我在另一个城市有一台家用台式机,还有一台带到校园的笔记本电脑,两者都运行 ubuntu 22.04.4。我想建立从笔记本电脑到台式机的 ssh 连接以检索和写入文件。
我今天之前从未使用过 ssh。正如测试一样,我建立了 ssh 连接并使用 rsync 通过本地网络实现我想要的效果。但要通过互联网执行此操作,我必须在桌面上设置端口转发。
现在假设我使用基于公钥的身份验证在我的家庭台式机和笔记本电脑之间建立 ssh 连接。端口 22 转发到家庭桌面,并启用 ufw,桌面上只允许使用端口 22。这台笔记本电脑将在我校园的公共网络中使用。是否存在任何可能造成安全风险的漏洞、疏忽等?例如,如果有人要获取我家庭桌面的公共IP?
我在做一些愚蠢的事情,或者遗漏了什么。有人能发现吗?
我有一个 tplink archer C7 设置为从外部端口转发到我的内部服务器上的端口 22 以进行 ssh。但我仍然在 auth.log 中看到除 22 以外的 sshd 端口的外部源活动。这让我感到困惑,但也许 tplink 没有选择性地进行端口转发。
所以我添加了 ufw 并拒绝了所有访问,然后添加了
Added user rules (see 'ufw status' for running firewall):
ufw allow 22/tcp
ufw 正在运行并正确阻止和记录一些内部流量 - 但日志中没有任何内容阻止来自外部的流量。我仍然在 auth.log 中看到据称其他端口的活动。
所以我阻止了 hosts.deny 中的所有 ssh(在这里你也看到了来自 fail2ban 的条目)
sshd: ALL
sshd: 1.234.5.238
sshd: 101.255.158.25
sshd: 103.138.10.78
sshd: 103.147.119.16
sshd: 103.4.119.20
sshd: 104.236.230.184
sshd: 109.132.238.5
sshd: 111.118.140.250
sshd: 111.68.125.106
...
并使用 ipfilter 脚本在 hosts.allow 中进行地理封锁
sshd: ALL: spawn /usr/local/bin/ipfilter.sh %a
在 auth.log 中,我可以看到主机被 ipfilter 拒绝
Dec 20 14:00:11 BobsJob root: DENY sshd connection from 114.44.149.56 (TW)
Dec 20 14:00:11 BobsJob sshd[16088]: Invalid user emmmetje from 114.44.149.56 port 34820
Dec 20 14:00:12 BobsJob sshd[16088]: Received disconnect from 114.44.149.56 port 34820:11: Bye Bye [preauth]
Dec 20 14:00:12 BobsJob sshd[16088]: Disconnected from invalid user emmmetje 114.44.149.56 port 34820 [preauth]
但为什么我什至在 auth.log 中看到关于端口 34820 的任何日志活动?它是如何达到 sshd 拒绝无效用户访问的程度的?它应该被我的路由器阻止失败它应该被 ufw 阻止它最终被 hosts.allow 中的 ipfilter 脚本拒绝,但它甚至不应该走那么远。
是不是 auth.log 中记录的端口不是真实的,即它们在我打开的一个外部端口上,在内部映射到 22?但是为什么日志会报告不同的端口号呢?
我在这里错过了什么?
这是一个如此基本的问题,令我惊讶的是我找不到答案,但我们来了。
使用以下规则:
22 ALLOW 192.168.1.0/24
是否允许所有协议或假定使用 TCP?
我遇到了一个问题,即 ufw 在启用时似乎阻止了端口 443 上的现有出站连接。例子:
Feb 24 17:53:00 server5 kernel: [18571501.131985] [UFW BLOCK] IN=eno1 OUT= MAC=d0:50:99:db:0a:be:00:6b:f1:17:4a:81:08:00 SRC=35.196.37.91 DST=1.2.3.4 LEN=40 TOS=0x00 PREC=0x60 TTL=51 ID=24902 DF PROTO=TCP SPT=443 DPT=44496 WINDOW=0 RES=0x00 RST URGP=0
Feb 24 17:33:40 server5 kernel: [18570340.976130] [UFW BLOCK] IN=eno1 OUT= MAC=d0:50:99:db:0a:be:00:6b:f1:17:4a:81:08:00 SRC=52.10.136.43 DST=1.2.3.4 LEN=83 TOS=0x00 PREC=0x00 TTL=228 ID=23746 DF PROTO=TCP SPT=443 DPT=59404 WINDOW=118 RES=0x00 ACK PSH URGP=0
Feb 27 00:47:07 server5 kernel: [18769144.299731] [UFW BLOCK] IN=eno1 OUT= MAC=d0:50:99:db:0a:be:00:6b:f1:17:4a:81:08:00 SRC=35.196.37.91 DST=1.2.3.4 LEN=1460 TOS=0x00 PREC=0x60 TTL=51 ID=60877 DF PROTO=TCP SPT=443 DPT=42030 WINDOW=229 RES=0x00 ACK URGP=0
即使我特别允许来自 1025-65535 的 UDP,也会阻止一些 UDP 数据包:
Feb 24 17:52:19 server5 kernel: [18571459.414576] [UFW BLOCK] IN=eno1 OUT= MAC=d0:50:99:db:0a:be:00:6b:f1:17:4a:81:08:00 SRC=5.6.7.8 DST=1.2.3.4 LEN=69 TOS=0x00 PREC=0x00 TTL=44 ID=59557 PROTO=UDP SPT=58678 DPT=49900 LEN=49
(我已经用 1.2.3.4 替换了我们的服务器 ip)。被阻止的流量是到 google drive 和 Vimeo 的传出 curl 连接。
这是我的设置方式:
ufw reset
ufw default allow outgoing
ufw default deny incoming
ufw allow from 96.54.177.7 proto tcp to any port 22
ufw allow from 50.70.255.166 proto tcp to any port 22
ufw allow 443/tcp
ufw allow 80/tcp
ufw allow 25/tcp
ufw allow 587/tcp
ufw allow 1025:65535/udp
ufw状态显示:
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
22/tcp ALLOW IN 99.99.99.99
22/tcp ALLOW IN 99.99.99.99
443/tcp ALLOW IN Anywhere
80/tcp ALLOW IN Anywhere
25/tcp ALLOW IN Anywhere
587/tcp ALLOW IN Anywhere
在测试中:
所以,我对这里到底发生了什么以及我是否应该担心它有点困惑。在我完全了解它将对我的流量产生什么影响之前,我真的不想启用 ufw。如果 conntrack 不跟踪它们,它究竟如何跟踪出站连接?
我认为这里可能发生了一些事情,但我想了解为什么我会看到这些。UDP 和 ACK 块是最令人担忧的,但它们似乎只在启用 ufw 后的几分之一秒内发生,所以我想知道在 ufw 启用规则时是否有轻微的延迟。另一个(RST)可能只是由于连接被关闭。启用防火墙时,ACK 块似乎会导致任何现有打开的出站连接出现问题,这些连接正在主动发送数据。
例如,在创建允许规则时:
sudo ufw 允许从 110.110.25.25 到任何端口 3306
为什么我们写“任何”?
我用谷歌搜索了很多,但没有一篇文章解释了这个语句的完整语法。
有人可以解释一下吗?
谢谢你。
我设置了 UFW 以接受通过端口 42000 的流量,这是 Warpinator 正在使用的。有没有办法可以将其进一步限制为仅限内部网络上的计算机,而不是让该端口对整个世界开放?
在 before.rules 的顶部添加了以下 UFW 配置(除了所有相应的先决条件,例如在平台本身上启用 IP 路由、将默认转发策略从 DROP 更改为 ACCEPT 以及在 UFW 配置中启用 IP 转发):
*nat :POSTROUTING ACCEPT [0:0] -A POSTROUTING -s 10.100.0.0/24 -o ens3 -j MASQUERADE
COMMIT
子网 10.100.0.0/24 是否必须直接连接到运行该 UFW 的 Ubuntu VM 的任何接口?如果是这样,我如何将 UFW 配置为 NAT 一个非直接连接到 Internet 的?例如:
UserA--10.100.0.x/24---10.100.0.1/24--(Router1)--1.1.1.1/24-----1.1.1.2/24--(UFW)--Internet
提前谢谢了!
我在 ubuntu 20.04 上安装了我的 Oracle Cloud 实例,并设置了 apache2 服务器。它可以工作,curl localhost但不能从我的实例公共 IP 工作。我的ufw状态:
Status: active
To Action From
-- ------ ----
22/tcp ALLOW Anywhere
Apache ALLOW Anywhere
80/tcp ALLOW Anywhere
OpenSSH ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
22/tcp (v6) ALLOW Anywhere (v6)
Apache (v6) ALLOW Anywhere (v6)
80/tcp (v6) ALLOW Anywhere (v6)
如果我愿意sudo ufw disable它仍然无法连接。
只有当我这样做时它才会连接:
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F
但我显然不想那样做。
如果我向 iptables 添加一些规则:
sudo iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 80 -m conntrack --ctstate ESTABLISHED -j ACCEPT
sudo netfilter-persistent save
它不会改变任何东西
编辑
sudo iptables -S OUTPUT:
-P OUTPUT ACCEPT
-A OUTPUT -d 169.254.0.0/16 -j InstanceServices
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A OUTPUT -p tcp -m tcp --dport 80 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 80 -m conntrack --ctstate ESTABLISHED -j ACCEPT
我在 Ubuntu 20.04 服务器的 443 端口上运行一个网络服务器。大约 20 分钟前,它自己停止了工作,我已经好几天没碰电脑了,其他人也没有。一个小时前它工作得很好。
我仍然可以通过 SSH 访问 PC,并 ping 它(本地)。
关于我应该做些什么来解决问题的任何想法?我重启了很多次,它没有改变任何东西。