关于【ufw】的问题- 第1页

Jennifer

Asked: 2022-05-18 06:24:01 +0800 CST

ip6tables 日志中字段的含义

0

我正在解析ufw日志，并且遇到了文档的限制，我可以ip6tables为ufw.

这篇非常好的博客文章很好地描述了 iptables 格式，但是我在那里找不到一些字段，即 AFAIU 是 IPv6 特定的。

这是一个示例条目：

May 13 11:35:12 servername kernel: [ 4113.240744] [UFW BLOCK] IN=eth0 OUT= MAC=nn:nn:nn:nn:nn:nn:nn:nn:nn:nn:nn:nn:nn:nn SRC=nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn DST=nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn:nnnn LEN=178 TC=0 HOPLIMIT=1 FLOWLBL=0 PROTO=UDP SPT=5678 DPT=5678 LEN=138

HOPLIMIT就像TTL，对吗？怎么样TC，，FLOWLBL这些是什么？如果它们适合某些标志或选项字段，请告诉我，它将影响我的解析方式。更好的是指向一个非常完整的博客条目，就像上面那样......

还有一个问题，为什么有 2 个LEN字段？

MorRich

Asked: 2022-05-03 07:22:22 +0800 CST

UFW 伪装和外部流量仅在特定接口上

0

我有一个 Ubuntu 系统（192.168.AB），它作为 Wireguard“服务器”运行，具有 2 个隧道，具有以下网络和 UFW 规则：

网络 10.255.200.0/24

ufw allow XXX/udp && ufw route allow in on wg200 out on any && ufw route allow in on wg200 out on eth0 && ufw route allow in on eth0 out on wg200

网络 10.255.245.0/24

ufw allow YYY/udp && ufw route allow in on wg245 out on wg245 to any from any && ufw route reject in on wg245 out on any to any from any

我已将以下内容添加到 /etc/ufw/before.rules 以允许 10.255.200.0/24 网络中的设备到达主机外部

*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.255.200.0/24 -o eth0 -j MASQUERADE
COMMIT

这似乎可行，但现在我需要允许主机网络（192.168.A.0/24）中的其他主机能够访问 10.255.245.0/24 网络中的系统，而该网络默认情况下无法访问192.168.A.0/24。

我需要使用哪些 UFW 规则来保持主机网络安全并尽可能保持 WG 网络分离？另外，有没有更好的伪装方法？

提前致谢！

user458762

Asked: 2022-02-05 09:57:59 +0800 CST

为什么ufw不屏蔽网站？

0

我正在使用 Debian 11 靶心。我正在尝试使用 ufw 防火墙阻止一些 IP。我已经安装了ufw包。然后我添加了一些简单的规则并开始 ufw

sudo ufw enable

然后我检查了它的状态

sudo ufw status verbose

它给出了我的规则。我还使用 systemctl 命令启用它

sudo systemctl enable ufw
sudo systemctl start ufw

他们俩也都成功了。
但是，当我尝试它时，我看到 IP 没有被阻止，它可以将包发送到我的计算机。要检查 ufw 是否正常工作，只需使用已知广告网站的 IP，例如 tpc.googlesyndication.com（我使用ping -c 1 tpc.googlesyndication.com查找网站的 IP）。我通过sudo ufw deny from xxxx将其添加为 ufw 规则。但是，我看到 IP 源正在向我的计算机发送包（因为我在浏览器中看到了它的广告）。（我在很短的时间内完成了所有这些操作，因此该站点没有更改其 IP 地址）。

为什么 ufw 不工作并阻止传入的包？我做错了什么？

Myron

Asked: 2021-12-30 10:41:16 +0800 CST

如何在 fail2ban 之前启动 Ubuntu 的 ufw 以解决连接丢失问题？

1

我配置 systemd 的技能水平更像是一个新手，需要帮助，因为我现在遇到了障碍，我被卡住了。

我在 Raspberry Pi 克隆板上安装了 fail2ban 和 ufw。我发现的问题是现在有超过 1000 个 IP 地址被阻止并且在 fail2ban 的数据库中。ufw 也启动为非活动状态。如果我过早发出“sudo ufw enable”，那么所有网络连接都会丢失，我必须使用主板的电源按钮来关闭主板上的 Ubuntu Linux 操作系统。

我相信正在发生的事情是，当 ufw 启动时，fail2ban 正在填充 iptables 和 ip6tables，fail2ban 已经在运行 iptables 并且 ufw 的规则被搞砸了。

有谁知道如何使用 systemd 阻止 fail2ban.service 启动，直到 ufw.service 启动？

Falco Preiseni

Asked: 2021-10-25 05:12:12 +0800 CST

CentOS 8 上的简单防火墙 (UFW) 配置问题

2

我已经从 EPEL repo 安装了 UFW（简单防火墙）。当我尝试使用允许连接到非默认 SSH 端口ufw allow 22022/tcp时，失败并显示：

错误：运行问题

任意端口上的拒绝也会发生相同的错误。

当我尝试使用更改日志记录设置ufw logging off时，我得到：

错误：无法更新正在运行的防火墙

但是 UFW没有运行（我用ufw statusandsystemctl status ufw和进行了三次检查ps aux | grep ufw）。任何想法如何解决这个问题？

user365170

Asked: 2019-08-02 18:47:23 +0800 CST

在 ufw 中使用 iptables mangle & nat

1

我已经用 Deluge 和 SABnzbd 建立了一个 Raspberry Pi 种子服务器。这一切都运行良好，包括 Apache 反向代理和 SSL 证书，可以从我的网络外部访问它。

为了增加我的隐私，我想让种子通过 OpenVPN 通过 VPN。我找到了一个设置指南，它基本上涉及在运行 Deluge 和 SABnzbd 服务的 RPi 上创建另一个用户，并强制该用户的所有流量通过 OpenVPN IP。（指南，我已经有一个提供 .openvpn 连接文件的 VPN 提供商）

我遇到的问题是该指南使用 iptables 来配置防火墙（并让流量通过 OpenVPN）。我自己正在使用ufw。

我在 ufw 的手册页中找不到任何内容，所以我想在这里问一下，是否可以在 ufw 中使用 iptables mangle 和 nat 命令，或者我是否需要将我的设置从 ufw 切换到 iptables？

iptables 命令：

iptables -t mangle -A OUTPUT -m owner --uid-owner bittorrent -j MARK --set-mark 3
iptables -t nat -A POSTROUTING -o $1 -j SNAT --to-source $4

以及禁用它们的命令：

iptables -t mangle -D OUTPUT -m owner --uid-owner bittorrent -j MARK --set-mark 3
iptables -t nat -D POSTROUTING -o $1 -j SNAT --to-source $4

在两者中，bittorrent 都是 RPi 上创建的用户。

我当前的 ufw 配置，如果 ufw 不支持 mangle & nat，这是否可以轻松转换为 iptables？：

ufw default deny incoming
ufw default allow outgoing
ufw allow 22/tcp
ufw allow 80/tcp
ufw allow 443/tcp
ufw allow 1194/udp //openvpn server
ufw allow 58846/tcp //deluge thinclient

谢谢！

user640916

Asked: 2019-04-22 10:46:30 +0800 CST

无法获取 ufw 规则以允许 pc 和立体声之间的 dlna/upnp 流量

2

我正在使用 pulseaudio-dlna+pavucontrol 将我的笔记本电脑 (192.168.2.159) 的声音输出定向到我的 yamaha 立体声音响 (192.168.2.160) 这仅在我禁用 ufw 时有效sudo ufw disable

我很难找到正确的规则来允许特定的流量。

sudo tail -f /var/log/ufw.log

显示块消息，例如：

Apr 21 20:40:50 foo kernel: [ 5349.911161] [UFW BLOCK] IN=wlo1 OUT= MAC=01:00:5e:7f:ff:ff:ff:ff:ff:65:c3:04:08:00 SRC=192.168.2.160 DST=239.255.255.250 LEN=204 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=UDP SPT=40760 DPT=51200 LEN=184

如您所见，我已经添加了各种规则，但没有达到预期的效果，当我找到正确的配置时，我想再次删除：

sudo ufw status verbose

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW IN    192.168.2.0/24            
80/tcp                     ALLOW IN    192.168.2.0/24            
80/udp                     ALLOW IN    192.168.2.0/24            
1900/udp                   ALLOW IN    192.168.2.0/24            
1900/udp                   ALLOW IN    239.255.255.0/24          
1900/udp                   ALLOW IN    Anywhere                  
3689                       ALLOW IN    Anywhere                  
1901/udp                   ALLOW IN    192.168.0.0/24 1900/udp   
51200/udp                  ALLOW IN    192.168.0.0/24 40760/udp  
8080/udp                   ALLOW IN    192.168.0.0/24 40760/udp  
40760/udp                  ALLOW IN    192.168.0.0/24 51200/udp  
51200/udp                  ALLOW IN    239.255.255.0/24 40760/udp
8080/tcp                   ALLOW IN    192.168.2.0/24 3393/tcp   
40760/udp                  ALLOW IN    239.255.255.0/24 51200/udp
1900/udp (v6)              ALLOW IN    Anywhere (v6)             
3689 (v6)                  ALLOW IN    Anywhere (v6)             

40760/udp                  ALLOW OUT   239.255.255.0/24 51200/udp
51200/udp                  ALLOW OUT   239.255.255.0/24 40760/udp

Avinash D'Silva

Asked: 2019-04-04 15:20:46 +0800 CST

如何阻止 Linux 中的公共端口（3306）访问但允许本地网络上的其他节点访问？

1

我有一个 MySQL 服务器在端口 3306 上运行，私有 IP：10.64.30.117。我还有一个 Web 应用程序在另一个节点上运行，其私有 IP：10.17.23.1。

我希望 Web 应用程序能够访问 MySQL 服务器，但我不希望 MySQL 公开可用。（两个节点也都有公共 IP）。

我尝试使用 UFW 但它似乎阻止了一切，ufw status命令显示如下：

To                         Action      From
--                         ------      ----
3306                       DENY        Anywhere                  
3306                       ALLOW       10.0.0.0/8                
3306                       ALLOW       10.0.0.0/24               
3306 (v6)                  DENY        Anywhere (v6)

完整ifconfig的样子如下：

$ ifconfig
ens2: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.64.30.117  netmask 255.255.255.254  broadcast 10.64.30.117
        inet6 2001:xxxx:xxxx:xxx::1  prefixlen 127  scopeid 0x0<global>
        inet6 fe80::dc1c:3cff:fe32:203b  prefixlen 64  scopeid 0x20<link>
        ether de:1c:3c:32:20:3b  txqueuelen 1000  (Ethernet)
        RX packets 363358  bytes 1082623290 (1.0 GB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 310592  bytes 37970748 (37.9 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 2844  bytes 779466 (779.4 KB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2844  bytes 779466 (779.4 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

注意：这些私有 IP 可以更改，因此我无法对其进行硬编码。

有没有其他方法可以在 UFW 或 iptables 中设置它？

Jesper.Lindberg

Asked: 2019-03-25 02:18:33 +0800 CST

如何添加 UFW 规则和评论/名称？

0

我如何打开一个端口范围，例如：xxxx-xxxx 并命名它，这样当我在一个月内或其他什么时候回来查看我的 UFW 配置时，我知道这些端口是做什么用的？

user149572

Asked: 2019-01-19 13:18:17 +0800 CST

Arch ufw 启用

2

要在 Debian 中启用 UFW，我会：

ufw --force enable

我从 Arch 文档中了解到，我应该在 Arch 中这样做：

systemctl start ufw
systemctl enable ufw

“启用”是指“确保 UFW 将在每次系统启动后运行”。

我在 Arch 中这样做的方式完全类似于在 Debian 中这样做的方式吗？

ip6tables 日志中字段的含义

UFW 伪装和外部流量仅在特定接口上

为什么ufw不屏蔽网站？

如何在 fail2ban 之前启动 Ubuntu 的 ufw 以解决连接丢失问题？

CentOS 8 上的简单防火墙 (UFW) 配置问题

在 ufw 中使用 iptables mangle & nat

无法获取 ufw 规则以允许 pc 和立体声之间的 dlna/upnp 流量

如何阻止 Linux 中的公共端口（3306）访问但允许本地网络上的其他节点访问？

如何添加 UFW 规则和评论/名称？

Arch ufw 启用

模块 i915 可能缺少固件 /lib/firmware/i915/*

无法获取 jessie backports 存储库

如何将 GPG 私钥和公钥导出到文件

我们如何运行存储在变量中的命令？

如何配置 systemd-resolved 和 systemd-networkd 以使用本地 DNS 服务器来解析本地域和远程 DNS 服务器来解析远程域？

dist-upgrade 后 Kali Linux 中的 apt-get update 错误 [重复]

如何从 systemctl 服务日志中查看最新的 x 行

Nano - 跳转到文件末尾

grub 错误：你需要先加载内核

如何下载软件包而不是使用 apt-get 命令安装它？

问题[ufw](unix)