Автор Тема: ufw - доступ к локалхосту по порту 80 (Прочитано 1088 раз)

The Green Side · « : 16 Ноября 2019, 17:25:08 »

Добрый вечер!

Есть сервис, работающий в контейнере по адресу 10.81.65.206, порты 80 и 53
Открыл к нему доступ из локальной сети 192.168.1.0/24 по этому мануалу

Правила, которые я добавил в /etc/ufw/before.rules

Код: [Выделить]

# NAT table rules
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]

# Port Forwardings
-A PREROUTING -i wlp1s0 -p tcp --dport 80 -j DNAT --to-destination 10.81.65.206
-A PREROUTING -i wlp1s0 -p tcp --dport 53 -j DNAT --to-destination 10.81.65.206

# Forward traffic through eth0 - Change to match you out-interface
-A POSTROUTING -s 192.168.1.0/24 -o wlp1s0 -j MASQUERADE

# don't delete the 'COMMIT' line or these nat table rules won't
# be processed
COMMIT

В принципе мне этого достаточно, всё работает.
Но было бы удобно ещё открыть доступ с самого девайса по его локальному IP, например 192.168.1.45
Тогда девайс будет доступен с одинаковым IP и в браузере на нём самом, и в браузерах на всех других девайсах.
Попробовал изменить правила таким образом (ниже), но это не работает.
Как надо?

Код: [Выделить]

# NAT table rules
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]

# Port Forwardings
-A PREROUTING -i wlp1s0 -p tcp --dport 80 -j DNAT --to-destination 10.81.65.206
-A PREROUTING -i lo -p tcp --dport 80 -j DNAT --to-destination 10.81.65.206
-A PREROUTING -i wlp1s0 -p tcp --dport 53 -j DNAT --to-destination 10.81.65.206

# Forward traffic through eth0 - Change to match you out-interface
-A POSTROUTING -s 192.168.1.0/24 -o wlp1s0 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -o lo -j MASQUERADE

# don't delete the 'COMMIT' line or these nat table rules won't
# be processed
COMMIT

P.S. Использую ufw, потому что
1) мне так удобнее
2) это разработка инженеров из Canonical, и именно Ubuntu я использую для своих серверов и контейнеров, хочу оценить преимущества этого инструмента в его родной среде

bezbo · « **Ответ #1 :** 16 Ноября 2019, 18:12:18 »

Цитата: m-svo от 16 Ноября 2019, 17:25:08

-A POSTROUTING -s 192.168.1.0/24 -o wlp1s0 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -o lo -j MASQUERADE

Код: [Выделить]

-A POSTROUTING -o wlp1s0 -j MASQUERADE
и покажите

Код: [Выделить]

sudo iptables-save

The Green Side · « **Ответ #2 :** 16 Ноября 2019, 19:37:22 »

bezbo, не помогло. ufw перезапускал.

Код: [Выделить]

$ curl 192.168.1.99
curl: (7) Failed to connect to 192.168.1.99 port 80: Connection refused
$ curl 127.0.0.1
curl: (7) Failed to connect to 127.0.0.1 port 80: Connection refused

Код: [Выделить]

# Generated by xtables-save v1.8.3 on Sat Nov 16 19:33:26 2019
*filter
:INPUT ACCEPT [6:180]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [3:96]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-before-input - [0:0]
:ufw-before-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-after-input - [0:0]
:ufw-after-output - [0:0]
:ufw-after-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-reject-input - [0:0]
:ufw-reject-output - [0:0]
:ufw-reject-forward - [0:0]
:ufw-track-input - [0:0]
:ufw-track-output - [0:0]
:ufw-track-forward - [0:0]
:ufw-logging-deny - [0:0]
:ufw-logging-allow - [0:0]
:ufw-skip-to-policy-input - [0:0]
:ufw-skip-to-policy-output - [0:0]
:ufw-skip-to-policy-forward - [0:0]
:ufw-not-local - [0:0]
:ufw-user-input - [0:0]
:ufw-user-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-track-input -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-input -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-forward -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-forward -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-skip-to-policy-input -j ACCEPT
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-skip-to-policy-forward -j ACCEPT
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
COMMIT
# Completed on Sat Nov 16 19:33:26 2019
# Generated by xtables-save v1.8.3 on Sat Nov 16 19:33:26 2019
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [38:2586]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -i wlp1s0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.81.65.206
-A PREROUTING -i wlp1s0 -p tcp -m tcp --dport 53 -j DNAT --to-destination 10.81.65.206
-A PREROUTING -i wlp1s0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.81.65.206
-A PREROUTING -i lo -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.81.65.206
-A PREROUTING -i wlp1s0 -p tcp -m tcp --dport 53 -j DNAT --to-destination 10.81.65.206
-A POSTROUTING -s 192.168.1.0/24 -o wlp1s0 -j MASQUERADE
-A POSTROUTING -o wlp1s0 -j MASQUERADE
COMMIT
# Completed on Sat Nov 16 19:33:26 2019

Пользователь добавил сообщение 16 Ноября 2019, 19:42:29:

После ребута ошибочные правила из NAT пропали, теперь так выглядит эта часть. Но результата нет.

Код: [Выделить]

# Generated by xtables-save v1.8.3 on Sat Nov 16 19:39:58 2019
*nat
:PREROUTING ACCEPT [8:951]
:INPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [22:2087]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -i wlp1s0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.81.65.206
-A PREROUTING -i lo -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.81.65.206
-A PREROUTING -i wlp1s0 -p tcp -m tcp --dport 53 -j DNAT --to-destination 10.81.65.206
-A POSTROUTING -o wlp1s0 -j MASQUERADE
COMMIT
# Completed on Sat Nov 16 19:39:58 2019

thunderamur · « **Ответ #3 :** 16 Ноября 2019, 20:02:08 »

Код: [Выделить]

# NAT table rules
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]

# Port Forwardings
-A PREROUTING -i wlp1s0 -p tcp --dport 80 -j DNAT --to-destination 10.81.65.206
-A PREROUTING -i wlp1s0 -p tcp --dport 53 -j DNAT --to-destination 10.81.65.206

# Forward traffic through eth0 - Change to match you out-interface
-A POSTROUTING -s 192.168.1.0/24 -o wlp1s0 -j MASQUERADE

-A OUTPUT -d 192.168.1.45 -p tcp --dport 80 -j DNAT --to-destination 10.81.65.206

# don't delete the 'COMMIT' line or these nat table rules won't
# be processed
COMMIT

bezbo · « **Ответ #4 :** 16 Ноября 2019, 20:22:42 »

покажите

Код: [Выделить]

sudo ufw status

The Green Side · « **Ответ #5 :** 16 Ноября 2019, 21:04:42 »

Спасибо, с этими правилами работает доступ по IP!

Цитата: thunderamur от 16 Ноября 2019, 20:02:08

Код: [Выделить]
# NAT table rules *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] # Port Forwardings -A PREROUTING -i wlp1s0 -p tcp --dport 80 -j DNAT --to-destination 10.81.65.206 -A PREROUTING -i wlp1s0 -p tcp --dport 53 -j DNAT --to-destination 10.81.65.206 # Forward traffic through eth0 - Change to match you out-interface -A POSTROUTING -s 192.168.1.0/24 -o wlp1s0 -j MASQUERADE -A OUTPUT -d 192.168.1.45 -p tcp --dport 80 -j DNAT --to-destination 10.81.65.206 # don't delete the 'COMMIT' line or these nat table rules won't # be processed COMMIT

Код: [Выделить]

$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: allow (incoming), allow (outgoing), allow (routed)
New profiles: skip

thunderamur · « **Ответ #6 :** 16 Ноября 2019, 23:01:21 »

И ещё один момент упустил, маскарадинг для постоянного IP не нужен и даже можно сказать немного вреден.
Лучше так:

Код: [Выделить]

# NAT table rules
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]

# Port Forwardings
-A PREROUTING -i wlp1s0 -p tcp --dport 80 -j DNAT --to-destination 10.81.65.206
-A PREROUTING -i wlp1s0 -p tcp --dport 53 -j DNAT --to-destination 10.81.65.206

# Forward traffic through eth0 - Change to match you out-interface
-A POSTROUTING -s 192.168.1.0/24 -o wlp1s0 -j SNAT --to-source 192.168.1.45

-A OUTPUT -d 192.168.1.45 -p tcp --dport 80 -j DNAT --to-destination 10.81.65.206

# don't delete the 'COMMIT' line or these nat table rules won't
# be processed
COMMIT

The Green Side · « **Ответ #7 :** 17 Ноября 2019, 05:09:04 »

спасибо, поправил

Форум русскоязычного сообщества Ubuntu

Автор Тема: ufw - доступ к локалхосту по порту 80 (Прочитано 1088 раз)

The Green Side

ufw - доступ к локалхосту по порту 80

bezbo

Re: ufw - доступ к локалхосту по порту 80

The Green Side

Re: ufw - доступ к локалхосту по порту 80

thunderamur

Re: ufw - доступ к локалхосту по порту 80

bezbo

Re: ufw - доступ к локалхосту по порту 80

The Green Side

Re: ufw - доступ к локалхосту по порту 80

thunderamur

Re: ufw - доступ к локалхосту по порту 80

The Green Side

Re: ufw - доступ к локалхосту по порту 80