我有一个Ubuntu服务器12.04,有两个网卡: eth0连接到互联网 eth1连接到专用networking(192.168.10.1) 服务器被configuration为网关,并从专用networking托pipeDNS和DHCP。 专用networking中的计算机(如IP地址192.168.10.50)可以成功连接到互联网。 UFW规则如下: Status: active To Action From — —— —- 22 ALLOW Anywhere 80 ALLOW Anywhere 443 ALLOW Anywhere 67/udp on eth1 ALLOW 68/udp 53 ALLOW Anywhere 22 ALLOW Anywhere (v6) 80 ALLOW Anywhere (v6) 443 ALLOW Anywhere (v6) 67/udp on eth1 ALLOW 68/udp 53 ALLOW Anywhere (v6) 任何互联网用户可以查询我的DNS服务器。 我想阻止这样的请求,因为它带来了安全风险。 我重置防火墙,允许访问端口80,443,22,并键入以下内容,只允许私有networking上的设备发出DNS请求。 […]
经过一些服务器硬化,并安装NGINX(没有修改configuration),我不能再从外面访问nginx了。 可悲的是,我根本不是这方面的专家。 硬化是通过各种手册/教程(configurationufw,ssh硬化等)完成的。 在本地机器上,我似乎没有任何问题设置NGINX并在本地运行 – 所以我想这与硬化有关。 在阅读了一些类似的问题之后,尝试了不同的解决scheme等,我还是一开始:等待1分钟后,调用服务器(oder域或over IP)会导致“页面不可用”。 我如何分析这个问题? 需要哪些信息来find瓶颈? (如果是ufw,nginx, – 无论什么?)目标是,终于看到'welcome to nginx'页面。 我需要一个特定的ARP条目,可以通过外部IP访问吗? 如果你能告诉我要执行什么命令,我将在下面添加信息。 编辑:这似乎是一个ufw的问题。 在删除'拒绝任何'nginx似乎是可及的(我想我已经试过了,显然第一次放在它周围没有工作) – 现在的问题是,哪个端口被NGINX需要封锁? 80端口是开放的,NGINX是否需要另一个工作? (因为我想closures不需要的IN端口) 我试过的东西: /var/log/nginx/access.log和/var/log/nginx/error.log都没有条目 – # lsof -i:80 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME nginx 11512 root 7u IPv4 3215792 0t0 TCP *:http (LISTEN) nginx 11513 www-data 7u IPv4 3215792 0t0 […]
背景 在一个小的隐私networking(1路由器/ FW + 1服务器)事件中,我的服务器意外地暴露在互联网上。 幸运的是,它被自己的UFW保护,只允许来自特定netrange的一个特定stream量,并放弃该界面上的所有其他内容。 因此,在事件中,它logging了很多我试图分类的exceptionstream量。 我有 : 端口扫描(仅限SYN数据包) DNS扫描(UDP到端口53) 尝试DNS欺骗(从端口53到端口> 40000的UDP) 但我也有一个模式,我不能分类… 题 我对我的分类是否正确? 你知道什么样的stream量/攻击企图会触发我的防火墙logging下列规格的数据包: 仅限TCP 标志: ACK (90%)或ACK+PSH (10%) 主要来自port 8888 (70%) LEN=52 WINDOW=18 (50%); LEN <100 (90%)和WINDOW<=20 (90%) 30000以上的目的地港口范围广泛
我刚刚遇到了iptables-apply ,它应用了iptables规则集,并让用户在最终提交更改之前确认所有内容都正常工作。 如果用户在超时后没有确认,原始规则将被恢复。 目前我使用ufw来configurationiptables。 有没有一个命令为ufw提供相同的function?
我使用的是strongswan 4.6.4将公路战士连接到我的服务器(ubuntu 13.10),这是在防火墙后面。 left=%defaultroute leftsubnet=10.10.1.0/24 right=%any rightsubnet=10.11.1.0/24 rightsourceip=10.11.1.0/24 “leftsubnet”10.10.1.0/24也是专用的VPN服务networking,服务器本身在networking192.168.1.0/24上,并且在两个networking(192.168.1.2和10.10.1.2)中都有IP地址。 %defaultroute指向192.168.1.1。 vpn本身正在工作,如果ufw防火墙没有运行,那么从road warrior客户端访问服务器正在工作。 tcpdump显示从10.11.1.1到10.10.1.2的stream量。 现在ufw防火墙启动的时候,隧道创build仍然有效,但是来自路由器的交通是源和目的地。 这意味着tcpdump将客户端的公有IP显示为源IP而不是虚拟IP 10.11.1.1,而将目标IP显示为192.168.1.2而不是10.10.1.2。 当然,iptables中没有nat规则。 我怎样才能确定这个问题? AFAIK ufw只是维护iptables规则。 当ufw处于活动状态时,nat在哪里发生? 非常感谢!
概要 有一个虚拟主机(1.1.1.5)和一个路由客人(1.1.1.6)。 有些东西将端口25上的任何stream量redirect到客户端,无论是stream入还是stream出,都到达了端口2525的1.1.1.5,我找不到什么东西。 当然,ips和mac是为了这个post而改变的。 build立 我有以下设置: 有一个IP 1.1.1.5的debian根服务器,托pipe一个virtualbox服务器 第二个IP(1.1.1.6)被路由到这个服务器 这个第二个IP被路由到一个虚拟networking接口“virbr1”,这个接口被一个debian virtualbox访客邮件服务器使用 在根服务器上,iptables正在运行并使用ufw进行configuration 设置工作完美 – 我可以ping通1.1.1.6上的邮件服务器,并达到其networking界面等,邮件服务器可以到达互联网,一切都很好, 除了一个端口 :试图到端口25上的邮件服务器无法正常工作。 这不是关于ISP阻止端口25或类似的东西,更复杂。 阅读:) 问题的诊断 从外部Telnet 当我尝试从另一台服务器telnet时: telnet 1.1.1.6 25 连接将超时。 在主机系统的系统日志(1.1.1.5)中,出现以下来自IP表的消息: [UFW BLOCK] IN=eth0 OUT= MAC=c8:c8:c8:c8:c8:c8:c8:fe:3d:46:e6:0f:08:00 SRC=2.2.2.5 DST=1.1.1.5 LEN=64 TOS=0x00 PREC=0x00 TTL=55 ID=45855 DF PROTO=TCP SPT=64059 DPT=2525 WINDOW=65535 RES=0x00 SYN URGP=0 有一件重要的事情要注意:我试图连接到1.1.1。 6端口25 ,但iptables块发生在1.1.1。 5在2525港口 从访客信箱中远程login 当我SSH到邮件服务器客人,然后telnet另一台服务器: telnet 9.9.9.5 […]
ufw insert 1 deny to any ufw enable ufw status 状态输出: Status: active Logging: on (high) Default: deny (incoming), allow (outgoing), disabled (routed) New profiles: skip To Action From — —— —- Anywhere DENY IN Anywhere Anywhere (v6) DENY IN Anywhere (v6) 然而,我可以从任何地方强奸服务器,我想…什么给了? 这是在没有安装其他东西的股票Ubuntu 14.04服务器上。 如果有帮助,这是/etc/network/interfaces文件: auto lo iface lo inet loopback auto eth0 iface […]
我有一个运行OpenVPN网关和ufw的Ubuntu 14服务器。 我们称之为服务器A. 我有永久连接的服务器(服务器B)的IP预留。 它总是连接到OpenVPN并获得10.8.0.10的IP。 我需要将连接转发到服务器A上的端口5010到服务器B的端口22(SSH)。 我在以下的事件中有以下几点: # NAT table rules *nat :PREROUTING ACCEPT [0:0] # Route SSH to archimedes -A PREROUTING -p tcp -i eth0 –dport 5010 -j DNAT –to-destination 10.8.0.10:22 :POSTROUTING ACCEPT [0:0] # Allow traffic from OpenVPN client to eth0 -A POSTROUTING -s 10.8.0.0/8 -o tun0 -j MASQUERADE # END OPENVPN RULES […]
我试图build立一个Ubuntu 14.04服务器作为一个路由器,也做一些端口转发。 我有路由器部分工作,但不能为我的生活找出为什么端口转发不起作用。 我已经完成了以下步骤,目标是将SMTP和httpstream量转发到私有子网上的服务器: 在/etc/ufw/sysctl.conf取消注释转/etc/ufw/sysctl.conf 更新/ etc / default / ufw行DEFAULT_FORWARD_POLICY="ACCEPT" /etc/ufw/before.rules添加到/etc/ufw/before.rules (在* filter部分之前和之后尝试): *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A PREROUTING -p tcp -i eth0 –dport 25 -j DNAT –to-destination 10.16.0.51:25 -A PREROUTING -p tcp -i eth0 –dport 80 -j DNAT –to-destination 10.16.0.20:80 -A POSTROUTING -s 10.16.0.0/24 -o eth0 -j MASQUERADE COMMIT /etc/ufw/before.rules添加到/etc/ufw/before.rules的*filter部分(按照此处的示例): […]
早上好。 我运行Ubuntu 14.04服务器和Docker 1.8.1,UFW是我pipe理iptables的前端。 我需要运行一个应用程序到一个容器中。 我确实需要以下行为: 我的应用程序需要连接到另一台机器的端口,说,8888 / TCP。 我不希望dockerpipe理我的iptables,因此我在/etc/default/docker DOCKER_OPTS="–iptables=false"设置了DOCKER_OPTS="–iptables=false" 。 这样做,docker现在应该跳过设置任何 iptables规则。 然后,我在UFW中做了以下工作,以便将docker集装箱连接到外部世界: 在/etc/default/ufw设置DEFAULT_FORWARD_POLICY="ACCEPT" 在/etc/sysctl.conf设置net.ipv4.ip_forward=1和net.ipv4.conf.all.forwarding=1 我还将以下行添加到/etc/ufw/before.rules以启用NATfunction: # nat Table rules *nat :POSTROUTING ACCEPT [0:0] # Forward traffic from private network through eth0, the Internet iface on master. -A POSTROUTING -s 172.17.42.1/16 -o eth0 -j MASQUERADE # don't delete the 'COMMIT' line or these […]