问题[ufw](unix)

我正在尝试设置 UFW，以允许连接到使用 创建的 Wi-Fi 热点的客户端使用 DHCP 和 DNS nmcli。我希望设置尽可能严格，以避免有线（eth0）——即“互联网”——接口等上发生任何 DHCP 冲突。简而言之：

• 热点客户端wlan0必须位于 NAT 后面，并且必须能够从相应的热点 DHCP 获取 IP 和 DNS 配置，
• 上的热点客户端wlan0必须能够访问有线接口提供的互联网（eth0），
• 有线网络上的其他设备（eth0）必须不知道它们的一个“邻居”充当网关、提供 DHCP/DNS 等事实。

我已经通过 设置了 NAT 和转发，只要客户端设备使用静态 IP 配置iptables，一切就都正常。但是，当配置为使用 DHCP 时，客户端设备无法获取此信息，因此无法连接到热点。

热点使用的子网为 10.42.0.0/24，网关为 10.42.0.1（NetworkManager 默认值）。当我尝试wlan0使用

# DHCP
ufw allow in on wlan0 from 10.42.0.0/24 to 10.42.0.1 port 67 proto udp
ufw allow out on wlan0 from 10.42.0.1 to 10.42.0.0/24 port 68 proto udp
# DNS
ufw allow in on wlan0 from 10.42.0.0/24 to 10.42.0.1 port 53
ufw allow out on wlan0 from 10.42.0.1 to 10.42.0.0/24 port 53

我的 UFW 配置变成（即，只存在这四条额外规则）：

$ ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), deny (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
10.42.0.1 67/udp on wlan0  ALLOW IN    10.42.0.0/24              
10.42.0.1 53 on wlan0      ALLOW IN    10.42.0.0/24              

10.42.0.0/24 68/udp        ALLOW OUT   10.42.0.1 on wlan0        
10.42.0.0/24 53            ALLOW OUT   10.42.0.1 on wlan0

但是：即使有了这些规则，热点客户端也无法从 DHCP 获取 IP/DNS 配置。不用说，当我暂时禁用 UFW 时就不会出现这样的问题了……

在这篇帖子中，用户“telcoM”发表了一条评论，我发现可能需要允许bootps和bootpc协议，而不是分别允许端口 67 和 68。尽管如此，我还是找不到执行此操作所需的 UFW 语法——迄今为止所做的所有尝试（例如ufw allow in on wlan0 from 10.42.0.0/24 to 10.42.0.1 bootps）都导致 UFW 发出抱怨（通常ERROR: Wrong number of arguments）。

我做错什么了？

谢谢。

我正在解析ufw日志，并且遇到了文档的限制，我可以ip6tables为ufw.

这篇非常好的博客文章很好地描述了 iptables 格式，但是我在那里找不到一些字段，即 AFAIU 是 IPv6 特定的。

这是一个示例条目：

May 13 11:35:12 servername kernel: [ 4113.240744] [UFW BLOCK] IN=eth0 OUT= MAC=nn:nn:nn:nn:nn:nn:nn:nn:nn:nn:nn:nn:nn:nn SRC=nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn DST=nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn LEN=178 TC=0 HOPLIMIT=1 FLOWLBL=0 PROTO=UDP SPT=5678 DPT=5678 LEN=138 

HOPLIMIT就像TTL，对吗？怎么样TC，，FLOWLBL这些是什么？如果它们适合某些标志或选项字段，请告诉我，它将影响我的解析方式。更好的是指向一个非常完整的博客条目，就像上面那样......

还有一个问题，为什么有 2 个LEN字段？

我有一个 Ubuntu 系统（192.168.AB），它作为 Wireguard“服务器”运行，具有 2 个隧道，具有以下网络和 UFW 规则：

网络 10.255.200.0/24

ufw allow XXX/udp && ufw route allow in on wg200 out on any && ufw route allow in on wg200 out on eth0 && ufw route allow in on eth0 out on wg200

网络 10.255.245.0/24

ufw allow YYY/udp && ufw route allow in on wg245 out on wg245 to any from any && ufw route reject in on wg245 out on any to any from any

我已将以下内容添加到 /etc/ufw/before.rules 以允许 10.255.200.0/24 网络中的设备到达主机外部

*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.255.200.0/24 -o eth0 -j MASQUERADE
COMMIT

这似乎可行，但现在我需要允许主机网络（192.168.A.0/24）中的其他主机能够访问 10.255.245.0/24 网络中的系统，而该网络默认情况下无法访问192.168.A.0/24。

我需要使用哪些 UFW 规则来保持主机网络安全并尽可能保持 WG 网络分离？另外，有没有更好的伪装方法？

提前致谢！

我正在使用 Debian 11 靶心。我正在尝试使用 ufw 防火墙阻止一些 IP。我已经安装了ufw包。然后我添加了一些简单的规则并开始 ufw

sudo ufw enable

然后我检查了它的状态

sudo ufw status verbose

它给出了我的规则。我还使用 systemctl 命令启用它

sudo systemctl enable ufw
sudo systemctl start ufw

他们俩也都成功了。
但是，当我尝试它时，我看到 IP 没有被阻止，它可以将包发送到我的计算机。要检查 ufw 是否正常工作，只需使用已知广告网站的 IP，例如 tpc.googlesyndication.com（我使用ping -c 1 tpc.googlesyndication.com查找网站的 IP）。我通过sudo ufw deny from xxxx将其添加为 ufw 规则。但是，我看到 IP 源正在向我的计算机发送包（因为我在浏览器中看到了它的广告）。（我在很短的时间内完成了所有这些操作，因此该站点没有更改其 IP 地址）。

为什么 ufw 不工作并阻止传入的包？我做错了什么？

我配置 systemd 的技能水平更像是一个新手，需要帮助，因为我现在遇到了障碍，我被卡住了。

我在 Raspberry Pi 克隆板上安装了 fail2ban 和 ufw。我发现的问题是现在有超过 1000 个 IP 地址被阻止并且在 fail2ban 的数据库中。ufw 也启动为非活动状态。如果我过早发出“sudo ufw enable”，那么所有网络连接都会丢失，我必须使用主板的电源按钮来关闭主板上的 Ubuntu Linux 操作系统。

我相信正在发生的事情是，当 ufw 启动时，fail2ban 正在填充 iptables 和 ip6tables，fail2ban 已经在运行 iptables 并且 ufw 的规则被搞砸了。

有谁知道如何使用 systemd 阻止 fail2ban.service 启动，直到 ufw.service 启动？

我已经从 EPEL repo 安装了 UFW（简单防火墙）。当我尝试使用 允许连接到非默认 SSH 端口ufw allow 22022/tcp时，失败并显示：

错误：运行问题

任意端口上的拒绝也会发生相同的错误。

当我尝试使用 更改日志记录设置ufw logging off时，我得到：

错误：无法更新正在运行的防火墙

但是 UFW没有运行（我用ufw statusandsystemctl status ufw和进行了三次检查ps aux | grep ufw）。任何想法如何解决这个问题？

我已经用 Deluge 和 SABnzbd 建立了一个 Raspberry Pi 种子服务器。这一切都运行良好，包括 Apache 反向代理和 SSL 证书，可以从我的网络外部访问它。

为了增加我的隐私，我想让种子通过 OpenVPN 通过 VPN。我找到了一个设置指南，它基本上涉及在运行 Deluge 和 SABnzbd 服务的 RPi 上创建另一个用户，并强制该用户的所有流量通过 OpenVPN IP。（指南，我已经有一个提供 .openvpn 连接文件的 VPN 提供商）

我遇到的问题是该指南使用 iptables 来配置防火墙（并让流量通过 OpenVPN）。我自己正在使用ufw。

我在 ufw 的手册页中找不到任何内容，所以我想在这里问一下，是否可以在 ufw 中使用 iptables mangle 和 nat 命令，或者我是否需要将我的设置从 ufw 切换到 iptables？

iptables 命令：

iptables -t mangle -A OUTPUT -m owner --uid-owner bittorrent -j MARK --set-mark 3
iptables -t nat -A POSTROUTING -o $1 -j SNAT --to-source $4

以及禁用它们的命令：

iptables -t mangle -D OUTPUT -m owner --uid-owner bittorrent -j MARK --set-mark 3
iptables -t nat -D POSTROUTING -o $1 -j SNAT --to-source $4

在两者中，bittorrent 都是 RPi 上创建的用户。

我当前的 ufw 配置，如果 ufw 不支持 mangle & nat，这是否可以轻松转换为 iptables？：

ufw default deny incoming
ufw default allow outgoing
ufw allow 22/tcp
ufw allow 80/tcp
ufw allow 443/tcp
ufw allow 1194/udp //openvpn server
ufw allow 58846/tcp //deluge thinclient

谢谢！

我正在使用 pulseaudio-dlna+pavucontrol 将我的笔记本电脑 (192.168.2.159) 的声音输出定向到我的 yamaha 立体声音响 (192.168.2.160) 这仅在我禁用 ufw 时有效sudo ufw disable

我很难找到正确的规则来允许特定的流量。

sudo tail -f /var/log/ufw.log

显示块消息，例如：

Apr 21 20:40:50 foo kernel: [ 5349.911161] [UFW BLOCK] IN=wlo1 OUT= MAC=01:00:5e:7f:ff:ff:ff:ff:ff:65:c3:04:08:00 SRC=192.168.2.160 DST=239.255.255.250 LEN=204 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=UDP SPT=40760 DPT=51200 LEN=184

如您所见，我已经添加了各种规则，但没有达到预期的效果，当我找到正确的配置时，我想再次删除：

sudo ufw status verbose

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW IN    192.168.2.0/24            
80/tcp                     ALLOW IN    192.168.2.0/24            
80/udp                     ALLOW IN    192.168.2.0/24            
1900/udp                   ALLOW IN    192.168.2.0/24            
1900/udp                   ALLOW IN    239.255.255.0/24          
1900/udp                   ALLOW IN    Anywhere                  
3689                       ALLOW IN    Anywhere                  
1901/udp                   ALLOW IN    192.168.0.0/24 1900/udp   
51200/udp                  ALLOW IN    192.168.0.0/24 40760/udp  
8080/udp                   ALLOW IN    192.168.0.0/24 40760/udp  
40760/udp                  ALLOW IN    192.168.0.0/24 51200/udp  
51200/udp                  ALLOW IN    239.255.255.0/24 40760/udp
8080/tcp                   ALLOW IN    192.168.2.0/24 3393/tcp   
40760/udp                  ALLOW IN    239.255.255.0/24 51200/udp
1900/udp (v6)              ALLOW IN    Anywhere (v6)             
3689 (v6)                  ALLOW IN    Anywhere (v6)             

40760/udp                  ALLOW OUT   239.255.255.0/24 51200/udp
51200/udp                  ALLOW OUT   239.255.255.0/24 40760/udp

我有一个 MySQL 服务器在端口 3306 上运行，私有 IP：10.64.30.117。我还有一个 Web 应用程序在另一个节点上运行，其私有 IP：10.17.23.1。

我希望 Web 应用程序能够访问 MySQL 服务器，但我不希望 MySQL 公开可用。（两个节点也都有公共 IP）。

我尝试使用 UFW 但它似乎阻止了一切，ufw status命令显示如下：

To                         Action      From
--                         ------      ----
3306                       DENY        Anywhere                  
3306                       ALLOW       10.0.0.0/8                
3306                       ALLOW       10.0.0.0/24               
3306 (v6)                  DENY        Anywhere (v6)  

完整ifconfig的样子如下：

$ ifconfig
ens2: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.64.30.117  netmask 255.255.255.254  broadcast 10.64.30.117
        inet6 2001:xxxx:xxxx:xxx::1  prefixlen 127  scopeid 0x0<global>
        inet6 fe80::dc1c:3cff:fe32:203b  prefixlen 64  scopeid 0x20<link>
        ether de:1c:3c:32:20:3b  txqueuelen 1000  (Ethernet)
        RX packets 363358  bytes 1082623290 (1.0 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 310592  bytes 37970748 (37.9 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 2844  bytes 779466 (779.4 KB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2844  bytes 779466 (779.4 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

注意：这些私有 IP 可以更改，因此我无法对其进行硬编码。

有没有其他方法可以在 UFW 或 iptables 中设置它？

我如何打开一个端口范围，例如：xxxx-xxxx 并命名它，这样当我在一个月内或其他什么时候回来查看我的 UFW 配置时，我知道这些端口是做什么用的？