Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Debian/Ubuntu - [решено] Ubuntu 20.04 Server - логика работы UFW

Ответить
Настройки темы
Debian/Ubuntu - [решено] Ubuntu 20.04 Server - логика работы UFW

Ветеран


Сообщения: 2099
Благодарности: 143


Конфигурация

Профиль | Отправить PM | Цитировать

Доброе время суток. UFW включен.
sudo ufw status verbose выдает такую информацию:

Цитата:
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: deny

To Action From
-- ------ ----
3389/tcp ALLOW IN Anywhere
22/tcp ALLOW IN Anywhere
3389/tcp (v6) ALLOW IN Anywhere (v6)
22/tcp (v6) ALLOW IN Anywhere (v6)

В /etc/default/ufw правила такие:

Цитата:
IPV6=yes
DEFAULT_INPUT_POLICY="DROP"
DEFAULT_OUTPUT_POLICY="ACCEPT"
DEFAULT_FORWARD_POLICY="DROP"
DEFAULT_APPLICATION_POLICY="DROP"
Но при этом, комп с этим брандмауэром пропускает, например ICMPv4 пакеты. Он пингуется. Не могу понять почему ? Ведь, судя по тому что входящие правила по умолчанию запрещены, в разрешенных нет правила для ICMPv4, или конкретно для пинга, а пинг проходит.

-------
"Нет" - войне.

Отправлено: 08:29, 27-07-2022

 

Ветеран


Сообщения: 2099
Благодарности: 143

Профиль | Отправить PM | Цитировать

Так же вопрос: где ufw хранит свои правила ? Например, правила после команды ufw status verbose, не написаны в файле /etc/default/ufw . Видимо есть еще какой-то файл ?

-------
"Нет" - войне.

Отправлено: 08:36, 27-07-2022 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Ветеран


Сообщения: 2099
Благодарности: 143

Профиль | Отправить PM | Цитировать

Уже нашел ответ. По умолчанию ICMPv4 типа echo request разрешены в ufw:

Цитата:
Enabling ufw creates a ruleset that is intended to protect the host while
allowing some common traffic such as DHCP, ping and mDNS. These defaults are
setup in the before*.rules and after*.rules files (see 'man iptables' for
terminology):
- Default DROP on INPUT
- Default DROP on FORWARD
- Default ACCEPT on OUTPUT
- ACCEPT all on lo
- DROP packets with RH0 headers
- ACCEPT all RELATED and ESTABLISHED on INPUT and OUTPUT
- ACCEPT all RELATED and ESTABLISHED on FORWARD (ip forwarding must be enabled
via sysctl for this to be in effect)
- DROP INVALID packets (packets not associated with a known connection)
- ACCEPT certain icmp packets (INPUT and FORWARD):
- destination-unreachable, source-quench, time-exceeded, parameter-problem,
and echo-request for IPv4
- destination-unreachable, packet-too-big, time-exceeded, parameter-problem,
and echo-request
- ACCEPT certain icmpv6 packets for stateless autoconfiguration (INPUT):
neighbor-solicitation, neighbor-advertisement, router-solicitation
- ACCEPT mDNS (zeroconf/bonjour/avahi 224.0.0.251 for IPv4 and ff02::fb for
IPv6) for service discovery (INPUT)
- ACCEPT UPnP (239.255.255.250 for IPv4 and ff02::f for IPv6) for service
discovery (INPUT)
- ACCEPT ping replies from IPv6 link-local (ffe8::/10) addresses (INPUT)
- ACCEPT DHCP client traffic (INPUT)
- Log all blocked packets not matching the default policy with rate limiting

If you are using a packaged version of ufw supplied by your distribution, the
default ruleset may be different.
Не совсем это конечно удобно. Удобнее когда отключил абсолютно все, а потом нужные параметры включаешь. Понял так что этот функционал дает iptables, но он якобы сложнее в настройке. Почитаю.

-------
"Нет" - войне.

Отправлено: 09:57, 27-07-2022 | #3


Забанен


Сообщения: 6345
Благодарности: 1436

Профиль | Цитировать

__sa__nya, ufw это не более чем надстройка над iptables, призванная генерировать правила iptables простым, юзер-френдли способом.
Собственно правила лежат в /var/lib/ufw/user.rules (так на Centos/Rocky, в убунте может и в другом месте)
Это сообщение посчитали полезным следующие участники:

Отправлено: 10:44, 27-07-2022 | #4


Ветеран


Сообщения: 2099
Благодарности: 143

Профиль | Отправить PM | Цитировать

Да, я уже из чтения Google так и понял что ufw это надстройка. Но очень удобная. Реально все интуитивно понятно.

-------
"Нет" - войне.

Отправлено: 11:46, 27-07-2022 | #5



Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Debian/Ubuntu - [решено] Ubuntu 20.04 Server - логика работы UFW

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Debian/Ubuntu - Установка Ubuntu 20.04 на Acer Spin 1 morgan1991 Общий по Linux 0 05-09-2021 17:28
Debian/Ubuntu - Впервые установил ubuntu 18.04.2 server poisonkit Общий по Linux 4 22-07-2019 10:30
Debian/Ubuntu - Ubuntu server 16.04.5, сетевая UNCLAIMED YDen Общий по Linux 1 27-08-2018 10:55
ubuntu server 16.04 - нет звука YDen Железо в Linux 2 25-07-2018 22:39
Debian/Ubuntu - Ubuntu server 10.04 merc_yar Общий по Linux 5 11-06-2010 10:10


« Предыдущая тема | Следующая тема »


 
Переход