Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: С первого раза не работает ufw [Решено]  (Прочитано 1375 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн bobi

  • Автор темы
  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Ubuntu
(Нажмите, чтобы показать/скрыть)
Запускаюsudo ufw disableПотомsudo ufw enableРезультатbob2@gutsy-ailama:~$ sudo ufw disable
Firewall stopped and disabled on system startup
bob2@gutsy-ailama:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
ERROR: problem running ufw-init
iptables-restore: line 13 failed
Problem running '/etc/ufw/before.rules'
Снова запускаюsudo ufw enableРезультатbob2@gutsy-ailama:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup
Почему не запускается с первого раза?
Как исправить?
(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 03 Май 2020, 05:58:49 от zg_nico »

Оффлайн acetone

  • Участник
  • *
  • Сообщений: 158
    • Просмотр профиля
    • Fediverse
Re: С первого раза не работает ufw
« Ответ #1 : 02 Март 2020, 08:21:40 »
ERROR: problem running ufw-init
iptables-restore: line 13 failed
Problem running '/etc/ufw/before.rules'
Кажется, говорится о проблеме в 13 строке :D
Вероятнее всего, что вы сами правили конфиги (и сделали это неудачно).
Скиньте под спойлер вывод команды
sudo cat /etc/ufw/before.rulesА также, чтобы к лешему не ходить, еще вот это (также под спойлером выложить):
sudo head -n 15 /etc/ufw/before.rules
« Последнее редактирование: 02 Март 2020, 08:25:12 от .acetone »
Пошутил про демона - нажал иконку.

Оффлайн bobi

  • Автор темы
  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Re: С первого раза не работает ufw
« Ответ #2 : 02 Март 2020, 12:56:04 »
Правил, каюсь.
Думаю с настройкой конфига смогу разобраться. Но если подскажут, буду рад.
Основной вопрос - почему запускается со"второго" раза?
Конфиг же не меняется....
Или я не правильно понимаю (перевожу) ответ системы?
Она запускается и в первый раз (с ошибкой)
А во"второй" раз она просто пишет - что ufw УЖЕ работает(не уточняя что запущен с ошибкой).
bob2@gutsy-ailama:~$ sudo cat /etc/ufw/before.rules
#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
# ufw-before-input
# ufw-before-output
# ufw-before-forward
#
# START OPENVPN RULES
# NAT table rules
COMMIT
*nat
:POSTROUTING ACCEPT [0:0]
# Allow traffic from OpenVPN client to eth0
-A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE
# END OPENVPN RULES
# Don't delete these required lines, otherwise there will be errors
*filter
:ufw-before-input - [0:0]
:ufw-before-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-not-local - [0:0]
# End required lines
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# quickly process packets for which we already have a connection
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# drop INVALID packets (logs these in loglevel medium and higher)
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
# ok icmp codes for INPUT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT
# ok icmp code for FORWARD
-A ufw-before-forward -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type echo-request -j ACCEPT
# allow dhcp client to work
-A ufw-before-input -p udp --sport 67 --dport 68 -j ACCEPT
#
# ufw-not-local
#
-A ufw-before-input -j ufw-not-local
# if LOCAL, RETURN
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
# if MULTICAST, RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
# if BROADCAST, RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
# all other non-local packets are dropped
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT
# allow MULTICAST UPnP for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 239.255.255.250 --dport 1900 -j ACCEPT
bob2@gutsy-ailama:~$
bob2@gutsy-ailama:~$ sudo head -n 15 /etc/ufw/before.rules
#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
# ufw-before-input
# ufw-before-output
# ufw-before-forward
#
# START OPENVPN RULES
# NAT table rules
COMMIT
*nat
:POSTROUTING ACCEPT [0:0]
bob2@gutsy-ailama:~$

заменил теги spoiler на code и убрал пустые строки.
--zg_nico
« Последнее редактирование: 02 Март 2020, 14:19:28 от zg_nico »

Оффлайн acetone

  • Участник
  • *
  • Сообщений: 158
    • Просмотр профиля
    • Fediverse
Re: С первого раза не работает ufw
« Ответ #3 : 02 Март 2020, 21:32:17 »
Конкретно 13 строка, о которой говорит вывод ошибки, содержит
*natВижу, что-то ты колдовал с OpenVPN... С впн вряд ли что подскажу толкового, но если сейчас у тебя никакой нужды в старых некорректных правках нет, на всякий случай оставлю здесь дефолтный конфиг. Может быть хотя бы при настройке как пример пригодится. :) В крайнем случае замени свое на это и радуйся корректной работе а-ля "из коробки".
# rules.before
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
#   ufw-before-input
#   ufw-before-output
#   ufw-before-forward

# Don't delete these required lines, otherwise there will be errors
*filter
:ufw-before-input - [0:0]
:ufw-before-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-not-local - [0:0]
# End required lines

# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT

# quickly process packets for which we already have a connection
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# drop INVALID packets (logs these in loglevel medium and higher)
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP

# ok icmp codes for INPUT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT

# ok icmp code for FORWARD
-A ufw-before-forward -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type echo-request -j ACCEPT

# allow dhcp client to work
-A ufw-before-input -p udp --sport 67 --dport 68 -j ACCEPT

# ufw-not-local
-A ufw-before-input -j ufw-not-local

# if LOCAL, RETURN
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN

# if MULTICAST, RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN

# if BROADCAST, RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN

# all other non-local packets are dropped
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP

# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

# allow MULTICAST UPnP for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 239.255.255.250 --dport 1900 -j ACCEPT

# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT

В твоем случае UFW при запуске жалуется на трудности с инициализацией конфига, но запускается. Насколько я понимаю, корректно работать все равно не должно. Когда запускаешь второй раз, говорит, что уже запущено (но ошибка никуда не делась).
З.Ы. по примеру модератора конфиг добавляю без спойлеров)) Учение - свет.
Пошутил про демона - нажал иконку.

Оффлайн bobi

  • Автор темы
  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Re: С первого раза не работает ufw
« Ответ #4 : 02 Март 2020, 21:46:17 »
Спасибо.
С конфигом разберусь, это не проблема.

Смущало что при втором запуске задавался вопрос о возможном отключении.
Это наводило на мысль, что идет полный перезапуск с использованием конфига.

Закрываем тему.




 

Страница сгенерирована за 0.083 секунд. Запросов: 25.