повторения вышеупомянутого правила и скорректировать IP-адрес к серверу, который Вы хотите добавить. Также возможно указать различные номера портов. Просто измените номер порта на номер порта, который необходим для соединения с сервером VPN. Если первичная udp часть опущена затем tcp, и трафик UDP позволяется и если это изменяется на первичный tcp затем, только трафик TCP позволяется.
Добавьте правило позволить войти - и исходящий трафик по tun0. Это - трафик с и на сервер VPN.
$ ufw разрешают посещать на tun0
Теперь для приложения как браузер возможно соединиться с различными сайтами в сети. Весь трафик пройдет vpn сервер.
В случае, что Вы используете клиент разрядного потока, необходимо будет также позволить входящий трафик от порта, который указан Вами в bittorrent клиенте (это - порт, который необходим, чтобы позволить коллегам/сеялкам соединяться с клиентом разрядного потока (NAT).
$ ufw позволяют войти на tun0 от любого до любого порта 54321
Это включит входящий трафик, который прибывает из различных IP-адресов (коллеги/сеялки, которые хотят соединиться с Вашим клиентом) для соединения посредством серверного соединения VPN (который, tun0 здесь). В этом случае номер порта 54321 используется, скорректируйте его правильный номер порта!
Если Вы теперь входите.
$ ufw подробное состояние
Вы получите пронумерованный список который что-то как:
Status: active
Logging: off
Default: deny (incoming), deny (outgoing)
New profiles: skip
To Action From
-- ------ ----
54321 on tun0 ALLOW IN Anywhere
192.168.178.0/24 ALLOW OUT Anywhere
46.19.137.114 443 ALLOW OUT Anywhere
Anywhere ALLOW OUT Anywhere on tun0
Это показывает Вам, какие правила применяются и каково состояние брандмауэра. Когда Вы входите:
$ ufw состояние пронумерован
Вы получите пронумерованный список. Это будет выглядеть примерно так:
Status: active
To Action From
-- ------ ----
[ 1] 192.168.178.0/24 ALLOW OUT Anywhere (out)
[ 2] 46.19.137.114 443 ALLOW OUT Anywhere (out)
[ 3] Anywhere ALLOW OUT Anywhere on tun0 (out)
[ 4] 54321 on tun0 ALLOW IN Anywhere
Это - пронумерованный список. Важно знать, что порядок правил важен. При разрешении чего-то с правилом номер 1, которое позволяет, например, весь входящий трафик и исходящий трафик, все другие правила, которые указаны после того, как это не будет иметь никакого эффекта!
И как заключительное уведомление я также укажу на возможность удалить и вставить правила. Если Вы входите:
$ ufw удаляют 1 # и подтверждают, конечно,
Правило номер 1 будет удалено и все другие правила, которые следовали, правило 1 сместится в этом примере, список будет выглядеть примерно так (после того, как $ ufw состояние пронумеровал):
Status: active
To Action From
-- ------ ----
[ 1] 46.19.137.114 443 ALLOW OUT Anywhere (out)
[ 2] Anywhere ALLOW OUT Anywhere on tun0 (out)
[ 3] 54321 on tun0 ALLOW IN Anywhere
И если Вы хотите добавить правило об определенном месте, это возможно при помощи команды вставки. Например, мы хотим добавить второй сервер VPN, таким образом, мы можем выбрать другой в случае, на который каждый снижается (мог произойти, Вы знаете :-)) или если мы хотим опции. Команда была бы похожа на это;
$ ufw вставляют 2, разрешают посещать 119.81.1.122 порта 443 первичным tcp
Теперь на точечном номере 2 существует новое вставленное правило. Другие правила сместятся вниз. Мы можем генерировать новый список:
$ ufw состояние пронумерован
И список будет похож: Состояние: активный
To Action From
-- ------ ----
[ 1] 46.19.137.114 443 ALLOW OUT Anywhere (out)
[ 2] 119.81.1.122 443/tcp ALLOW OUT Anywhere (out)
[ 3] Anywhere ALLOW OUT Anywhere on tun0 (out)
[ 4] 54321 on tun0 ALLOW IN Anywhere
Это завершает учебное руководство. Используйте его для Вас преимущество, и я надеюсь, что некоторые вещи становятся немного более ясными. Внесите соответствующие изменения для Вас, устанавливают и подробно останавливаются на нем. И снова версия GUI хороша, но версия командной строки лучше, только требуется определенное время для привыкания к нему.