Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: iptables и ufw , не получается настроить доступ putty к серверу через ufw  (Прочитано 2130 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Wogel

  • Автор темы
  • Любитель
  • *
  • Сообщений: 64
    • Просмотр профиля
После включения ufw по умолчанию для цепочки INPUT действует правило DROP, у меня никак не получается открыть 22 порт для подключения к серверу через putty по 22 порту tcp, ниже часть правил iptables -L

Chain INPUT (policy DROP)
num  target     prot opt source               destination

Chain FORWARD (policy DROP)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

...

Chain ufw-user-input (1 references)
target       prot   opt      source              destination
ACCEPT       tcp    --       anywhere              anywhere            tcp dpt:ssh

т.е. правило для  ufw-user-input добавил, в моем понимании этого достаточно, чтобы обойти правила по умолчанию, но до сервера нельзя достучаться, отбрасывает пакеты, или Chain ufw-user-input не является обходом правил по умолчанию Chain INPUT (policy DROP)? Если вписать правило через iptables -A INPUT -p tcp --dport 22 -j ACCEPT в цепочку Chain INPUT , то сервер пускает, что за загвоздка такая с этим ufw ? Подскажите пожалуйста.

Оффлайн F12

  • Администратор
  • Старожил
  • *
  • Сообщений: 5193
    • Просмотр профиля

Оффлайн Wogel

  • Автор темы
  • Любитель
  • *
  • Сообщений: 64
    • Просмотр профиля
https://putty.org.ru/articles/change-default-sshd-port.html
https://www.digitalocean.com/community/tutorials/how-to-set-up-a-firewall-with-ufw-on-ubuntu-18-04-ru

ну а когда сервер за NAT, то ищем ещё и способы типа этого
после сброса брандмауера, первым делом добавил правила, как в руководстве по ссылкам:
ufw default deny incoming
ufw default allow outgoing
ufw allow ssh
putty не соединяется, тогда попробовал изменить правило ufw default allow incoming,
putty зашел на сервер, но не понятно, почему не заходил по ufw allow ssh,
теперь кроме ssh любой желающий может зайти на сервер, что недопустимо,
/etc/ssh/sshd_config вот в этом конфиге строка со значением Port 22 должна быть незакомментирована, а у меня закомментирована
#Port 22,
не могу понять в чем дело.

Оффлайн EvangelionDeath

  • Администратор
  • Старожил
  • *
  • Сообщений: 3487
  • Ubuntu 22.04 х64
    • Просмотр профиля
ufw default deny incoming
ufw default allow outgoing
ufw allow ssh
не могу понять в чем дело.
Ну реально? Давай-те на пальцах. Дверь заперта, а где-то там в конце помещения табличка - можно в красных куртках.
Наверное потому, что правила читаются по порядку и выполняется первое, которое подходит условию. И как же... по дефолту вы все закрыли!
HP Pro 840 G3: Intel i5-6300U, 32GB DDR4 2133MHz, Intel 520, Intel Pro 2500 180GB/Ubuntu 22.04
Dell Latitude 5590: Intel i5-8350U, 16GB DDR4 2400MHz, Intel 620, Samsung 1TB/Ubuntu 22.04

Оффлайн Wogel

  • Автор темы
  • Любитель
  • *
  • Сообщений: 64
    • Просмотр профиля
Chain INPUT (policy DROP)
num  target     prot opt source               destination

Chain FORWARD (policy DROP)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination
ufw default deny incoming
ufw default allow outgoing
ufw allow ssh
не могу понять в чем дело.
Ну реально? Давай-те на пальцах. Дверь заперта, а где-то там в конце помещения табличка - можно в красных куртках.
Наверное потому, что правила читаются по порядку и выполняется первое, которое подходит условию. И как же... по дефолту вы все закрыли!

я сначала разбирался с iptables, после reset, iptables -L выглядит так(цепочки по входу и передачи закрыты):
 
Chain INPUT (policy DROP)
num  target     prot opt source               destination

Chain FORWARD (policy DROP)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

по умолчанию на все цепочки DROP, а далее командами iptables -A добавляю правила в цепочки и при этом эти правила работают, не смотря на то, что цепочка по умолчанию DROP, а при использовании ufw, при добавлении правила ufw allow in 22/tcp , это правило добавляется не в Chain INPUT (policy DROP) как при команде iptable, а в пользовательскую цепочку Chain ufw-user-input.

И не могу никак врубиться как добавить своё правило и при этом чтобы по умолчанию для всех других приходящих пакетов доступ отсутствовал?

Оффлайн Usermaster

  • СуперМодератор
  • Старожил
  • *
  • Сообщений: 3120
    • Просмотр профиля
Используйте для настроийки или iptables или ufw.
Иначе нифига работать не будет, если будете в перемешку это делать.
Во всех инструкциях по настройке firewall это написано.
А чего это вы тут делаете, а?

Оффлайн Wogel

  • Автор темы
  • Любитель
  • *
  • Сообщений: 64
    • Просмотр профиля
Chain INPUT (policy DROP)
num  target     prot opt source               destination

Chain FORWARD (policy DROP)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination
так и думал
Используйте для настроийки или iptables или ufw.
Иначе нифига работать не будет, если будете в перемешку это делать.
Во всех инструкциях по настройке firewall это написано.
подскажите пожалуйста, я пользовался iptables и после этого использования , запуская надстройку ufw вставляется преамбула правил по умолчанию из iptables, т.е. :

Chain INPUT (policy DROP)
num  target     prot opt source               destination

Chain FORWARD (policy DROP)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

и потом уже идут правила ufw,  как сейчас можно эту преамбулу выкинуть из надстройки ufw? Если правильно понял, этой преамбулы в ufw быть не должно, именно она не дает корректно работать с ufw

Оффлайн bezbo

  • Старожил
  • *
  • Сообщений: 1808
    • Просмотр профиля

Оффлайн Wogel

  • Автор темы
  • Любитель
  • *
  • Сообщений: 64
    • Просмотр профиля

 

Страница сгенерирована за 0.033 секунд. Запросов: 25.