2 votes

apatsekin avatar

L'UFW continue de bloquer IPsec

Demandé el 19 de Janvier, 2017
Quand la question a-t-elle été
3330 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'essaie de faire fonctionner un serveur VPN ikev2 sur Ubuntu 16. La liste des UFW contient :

To                         Action      From
--                         ------      ----
Anywhere                   DENY        69.xxx.xxx.91
Anywhere                   DENY        91.xxx.0.0/16
80,443/tcp                 ALLOW       Anywhere
22                         ALLOW       Anywhere
25                         ALLOW       Anywhere
587                        ALLOW       Anywhere
143                        ALLOW       Anywhere
993                        ALLOW       Anywhere
110                        ALLOW       Anywhere
95                         ALLOW       Anywhere
465                        ALLOW       Anywhere
4190                       ALLOW       Anywhere
3306/tcp                   ALLOW       Anywhere
Samba                      ALLOW       Anywhere
21/tcp                     ALLOW       Anywhere
1194                       ALLOW       Anywhere
500/udp                    ALLOW       Anywhere
4500/udp                   ALLOW       Anywhere
80,443/tcp (v6)            ALLOW       Anywhere (v6)
22 (v6)                    ALLOW       Anywhere (v6)
25 (v6)                    ALLOW       Anywhere (v6)
587 (v6)                   ALLOW       Anywhere (v6)
143 (v6)                   ALLOW       Anywhere (v6)
993 (v6)                   ALLOW       Anywhere (v6)
110 (v6)                   ALLOW       Anywhere (v6)
95 (v6)                    ALLOW       Anywhere (v6)
465 (v6)                   ALLOW       Anywhere (v6)
4190 (v6)                  ALLOW       Anywhere (v6)
3306/tcp (v6)              ALLOW       Anywhere (v6)
Samba (v6)                 ALLOW       Anywhere (v6)
21/tcp (v6)                ALLOW       Anywhere (v6)
1194 (v6)                  ALLOW       Anywhere (v6)
500/udp (v6)               ALLOW       Anywhere (v6)
4500/udp (v6)              ALLOW       Anywhere (v6)

Mais lorsque j'essaie de me connecter depuis le client à mon serveur strongSwan (VPN ikev2), je vois ce qui suit dans le fichier journal ufw :

Jan 19 11:38:58 puclm kernel: [2660918.033602] [UFW BLOCK] IN=eno1 OUT= MAC=x4:xe:x8:xf:xa:1e:x4:0f:1b:7d:4e:38:08:x0 SRC=10.186.56.164 DST=192.168.1.51 LEN=632 TOS=0x00 PREC=0x00 TTL=59 ID=31884 PROTO=UDP SPT=500 DPT=500 LEN=612

C'est juste au-delà de ma compréhension ! Si je désactive l'ufw, tout fonctionne bien.

Demandé el 19 de Janvier, 2017 par apatsekin

Réponse

Trop de publicités?

0voto

Mike avatar
Mike Points 131

En https://help.ubuntu.com/community/UFW :

Les règles par défaut conviennent à l'utilisateur domestique moyen.
Quand vous activer l'UFW il utilise un ensemble de règles par défaut ( profil ) qui devrait convenir à l'utilisateur domestique moyen. C'est du moins l'objectif des développeurs d'Ubuntu. En bref, tout ce qui est "entrant" est refusé, avec quelques exceptions pour faciliter les choses aux utilisateurs domestiques.

Lorsque vous travaillez avec ufw vous devez fournir un ensemble de règles très spécifiques, que vous souhaitez utiliser. Vous devrez peut-être ajouter spécifiquement les détails de la connexion que vous souhaitez utiliser.

Il semblerait que vous deviez choisir entre modifier la ufw ou en définissant manuellement des règles.

En supposant que tout ce que vous voulez faire est de bloquer les connexions entrantes de (1) 69.xxx.xxx.91 y (2) 91.xxx.0.0/16 Je vous suggère de laisser tomber l'utilisation de ufw et utiliser iptables vous-même.

Bloquer le trafic de la manière la plus simple qui soit iptables se fait par des variations de la commande suivante :

sudo iptables -A INPUT -j DROP

Vous trouverez de plus amples informations ici : Comment faire pour Ubuntu IPtables et ici : Exemples d'IPtables

Répondu el 23 de Avril, 2017 par Mike (131 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X