谁能告诉我对 ubuntu (v10.10) UFW 制定的新规则或更新规则是否会影响现有连接?我注意到这些仅在我下次尝试重新连接时生效,这在我看来不是防火墙应有的行为方式!
我在这里想要实现的是模拟基于套接字的客户端中丢失/丢弃的连接。
有没有办法立即更新这些规则,以免它们影响现有连接?
我一周前安装了 Ubuntu Server 64 位 14.04。它工作了一到几天,然后突然之间,iptables 变得毫无意义(我注意到 FTP 等都关闭了)。只有端口 22、25 和 80 是开放的。iptables -S看起来不错,但由于某种原因不再受到尊重。刷新和所有端口都没有打开,只有 22、25 和 80。没有安装网络管理器(我也验证过)。我没有任何其他防火墙...我不明白?
/etc/network/interfaces:
auto lo
iface lo inet loopback
auto em1
iface em1 inet static
address XX.15.191.XXX
netmask 255.255.255.240
gateway XX.15.191.XXX
dns-nameservers XX.105.28.XX
pre-up iptables-restore < /etc/iptables.rules
post-down iptables-restore > /etc/iptables.downrules
/etc/hosts
127.0.0.1 localhost
127.0.1.1 MY-SERVER.ph.cox.net MY-SERVER
XX.15.191.XXX mysite.com
# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
/etc/hostname:
MY-SERVER
/etc/resolv.conf (未设置为我的,如果我理解正确则自动设置): …
我需要知道如何修复丢失的“/etc/init.d/ufw”文件,它是某个包还是某个命令?
我使用gufw来启用它,但在重新启动时我的防火墙仍然关闭...
我创建了一个符号链接,/etc/init.d/ufw -> /lib/init/upstart-job但我无法让它像start ufw(重新启动后)一样工作。
我找到了这个文件/lib/ufw/ufw-init,它看起来像一个 init.d 文件!我可以在那里复制或符号链接吗?
附加(可选)问题:
如何查找具有该文件的包?apt-cache search没有用..
我们可以安全地创建这样的脚本吗?
知道为什么会丢失吗?
观察:
我/etc/ufw/ufw.conf有ENABLED=yes(但似乎没用)。
iptables -L在 I 之后变得不同ufw enable,因此 ufw 规则不会通过任何其他方式应用于启动。
PS.:这个脚本也不起作用
sudo ln -s /lib/ufw/ufw-init /usr/sbin/ufw-init
sudo ln -s /lib/init/upstart-job /etc/init.d/ufw-init
#sudo update-rc.d -f ufw-init remove
sudo update-rc.d ufw-init defaults 99
sudo -k
我目前按以下方式设置了两个 VM:
/-----------------------\
/-----------------\ | Ubuntu VM | /---------------\
| Workstation |------| eth1 : 192.168.0.x | | Web Server |
| 192.168.0.x | | eth0 : 169.254.71.x |------| 169.254.71.x |
\-----------------/ | | \---------------/
\-----------------------/
我在从本地机器访问 Web 服务器时遇到了一些问题。
ubuntu通过virtualbox配置有2个网卡,第一个设置为内部网络,第二个设置为桥接连接。这给了我一次在 vm 内的两个有线连接,我将第一个(对应于内部网络)设置为“仅本地链接”,第二个设置为自动 DHCP。
网络服务器正在运行交钥匙 linux LAMP os,网络适配器配置为内部网络,网络与 ubuntu 内部网络具有相同的名称。
我已经按照本教程(在适当的情况下切换 eth0 和 eth1)使我能够从网络服务器 ping 到外部世界。我可以从网络服务器 ping 到我的本地机器和互联网上的任何网站。
现在我的问题来自试图做上述相反的事情。我一直在努力都无济于事相当长的一段时间,利用资源的开发,如这和一对夫妇别人,使我从我的本地机器连接到网络服务器。当我尝试 ping 网络服务器的 169.254.71.x 地址时,它无法连接。
我意识到我的问题可能出在 ubuntu 机器上的 NAT 配置中,或者我的 ubuntu 机器上的端口转发配置中,但我不知道如何解决这些问题。
我有一个 ubuntu 16.04(内核 4.7.3)系统,它在收到的第一个 RA 过期(30 分钟)后丢失了 IPv6 默认路由。
下面是系统启动时路由表的样子:
# ip -6 route
2001:xxxx:xxxx:xxxx::/64 dev ens192 proto kernel metric 256 mtu 1480 pref medium
fe80::/64 dev ens192 proto kernel metric 256 mtu 1480 pref medium
default via fe80::ce46:d6ff:feb0:f6b1 dev ens192 proto ra metric 1024 expires 1747sec mtu 1480 hoplimit 64 pref high
30分钟后,我看到了这个:
# ip -6 route
2001:xxxx:xxxx:xxxx::/64 dev ens192 proto kernel metric 256 mtu 1480 pref medium
fe80::/64 dev ens192 proto kernel metric 256 mtu 1480 pref medium …我需要使用 UFW 只允许 3 个不同的 IP 地址连接到特定端口。
例如:
特定端口上的
IP 地址 [1] - 111.111.111.111
IP 地址 [1] - 222.222.222.222
IP 地址 [1] - 333.333.333.333 。
所有其他连接均被拒绝。
有什么帮助吗?
我可以简单地为每个 IP 地址逐个添加 3x 规则以指向端口吗?
我想ufw以某种方式配置防火墙,允许“浏览器”冲浪但拒绝所有其他传出。
我拒绝了外出使用,gufw但它也阻止了冲浪,因此,我允许“外出”任何地方http(80)和https(443),但仍然无法上网。
需要帮助设置deny传出,但仍允许使用浏览器上网。
今天,我列出了我的 iptables 进行例行检查,发现了两个我不记得自己设置过的奇怪的 UFW 规则,它们涉及两个我无法识别的特定 IP 地址:
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
这有点可怕。有人设法侵入我的服务器并添加这些规则吗?如果没有,发生了什么?
(如果某些恶意代理确实侵入了我的防火墙,为什么他们会使用端口 5353 和 1900,这些端口没有被我的路由器转发?)
我正在运行一些脚本来检查 UFW 状态,并且希望sudo ufw status无需执行sudo. 我希望找到一个防火墙或ufw组来添加我自己,但我没有找到。
如何允许任何用户 X 在ufw status没有 root 身份或要求sudo密码的情况下执行此操作?
更新:
我想尝试将我自己的文件添加到/etc/sudoers.d/,但很懒,所以决定复制一个已经存在的文件,如下所示:
sudo cp /etc/sudoers.d/mintupdate /etc/sudoers.d/firewall_status
不要那样做!您将无法再次执行 sudo 或登录。我不得不做一个启动恢复。而是使用:
sudo visudo -f /etc/sudoers.d/ufwstatus
现在只需按照下面接受的答案即可。
谷歌搜索并没有发现任何最近的信息。我确实在 ufw 上找到了文档,然后运行:
thomas@Westeros:~/git/heavyweight-software$ sudo ufw status verbose
[sudo] password for thomas:
Status: inactive
所以我想它不再运行 ufw 了。我可以 ping 我的计算机,但无法在开发 Web 服务器端口 4200 上连接到它。在 ubuntu 网站上也找不到任何文档。