Ну, я новичок в этом, я искал решение для своей проблемы, перезагружал и делал это снова, указывал порт и протокол, входящий и исходящий порт с протоколом, но я не могу.
проблема: Брандмауэр блокирует некоторые, не все, но некоторые ips, входящие в порт, которые я конфигурирую, чтобы разрешать входящие tcp и udp, я видел ошибки в syslog с тегом [UFW BLOCK] SPT=45000 DPT=1563 ...
проблема : только открытые порты ssh, http и диапазон от 1500 до 1600 tcp и udp ...
[d7 ]Мои команды для конфигурирования брандмауэра для разрешения входящих и исходящих соединений
ufw allow 22
ufw allow 80
ufw allow 1500:1600/tcp
ufw allow 1500:1600/udp
Состояние брандмауэра с помощью ufw
[ f2]Состояние брандмауэра с ufw
note: команда для просмотра в режиме реального времени syslog только строк с «UFW»
tail -f /var/log/syslog | grep "UFW"
Мой выход
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=189.173.30.x DST=xx:xx:xx:xx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=52308 DF PROTO=TCP SPT=52572 DPT=1557 WINDOW=1445 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=189.173.30.x DST=xx:xx:xx:xx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=52309 DF PROTO=TCP SPT=52572 DPT=1557 WINDOW=1445 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=189.173.30.x DST=xx:xx:xx:xx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=12518 DF PROTO=TCP SPT=62545 DPT=80 WINDOW=1445 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=189.173.30.x DST=xx:xx:xx:xx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=52310 DF PROTO=TCP SPT=52572 DPT=1557 WINDOW=1445 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=189.173.30.x DST=xx:xx:xx:xx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=12519 DF PROTO=TCP SPT=62545 DPT=80 WINDOW=1445 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=189.173.30.x DST=xx:xx:xx:xx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=52311 DF PROTO=TCP SPT=52572 DPT=1557 WINDOW=1445 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=189.173.30.x DST=xx:xx:xx:xx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=12520 DF PROTO=TCP SPT=62545 DPT=80 WINDOW=1445 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=189.173.30.x DST=xx:xx:xx:xx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=52312 DF PROTO=TCP SPT=52572 DPT=1557 WINDOW=1445 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=187.237.167.x DST=xx:xx:xx:xx LEN=40 TOS=0x00 PREC=0x00 TTL=115 ID=2280 DF PROTO=TCP SPT=42542 DPT=1563 WINDOW=10880 RES=0x00 ACK URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=189.173.30.x DST=xx:xx:xx:xx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=12521 DF PROTO=TCP SPT=62545 DPT=80 WINDOW=1445 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=187.210.142.x DST=xx:xx:xx:xx LEN=40 TOS=0x00 PREC=0x00 TTL=117 ID=6018 PROTO=TCP SPT=48744 DPT=1563 WINDOW=8160 RES=0x00 ACK URGP=0
примечание:
SPT = это порт источника ?. DPT - это порт, правда ?, но это диапазон 15xx, и я включил брандмауэр с 1500 до 1600. Что я могу сделать для устранения этих проблем, я думаю, что я делаю это правильно, но [UFW BLOCK] показывает, что ufw заблокировать соединение с некоторыми ips ...Глядя на ваши правила и сравнивая их с вашим журналом, возникает несколько вопросов. Похоже, вы пытаетесь контролировать весь трафик на и из вашего интерфейса. Проблема здесь в том, что если вы сравниваете заблокированный пакет с вашим списком брандмауэра, вы должны найти правило, которое соответствует пакету. Все заблокированные пакеты имеют порты назначения, которые находятся в вашем списке, но исходные порты, которые нет. Если мой компьютер инициирует связь со стандартным веб-сервером http на вашем компьютере, то моим пунктом назначения является порт 80, а мой источник - это случайное число, вероятно, в диапазоне 50 000+. Скажем, у меня 62545. Когда ваш веб-сервер пытается ответить мне, ему нужно разрешить выйти из интерфейса на порт 80, предназначенный для моего 62545. Где в вашем разрешенном списке разрешено иметь пакет до 62545 ? Если совпадения нет, пакет будет заблокирован. Если вы посмотрите на отображение второй записи до последней, это именно тот сценарий, который я только что объяснил. Нигде в списке вы не позволяете пакету перейти на 62545.
Это оставляет две вещи для рассмотрения. Во-первых, брандмауэр имеет смысл с точки зрения состояния, если вы инициируете связь с вашим интерфейсом до порта назначения, скажем 80, возвратный пакет будет разрешен. Один и тот же пакет не мог войти в ваш интерфейс извне, если он не был сначала инициирован изнутри. Я думаю, вы, возможно, пытаетесь контролировать слишком много вашего исходящего трафика. То есть, если, во-вторых, вы контролируете маршрутизацию между интерфейсами. Если это так, тогда для настройки правила требуется дополнительная информация в вашем синтаксисе (введите: «man ufw» из командной строки для деталей). Обычно я вводил подробные правила, как я показал ранее, но только на входящей стороне, потому что я не маршрутизирую между интерфейсами. Подробное правило упрощает повторное вычисление правил позже, если возникают вопросы относительно конфигурации UFW. Потеряйте правила, если вы не маршрутизируете, и посмотрите, разрешена ли проблема. Я мог ошибаться, но так я интерпретирую UFW и способ, которым я использую его. Удачи. надеюсь, что это поможет.