जब मैं अनुमति देने के लिए नियम निर्धारित करता हूं तब भी UFW सभी को अवरुद्ध करता है

14

मैं एक ubuntu सर्वर का उपयोग कर रहा हूं, अब मैं इन आदेशों का उपयोग करके फ़ायरवॉल को सक्षम करने का प्रयास कर रहा हूं:

ufw default deny incoming
ufw default allow outgoing

ufw allow ssh
ufw allow www
ufw allow https

ufw enable

मैंने ufw default deny incomingअंतिम एक बनाने की भी कोशिश की है , लेकिन अभी भी कोई भाग्य नहीं है, जब मैं फ़ायरवॉल को सक्षम करता हूं तो यह तब होता है जब मैं डिफ़ॉल्ट को सेट करने से इनकार करता हूं, लेकिन जब मैं इसे अनुमति देने के लिए सेट करता हूं, तो यह अच्छी तरह से काम करता है, जैसे नियमों की अनदेखी की जाती है। ऐसा किसके कारण हो सकता है ?

संपादित करें

यह मेरी उत्पादन की है iptables -L -v -n मैं भी प्रस्तावित समाधान लेकिन फिर भी प्रयास विफल करने की कोशिश की है, यह ठीक काम करता है केवल जब मैं यह करdefault allow incoming

Chain INPUT (policy DROP 30 packets, 1764 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 2 packets, 104 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-after-forward (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-after-input (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ufw-skip-to-policy-input  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:137
    0     0 ufw-skip-to-policy-input  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:138
    0     0 ufw-skip-to-policy-input  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:139
    0     0 ufw-skip-to-policy-input  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:445
    0     0 ufw-skip-to-policy-input  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:67
    0     0 ufw-skip-to-policy-input  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:68
    0     0 ufw-skip-to-policy-input  all  --  *      *       0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type BROADCAST

Chain ufw-after-logging-forward (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "

Chain ufw-after-logging-input (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "

Chain ufw-after-logging-output (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-after-output (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-before-forward (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 3
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 4
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 11
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 12
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8
    0     0 ufw-user-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain ufw-before-input (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 ufw-logging-deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 3
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 4
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 11
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 12
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spt:67 dpt:68
    0     0 ufw-not-local  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            224.0.0.251          udp dpt:5353
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            239.255.255.250      udp dpt:1900
    0     0 ufw-user-input  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain ufw-before-logging-forward (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-before-logging-input (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-before-logging-output (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-before-output (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 ufw-user-output  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain ufw-logging-allow (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW ALLOW] "

Chain ufw-logging-deny (2 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID limit: avg 3/min burst 10
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "

Chain ufw-not-local (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type LOCAL
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type MULTICAST
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type BROADCAST
    0     0 ufw-logging-deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain ufw-reject-forward (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-reject-input (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-reject-output (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-skip-to-policy-forward (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain ufw-skip-to-policy-input (7 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain ufw-skip-to-policy-output (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain ufw-track-forward (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-track-input (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-track-output (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW

Chain ufw-user-forward (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-user-input (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:443

Chain ufw-user-limit (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 5 LOG flags 0 level 4 prefix "[UFW LIMIT BLOCK] "
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain ufw-user-limit-accept (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain ufw-user-logging-forward (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-user-logging-input (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-user-logging-output (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-user-output (1 references)
 pkts bytes target     prot opt in     out     source               destination
firewall  ufw 
engma
स्रोत
1
क्या आप मेरा एक काम कर सकते हैं? करें ufw enable, फिर sudo iptables -L -v -nअपने प्रश्न का आउटपुट पेस्ट करें । मैं उत्सुक हूं कि अंतर्निहित netfilter/ iptablesसामान वास्तव में ufw नियमों के साथ क्या कर रहा है। :)
थॉमस वार्ड
पहले दो आदेश अनावश्यक हैं। आपको केवल UFW को सक्षम करना होगा और अनुमति देने में डिफ़ॉल्ट इनकार लागू होगा।
mchid
ऊह, एमचिड सही है, वे चूक हैं, आपको उन लोगों की आवश्यकता नहीं है। ऐसा कहने के बाद, मैं अभी भी iptablesडेटा को देखना चाहता हूं, यदि उन पहली दो पंक्तियों को बाहर रखा गया है, तो आप अभी भी इस मुद्दे को ले रहे हैं।
थॉमस वार्ड
मैंने अपनी iptables फ़ाइल का आउटपुट जोड़ा
engma

जवाबों:

13

एक टर्मिनल खोलें और निम्न कमांड टाइप करें:

एक रीसेट करके शुरू करें, जो सभी मौजूदा नियमों को हटा देगा:

sudo ufw reset

आगे,

sudo ufw app list

यह उपलब्ध एप्लिकेशन प्रोफाइल की सूची देगा, जैसे कि ओपनएसएसएच और अन्य। एप्लिकेशन पर जानकारी प्राप्त करने के लिए, इस उदाहरण में निम्न कमांड टाइप करें:

sudo ufw app info OpenSSH

यहाँ उत्पादन है:

Profile: OpenSSH
Title: Secure shell server, an rshd replacement
Description: OpenSSH is a free implementation of the Secure Shell protocol.

Port:
  22/tcp

ओपनएसएसएच पहुंच की अनुमति देने के लिए, आप निम्नलिखित नियम का उपयोग कर सकते हैं:

sudo ufw allow 22/tcp

डेबियन के विपरीत, www और https को आमतौर पर ऐप प्रोफाइल के रूप में शामिल नहीं किया जाता है, हालांकि, हम जानते हैं कि ये पोर्ट 80 और 443 पर काम करते हैं, इसलिए निम्नलिखित कमांड का उपयोग करें: 

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

यदि आप यूडीपी जोड़ना चाहते हैं तो बस यही करें।

sudo ufw allow 80/udp
sudo ufw allow 443/udp

परिवर्तनों को लागू करने के लिए ufw को अक्षम और सक्षम करें:

sudo ufw disable
sudo ufw enable

अपने नियम दिखाने के लिए:

sudo ufw status

अंत में, ufw के कम अनुकूल पहलुओं में से एक यह है कि कैसे इनकार करने वाले नियम आमतौर पर ट्रम्प को नियमों की अनुमति देते हैं। उदाहरण के लिए, आप अनुमति देने के लिए सब कुछ सेट नहीं कर सकते हैं और फिर अनुमति देने के लिए पोर्ट सेट कर सकते हैं। सभी पोर्ट अभी भी ब्लॉक किए जाएंगे। अधिक जानकारी के लिए यहाँ देखें

आप इन नियमों को वैश्विक रूप से 22, 53, 80 और 443 को छोड़कर सभी बंदरगाहों को जोड़ सकते हैं। मैंने DNS अनुरोधों को अनुमति देने के लिए पोर्ट 53 को जोड़ा है। यदि आपको DNS प्रश्न करने की आवश्यकता नहीं है, तो बस नियमों को संशोधित करें।

केवल आने वाले इन ब्लॉक नियमों को निर्धारित करने के लिए, आप sudo ufw deny in 1:22/tcpउदाहरण के लिए उपयोग करेंगे । वैकल्पिक रूप से, आउटगोइंग sudo ufw deny out 1:22/tcpआदि के लिए सेट करें।

sudo ufw deny 1:21/tcp
sudo ufw deny 1:21/udp
sudo ufw deny 23:52/tcp
sudo ufw deny 23:52/udp
sudo ufw deny 54:79/tcp
sudo ufw deny 54:79/udp
sudo ufw deny 81:442/tcp
sudo ufw deny 81:442/udp
sudo ufw deny 444:65535/tcp
sudo ufw deny 444:65535/udp
mchid
स्रोत
आपके उत्तर के लिए बहुत बहुत धन्यवाद, लेकिन मैं ufw default block incomingउन नियमों को छोड़कर सभी बंदरगाहों को अवरुद्ध करना चाहता हूं, क्या मुझे उन नियमों को स्थापित करने के बाद उपयोग करना चाहिए ?
engma
@ Developer106 नहीं, जब आप ufw सक्षम करते हैं, तो ब्लॉक इनकमिंग पहले से ही डिफ़ॉल्ट पर सेट है। आप एक खुले टर्मिनल में निम्न कमांड निष्पादित करके इसे सत्यापित कर सकते हैं sudo ufw status verbose। यदि मुझसे गलती नहीं हुई है, तो स्पष्ट रूप से उस नियम को स्थापित करना आपके अनुमत बंदरगाहों को अनुमति नहीं देगा। यदि आप उन को छोड़कर सभी बंदरगाहों को अवरुद्ध करना चाहते हैं, तो मैं वास्तव में सुझाव देता हूं कि आप इस धागे की जांच करें क्योंकि यह ठीक वही है जो वे करते हैं। यह बहुत पूरी तरह से है, उन सभी को छोड़कर और आपके पास आपके इच्छित खुले बंदरगाह होंगे। ubuntuforums.org/showthread.php?t=1893751
mchid
@ Developer106 मैंने 22, 53, 80, और 443 को छोड़कर सभी को विश्व स्तर पर ब्लॉक करने के लिए कुछ नियम जोड़े और हर दूसरे पोर्ट को अस्वीकार या ब्लॉक कर दिया।
mchid
ठीक है यह केवल तभी काम करता है जब outमैं यह कहे denyबिना इनकार कर दूं कि मैं यह कहता हूं कि यह विशेष रूप से बाहर है, यह अभी भी काम नहीं करता है। इसका कारण क्या हो सकता है?
engma
@ Developer106 क्या काम नहीं करता है, क्या यह अवरुद्ध नहीं है या अनुमति नहीं दे रहा है?
mchid
7

FYI करें: यदि दूसरों को यह समस्या है।

विस्तृत iptables आउटपुट में मैंने देखा कि ufw नियम INPUT, OUTPUT और FORWARD चेन में गायब हैं। जब मैं कुछ बिंदु पर ufw को सक्षम करने के बाद अपने कस्टम परिवार कल्याण नियमों को हटाने के लिए iptables -F भागा, तो मेरा सिस्टम इस तरह समाप्त हो गया। ऐसा प्रतीत होता है कि ufw शीर्ष स्तर के नियमों को वापस नहीं जोड़ता है यदि कुछ स्वयं की चेन पहले से ही iptables में मौजूद हैं।

मैंने ufw को अन-इंस्टॉल किया, रिबूट किया, 'iptables -F' (पिछले iptables नियमों को हटाने के लिए जो अभी भी सक्रिय थे) को चलाया, फिर ufw को पुन: स्थापित और कॉन्फ़िगर किया। शीर्ष स्तर के ufw नियम अब वापस आ गए हैं। अनइंस्टॉल / पुनर्स्थापना आवश्यक नहीं हो सकता है। बस ufw को निष्क्रिय करके iptables से सभी ufw नियमों को हटाने और रिबूटिंग ने चाल हो सकती है।

यहां बताया गया है कि शीर्ष स्तर की श्रृंखलाएं किस तरह दिखनी चाहिए (डेबियन 9.4 पर)।

Chain INPUT (policy DROP)
target     prot opt source               destination         
ufw-before-logging-input  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-before-input  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-after-input  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-after-logging-input  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-reject-input  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-track-input  all  --  0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ufw-before-logging-forward  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-before-forward  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-after-forward  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-after-logging-forward  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-reject-forward  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-track-forward  all  --  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ufw-before-logging-output  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-before-output  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-after-output  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-after-logging-output  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-reject-output  all  --  0.0.0.0/0            0.0.0.0/0           
ufw-track-output  all  --  0.0.0.0/0            0.0.0.0/0
FixItDad
स्रोत
1
इससे मेरे लिए भी समस्या ठीक हो गई।
टेक्नोफोब
1
iptables -Xसभी गैर-अंतर्निहित चेन को हटाने के लिए चल रहा है और फिर पुनरारंभ करना ufwभी मेरे लिए काम कर रहा है।
१ue
0

मैं एक ही समस्या है, के साथ किसी तरह का खराब विन्यास ufwऔर fail2banफू ** iptables श्रृंखला। जैसे ही मैंने ufw शुरू किया - सब कुछ अवरुद्ध हो गया, यहां तक ​​कि ufwचेन में भी कोई नियम नहीं था। ufwरीसेट से मदद नहीं मिली। मैंने इसे पूरी तरह से फिर से स्थापित किया, यह काम किया।

sudo apt-get purge ufw
sudo apt-get install ufw
मासो माटो
स्रोत
हाय मासो। पुन: स्थापित करने के बाद क्या आपको कोई अतिरिक्त कॉन्फ़िगरेशन करना पड़ा?
हि जिन जिन
0

मेरे लिए यह नियम शासन से सेटिंग करके हल किया गया था 

sudo ufw default deny outgoing
sudo ufw default allow outgoing

केवल यही एक चीज है जो काम करती है, पोर्ट 53 की अनुमति नहीं है, डीएनएस की अनुमति देता है, आदि।

jamescampbell
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.