标签: firewall

我想阻止流量到特定域，例如 mysite.com。我试图阻止该站点的 IP 地址，但它不起作用：

ufw deny from 0.0.0.0 to ip_address_of_site

即使在重新启动后，我仍然可以访问该网站。

知道我可能做错了什么吗？

我有一个 ubuntu 服务器（14.04.1），它要求作为我网络的路由器。它有一个面向互联网的接口 eth0 和第二个接口 eth1，用于连接到我的 10.0.0.0 网络。

我正在尝试将定向到 eth0 的 TCP 流量（在此示例中，假设其 IP 为 118.94.79.113）转发到地址为 10.0.0.1 的 eth1，用于端口 27016

我已按顺序尝试了以下命令：

sudo echo "1" > /proc/sys/net/ipv4/ip_forward

sudo sysctl net.ipv4.ip_forward=1

sudo iptables -t nat -A PREROUTING -p tcp --dport 27016 -j DNAT --to-destination 10.0.0.104:27016

sudo iptables -t nat -A POSTROUTING -j MASQUERADE

但这似乎根本不起作用，我无法连接到 118.94.79.113:27016 以访问在 10.0.0.104:27016 上运行的应用程序。它与跨越两个接口有关还是什么？

我尝试ufw在我的远程 Ubuntu 14.04 服务器上进行设置，所以我安装了它并允许ssh使用命令

sudo ufw allow ssh

之后我尝试启用，ufw但出现以下错误：

ERROR: problem running ufw-init
iptables-restore: line 77 failed
iptables-restore: line 30 failed
iptables-restore: line 10 failed
iptables-restore: line 39 failed
iptables-restore v1.4.21: Couldn't load target `ufw-user-input':No such file or directory

Error occurred at line: 2
Try `iptables-restore -h' or 'iptables-restore --help' for more information.

Problem running '/etc/ufw/before.rules'
Problem running '/etc/ufw/after.rules'
Problem running '/lib/ufw/user.rules'

然后我找到了这个故障排除指南，它建议在提到的 .rules 文件中注释一些行，但我必须注释所有文件中的每一行才能开始。我不能这样做，因为我至少需要允许ssh规则。

最可疑的一行是提到iptables-restore错误的那一行：

iptables-restore v1.4.21: …

我想配置 ufw 以拒绝除相关和已建立的连接之外的所有内容。在 iptables 上我通常这样做：

  -P INPUT DROP
  -P FORWARD DROP
  -P OUTPUT ACCEPT
  -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT
  -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

我读到 ufw 上的下一个代码密切相关：

 ufw default deny incoming
 ufw default deny forwarding
 ufw default allow outgoing
 ufw allow 443/tcp
 ufw allow 53/tcp
 ................

问题是，使用 ufw 代码，我允许所有来自该端口的流量。使用 iptables，只允许建立的连接。如何在 ufw 上配置相同的规则？

我意识到 UFW 主要只是用于启用/禁用对特定端口的访问，但我正在尝试将一个端口转发到另一个端口。我希望将与端口 1724 的任何连接转发到 1723。

该文件/etc/default/ufw已经有DEFAULT_FORWARD_POLICY="ACCEPT". 而且我相信我需要取消注释net/ipv4/ip_forward=1在/etc/ufw/sysctl.conf。最后我需要编辑/etc/ufw/before.rules以添加一个 iptables 规则。

这就是我迷路的地方，因为我找不到此文件的任何文档。我在哪里添加规则？以及具体如何？

特别是：

• 我应该在哪一行添加规则？
• 我在它之前还是之后放了什么？

我正在尝试为 UDP openvpn 流量打开端口 1194。

'ufw status' 显示它应该是打开的：

$ sudo ufw status
WARN: Duplicate profile 'Apache', using last found
WARN: Duplicate profile 'Apache Secure', using last found
WARN: Duplicate profile 'Apache Full', using last found
Status: active

To                         Action      From
--                         ------      ----
...
1194/udp                   ALLOW       Anywhere
1194/udp (v6)              ALLOW       Anywhere (v6)

根据iptables，它是开放的：

$ sudo iptables -L | less
...
Chain ufw-user-input (1 references)
...
ACCEPT     udp  --  anywhere             anywhere             udp dpt:openvpn

OpenVPN 正在侦听该端口（如果我正确解释了这一点）：

$ sudo netstat -vaun
Active Internet …

我想在通过 SSH 连接时在远程机器上设置 ufw。我打字

ufw reset
ufw default deny incoming
ufw default allow outgoing

ufw allow ssh
ufw allow 22
ufw enable

之后它会立即阻止 ssh 连接，并且不接受新的连接。我唯一能做的就是重置服务器。我错过了什么？

编辑 1：因为我确实配置了 ssh。我正在通过 SSH 访问服务器。这意味着它已配置，并且在运行之前我已连接到服务器ufw enable

我想更新我的防火墙，所以我想创建自己的链来阻止互联网的访问，但继续访问 LAN 网络。

我怎样才能做到这一点？

我最近使用wiki.ubuntu.com 上的本指南更新（启用和更新）防火墙设置。我跟着Method 2 UFW。但是，完成该过程后，我无法在传输中下载种子文件。

该指南提到传输端口规则：

现在我们的传输规则

sudo ufw allow out 51413/tcp
sudo ufw allow out 51413/udp
sudo ufw allow out 6969/tcp

在首选项下 -> 传输中的网络

的Port for incoming connections（这是）51413节目Port is closed时，我点击Test Port。

请帮我解决这个问题。我只是一个普通用户（也是 Linux 新手），所以请把它分解一下，以便我能够理解你。

Ubuntu 版本 16.10

的结果 sudo ufw status

Status: active

To                         Action      From
--                         ------      ----
25,53,80,110,443/tcp       ALLOW OUT   Anywhere                  
53,67,68/udp               ALLOW OUT   Anywhere                  
51413/tcp                  ALLOW OUT   Anywhere                  
51413/udp                  ALLOW OUT   Anywhere                  
6969/tcp                   ALLOW OUT …

CC-02内核

[  399.656733] [UFW BLOCK] IN=eth0 OUT= MAC= SRC=192.168.2.11 DST=192.168.2.22 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=14158 DF PROTO=TCP SPT=47368 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0

输出来自 sudo ufw status verbose

Status: active  
Logging: on (low)  
Default: deny (incoming), allow (outgoing)  
New profiles: skip  

To                         Action      From  
--                         ------      ----  
Anywhere                   ALLOW IN    192.168.2.0/24 137,138/udp (Samba)  
Anywhere                   ALLOW IN    192.168.2.0/24 139,445/tcp (Samba)  
22                         ALLOW IN    192.168.2.0/24  

我正在尝试使用 ssh 连接到 CC-02，ssh server@CC-02但我收到“无法解析主机名”。但是用 ip 地址替换 CC-02 工作正常。我已经检查/etc/hosts并/etc/hostname正确配置了它们。我不完全知道日志的真正含义。我需要打开另一个端口吗？