2 votes

Matt Ball avatar

ufw semble bloquer toutes les connexions entrantes alors qu'il bloque par défaut les connexions sortantes.

Demandé el 7 de Octobre, 2014
Quand la question a-t-elle été
2696 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je suis actuellement en train d'essayer de configurer ufw sur Ubuntu 12.04 mais à ma connaissance, il se comporte bizarrement. J'ai essayé d'autoriser seulement certains services sur une machine distante, en refusant tout le reste. J'ai pensé - de toute façon, je pourrais m'être trompé - que tout refuser par défaut et ensuite autoriser certains services servirait mon objectif, donc j'ai émis les commandes suivantes

ufw allow ssh
ufw default deny incoming
ufw default deny outgoing

D'après ce que j'ai compris, la dernière commande ne fait que bloquer toutes les connexions que j'essaie d'établir entre l'ordinateur distant et un autre ordinateur, mais toutes les connexions que j'essaie d'établir avec l'ordinateur distant sont rejetées. Je suis pratiquement sûr que c'est cette commande et non la commande deny incoming qui a provoqué ce comportement. Pour moi, c'est assez contre-intuitif. Je pense que, si j'autorisais explicitement ssh, je serais en mesure d'établir une connexion à la machine distante, indépendamment des paramètres par défaut. De plus, il semble assez étrange que le blocage des connexions sortantes interrompe mon ssh.

Je serais très reconnaissant si quelqu'un pouvait m'expliquer cela.

Demandé el 7 de Octobre, 2014 par Matt Ball

Réponse

Trop de publicités?

2voto

Glueon avatar
Glueon Points 3474

Supposons que vous avez un SSH sur votre serveurA sur le port 22. Le serveurB essaie de s'y connecter. Il envoie un paquet à partir d'un port aléatoire dans une plage de port net.ipv4.ip_local (3252 par exemple) au port 22 du serveurA. serverB:3252 -> ufw incoming allow 22 -> serverA:22

Ainsi, sur le serveur A, la connexion est autorisée parce que les connexions entrantes sur le port 22 sont autorisées, mais lorsque votre serveur ssh répond, il envoie un paquet de réponse du port 22 au port 3252 du serveur B et les connexions sortantes, en raison de l'autorisation du port 22, ne sont pas autorisées. ufw default deny outgoing sont bloqués.

serverB:3252 <- ufw outgoing default deny <- serverA:22

Vous devez donc ajouter une règle d'autorisation dans la chaîne sortante pour les paquets dont le port source est 22 ou dont le port de destination est compris dans une plage de ports locaux - généralement 32768-61000, mais cela peut varier, il est donc préférable d'utiliser un filtrage basé sur le port source.

Répondu el 7 de Octobre, 2014 par Glueon (3474 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X