Articles of ufw

我第一次build立ufw。 在OpenVZ VPN上使用Ubuntu 10.04 LTS，并具有以下规则： sudo ufw allow 22/tcp sudo ufw allow 25/tcp sudo ufw allow 53 sudo ufw allow 80 sudo ufw allow 443 sudo ufw default deny SSH和其他一切工作正常，我可以访问nginx上的静态内容。 但是，当我访问一个PHP页面时，在给出一个504网关超时页面之前需要很长时间。 我正在使用php5-fpm 我已经尝试了许多规则，包括以下内容： allow from 127.0.0.1 to 127.0.0.1 port 9000 allow from 127.0.0.1 port 9000 to 127.0.0.1 port 9000 allow 9000 allow from 127.0.0.1 to […]

我有一台运行KVM的虚拟机的Ubuntu 12.04服务器。 我想在互联网上公开一些这些虚拟机，以使客户可以testing我们正在开发的产品，并提供用于演示目的的其他产品。 其中一个服务器网卡configuration了公共IP。 但是，在暴露networking上的任何东西之前，我想确定如果其中一台虚拟机受到攻击，攻击者就无法到达其他主机。 我想要做的就是把这些虚拟机放到DMZ中 。 这些是我打算做的步骤： 在虚拟化主机中创build一个tap接口（假设tap1 ） 使用tap1创build一个网桥，并为其分配一个独立于其他主机的子网。 比方说10.0.0.1 将DMZ虚拟机连接到网桥并静态configuration其IP（10.0.0.2,10.0.0.3等） 使用UFW， 禁止从10.0.0.0/24到任何内部主机的任何stream量， 允许来自内部主机的stream量朝向10.0.0.0/24，并使用端口转发来暴露Web上的虚拟机。 你认为这个设置是安全的吗？ 你能提出任何改进或更好/更安全的方法吗？

我想允许所有的LANstream量到我的Ubuntu服务器。 我已阅读文档，并看到命令，但是当我尝试编辑我的IP范围的命令时，我得到一个错误。 我怎样才能允许所有stream量开始在192.168.15.0 – 192.168.15.255？ sudo ufw允许从192.168.15.0/255错误：错误的源地址 看起来像15（第三个八进制）是造成错误。 几乎就像UFW不希望局域网有一个独特的IP设置。 谢谢

在Ubuntu的14号盒子上，我看起来像在Wordpress页面上的攻击奇怪的活动。 Apache日志显示了很多这样的： 191.96.249.54 – – [25/May/2016:00:46:57 +0200] "POST /xmlrpc.php HTTP/1.0" 500 585 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" 191.96.249.53 – – [25/May/2016:00:46:58 +0200] "POST /xmlrpc.php HTTP/1.0" 500 585 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" 191.96.249.54 – – [25/May/2016:00:46:59 +0200] "POST /xmlrpc.php HTTP/1.0" 500 585 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT […]

通过服务创build允许/拒绝规则与端口和协议有什么区别？ 例如： ufw allow ssh与ufw allow 22/tcp甚至ufw allow ssh/tcp 。 哪一个是最干净的2）最严格的3）最好的方法？

我的一台生产服务器UFWconfiguration如下： Status: active Logging: on (low) Default: deny (incoming), **deny (outgoing)**, disabled (routed) New profiles: skip To Action From — —— —- 22/tcp ALLOW IN Anywhere 22/tcp (v6) ALLOW IN Anywhere (uv6) 80/tcp ALLOW IN Anywhere 80/tcp (v6) ALLOW IN Anywhere (v6) 我已经通过安装ntp服务启用了NTP同步，目前正在运行。 当我运行ntpq -p ，我得到以下输出： remote refid st t when poll reach delay offset […]

我想知道如何增加IP地址或子范围，我想阻止ufw的可扩展性。 例如，每当我发现一个特别糟糕的机器人或服务器场时，我都会这样做。 随着我的列表增长，我不知道我在系统上有多less开销。 因为现在每个数据包必须根据这个列表进行检查。 有没有人有开始导致系统负载或networking变慢的一定大小的块列表的经验？ 文档中有没有关于这个的地方？ 现在我有约15条规则。 我应该留下一些规则吗？

我已经在我的ufw上设置了一些规则，但我认为这只是没有阻止任何东西。 这是它的现状： ~# ufw status verbose Status: active Logging: on (low) Default: deny (incoming), allow (outgoing), deny (routed) New profiles: skip To Action From — —— —- 22 ALLOW IN Anywhere 80 ALLOW IN Anywhere 27015:27115/udp ALLOW IN Anywhere 27015:27115/tcp ALLOW IN Anywhere 22 (v6) ALLOW IN Anywhere (v6) 80 (v6) ALLOW IN Anywhere (v6) […]

我在我的Debian系统上安装了ufw，如下所示： # aptitude install ufw # ufw limit 22 # ufw allow 80 # ufw allow 443 # ufw enable # ufw status verbose Status: active Logging: on (low) Default: deny (incoming), allow (outgoing) New profiles: skip To Action From — —— —- 20 LIMIT Anywhere 80 ALLOW Anywhere 443 ALLOW Anywhere 一个简单的ping google.com失败，任何aptitude install都将失败。 […]

11月29日15:17:15 hostname kernel [397768.554884] [UFW BLOCK] IN = eth0 OUT = MAC = [mac] SRC = [ip] DST = [ip] LEN = 52 TOS = 0x00 PREC = 0x00 TTL = 52 ID = 17050 PROTO = TCP SPT = 56152 DPT = 80 WINDOW = 65535 RES = 0x00 ACK FIN URGP = 0 […]