SSH не работает при включенном UFW

[Trulala]

Здравствуйте. У меня сервер VDS на Ubuntu 22.04. Вырубается SSH, пишу в техподдержку, они отключают UFW, SSH снова работает. Включаю UFW и через некоторое время SSH снова не работает. Техподдержка говорит настроить правила UFW.
Вот правила:
To             Action     From
--             ------     ----
80             ALLOW IN   Anywhere
443            ALLOW IN   Anywhere
22/tcp         ALLOW IN   Anywhere
80/tcp         ALLOW IN   Anywhere
21/tcp         ALLOW IN   Anywhere
80 (v6)        ALLOW IN   Anywhere (v6)
443 (v6)       ALLOW IN   Anywhere (v6)
22/tcp (v6)    ALLOW IN   Anywhere (v6)
80/tcp (v6)    ALLOW IN   Anywhere (v6)
21/tcp (v6)    ALLOW IN   Anywhere (v6)

Не понимаю, что не так с правилами. Помогите.

[bezbo]

Код: [Выделить]

sudo ufw status numbered
sudo iptables -L -v -n?

[Trulala]

sudo ufw status numbered

Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 80                         ALLOW IN    Anywhere                 
[ 2] 443                        ALLOW IN    Anywhere                 
[ 3] 22/tcp                     ALLOW IN    Anywhere                 
[ 4] 80/tcp                     ALLOW IN    Anywhere                 
[ 5] 21/tcp                     ALLOW IN    Anywhere                 
[ 6] 22                         ALLOW IN    Anywhere                 
[ 7] OpenSSH                    ALLOW IN    Anywhere                 
[ 8] 80 (v6)                    ALLOW IN    Anywhere (v6)             
[ 9] 443 (v6)                   ALLOW IN    Anywhere (v6)             
[10] 22/tcp (v6)                ALLOW IN    Anywhere (v6)             
[11] 80/tcp (v6)                ALLOW IN    Anywhere (v6)             
[12] 21/tcp (v6)                ALLOW IN    Anywhere (v6)             
[13] 22 (v6)                    ALLOW IN    Anywhere (v6)             
[14] OpenSSH (v6)               ALLOW IN    Anywhere (v6) 

Пользователь добавил сообщение 05 Июня 2025, 21:11:42:

sudo iptables -L -v -n

(Нажмите, чтобы показать/скрыть)

Chain INPUT (policy DROP 2747 packets, 229K bytes)
 pkts bytes target     prot opt in     out     source               destination         
10889 1282K ufw-before-logging-input  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
10889 1282K ufw-before-input  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
 2762  230K ufw-after-input  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
 2747  229K ufw-after-logging-input  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
 2747  229K ufw-reject-input  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
 2747  229K ufw-track-input  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 965K 1029M DOCKER-USER  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
 965K 1029M DOCKER-ISOLATION-STAGE-1  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      docker0  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
   17 14364 DOCKER     all  --  *      docker0  0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  docker0 !docker0  0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  docker0 docker0  0.0.0.0/0            0.0.0.0/0           
 480K  507M ACCEPT     all  --  *      amn0    0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
 6163  401K DOCKER     all  --  *      amn0    0.0.0.0/0            0.0.0.0/0           
 479K  521M ACCEPT     all  --  amn0   !amn0   0.0.0.0/0            0.0.0.0/0           
 6083  391K ACCEPT     all  --  amn0   amn0    0.0.0.0/0            0.0.0.0/0           
    0     0 ufw-before-logging-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ufw-before-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ufw-after-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ufw-after-logging-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ufw-reject-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ufw-track-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 6485 2275K ufw-before-logging-output  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
 6485 2275K ufw-before-output  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    3   228 ufw-after-output  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    3   228 ufw-after-logging-output  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    3   228 ufw-reject-output  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    3   228 ufw-track-output  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain DOCKER (2 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     udp  --  !amn0  amn0    0.0.0.0/0            172.29.172.2         udp dpt:42049
    2    92 ACCEPT     tcp  --  !amn0  amn0    0.0.0.0/0            172.29.172.3         tcp dpt:443
   54  3102 ACCEPT     tcp  --  !amn0  amn0    0.0.0.0/0            172.29.172.4         tcp dpt:443
   24  6862 ACCEPT     udp  --  !amn0  amn0    0.0.0.0/0            172.29.172.6         udp dpt:34165
    0     0 ACCEPT     udp  --  !amn0  amn0    0.0.0.0/0            172.29.172.5         udp dpt:4500
    0     0 ACCEPT     udp  --  !amn0  amn0    0.0.0.0/0            172.29.172.5         udp dpt:500

Chain DOCKER-ISOLATION-STAGE-1 (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DOCKER-ISOLATION-STAGE-2  all  --  docker0 !docker0  0.0.0.0/0            0.0.0.0/0           
 479K  521M DOCKER-ISOLATION-STAGE-2  all  --  amn0   !amn0   0.0.0.0/0            0.0.0.0/0           
 965K 1029M RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain DOCKER-ISOLATION-STAGE-2 (2 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      docker0  0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  *      amn0    0.0.0.0/0            0.0.0.0/0           
 479K  521M RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain DOCKER-USER (1 references)
 pkts bytes target     prot opt in     out     source               destination         
 965K 1029M RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain ufw-after-forward (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-after-input (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ufw-skip-to-policy-input  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:137
    0     0 ufw-skip-to-policy-input  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:138
    2    92 ufw-skip-to-policy-input  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:139
   13   748 ufw-skip-to-policy-input  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:445
    0     0 ufw-skip-to-policy-input  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:67
    0     0 ufw-skip-to-policy-input  udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:68
    0     0 ufw-skip-to-policy-input  all  --  *      *       0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type BROADCAST

Chain ufw-after-logging-forward (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "

Chain ufw-after-logging-input (1 references)
 pkts bytes target     prot opt in     out     source               destination         
  301 23669 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "

Chain ufw-after-logging-output (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-after-output (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-before-forward (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 3
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 11
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 12
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8
    0     0 ufw-user-forward  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain ufw-before-input (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
 7576 1019K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    6   365 ufw-logging-deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID
    6   365 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 3
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 11
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 12
    7   321 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spt:67 dpt:68
 3300  263K ufw-not-local  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            224.0.0.251          udp dpt:5353
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            239.255.255.250      udp dpt:1900
 3300  263K ufw-user-input  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain ufw-before-logging-forward (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-before-logging-input (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-before-logging-output (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-before-output (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
 6482 2274K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    3   228 ufw-user-output  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain ufw-logging-allow (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW ALLOW] "

Chain ufw-logging-deny (2 references)
 pkts bytes target     prot opt in     out     source               destination         
    6   365 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID limit: avg 3/min burst 10
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "

Chain ufw-not-local (1 references)
 pkts bytes target     prot opt in     out     source               destination         
 3300  263K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type LOCAL
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type MULTICAST
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type BROADCAST
    0     0 ufw-logging-deny  all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain ufw-reject-forward (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-reject-input (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-reject-output (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-skip-to-policy-forward (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain ufw-skip-to-policy-input (7 references)
 pkts bytes target     prot opt in     out     source               destination         
   15   840 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain ufw-skip-to-policy-output (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain ufw-track-forward (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-track-input (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-track-output (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW
    3   228 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW

Chain ufw-user-forward (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-user-input (1 references)
 pkts bytes target     prot opt in     out     source               destination         
   68  3372 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
    1  1378 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:443
  467 27928 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    2    80 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:21
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 /* 'dapp_OpenSSH' */

Chain ufw-user-limit (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 5 LOG flags 0 level 4 prefix "[UFW LIMIT BLOCK] "
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain ufw-user-limit-accept (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain ufw-user-logging-forward (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-user-logging-input (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-user-logging-output (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain ufw-user-output (1 references)
 pkts bytes target     prot opt in     out     source               destination 

[Smörman]

Что выдаст:

Код: [Выделить]

ss -tunlpс вкл. UFW и с выключенным?
SSH на 22 порту работает.

Здесь список портов по умолчанию:

(Нажмите, чтобы показать/скрыть)

Порты, используемые Plesk

[Trulala]

с вкл. UFW и с выключенным

off

(Нажмите, чтобы показать/скрыть)

/etc/default$ ss -tunlp
Netid State  Recv-Q Send-Q Local Address:Port  Peer Address:PortProcess                                                                                                                                                                                 
udp   UNCONN 0      0      127.0.0.53%lo:53         0.0.0.0:*    users:(("systemd-resolve",pid=550,fd=13))                                                                                                                                               
udp   UNCONN 0      0            0.0.0.0:42049      0.0.0.0:*    users:(("docker-proxy",pid=1436,fd=4))                                                                                                                                                 
udp   UNCONN 0      0            0.0.0.0:34165      0.0.0.0:*    users:(("docker-proxy",pid=1606,fd=4))                                                                                                                                                 
udp   UNCONN 0      0            0.0.0.0:4500       0.0.0.0:*    users:(("docker-proxy",pid=1640,fd=4))                                                                                                                                                 
udp   UNCONN 0      0            0.0.0.0:500        0.0.0.0:*    users:(("docker-proxy",pid=1663,fd=4))                                                                                                                                                 
udp   UNCONN 0      0               [::]:42049         [::]:*    users:(("docker-proxy",pid=1450,fd=4))                                                                                                                                                 
udp   UNCONN 0      0               [::]:34165         [::]:*    users:(("docker-proxy",pid=1610,fd=4))                                                                                                                                                 
udp   UNCONN 0      0               [::]:4500          [::]:*    users:(("docker-proxy",pid=1644,fd=4))                                                                                                                                                 
udp   UNCONN 0      0               [::]:500           [::]:*    users:(("docker-proxy",pid=1669,fd=4))                                                                                                                                                 
tcp   LISTEN 0      151        127.0.0.1:3306       0.0.0.0:*    users:(("mysqld",pid=1001,fd=24))                                                                                                                                                       
tcp   LISTEN 0      4096       127.0.0.1:40427      0.0.0.0:*    users:(("containerd",pid=956,fd=11))                                                                                                                                                   
tcp   LISTEN 0      70         127.0.0.1:33060      0.0.0.0:*    users:(("mysqld",pid=1001,fd=21))                                                                                                                                                       
tcp   LISTEN 0      128          0.0.0.0:22         0.0.0.0:*    users:(("sshd",pid=969,fd=3))                                                                                                                                                           
tcp   LISTEN 0      4096   127.0.0.53%lo:53         0.0.0.0:*    users:(("systemd-resolve",pid=550,fd=14))                                                                                                                                               
tcp   LISTEN 0      4096         0.0.0.0:443        0.0.0.0:*    users:(("docker-proxy",pid=1564,fd=4))                                                                                                                                                 
tcp   LISTEN 0      4096         0.0.0.0:5443       0.0.0.0:*    users:(("docker-proxy",pid=1498,fd=4))                                                                                                                                                 
tcp   LISTEN 0      511                *:80               *:*    users:(("apache2",pid=5614,fd=4),("apache2",pid=1000,fd=4),("apache2",pid=999,fd=4),("apache2",pid=998,fd=4),("apache2",pid=997,fd=4),("apache2",pid=996,fd=4),("apache2",pid=978,fd=4))
tcp   LISTEN 0      128             [::]:22            [::]:*    users:(("sshd",pid=969,fd=4))                                                                                                                                                           
tcp   LISTEN 0      4096            [::]:443           [::]:*    users:(("docker-proxy",pid=1568,fd=4))                                                                                                                                                 
tcp   LISTEN 0      4096            [::]:5443          [::]:*    users:(("docker-proxy",pid=1502,fd=4))   

on

(Нажмите, чтобы показать/скрыть)

/etc/default$ ss -tunlp
Netid State  Recv-Q Send-Q Local Address:Port  Peer Address:PortProcess                                                                                                                                                                                 
udp   UNCONN 0      0      127.0.0.53%lo:53         0.0.0.0:*    users:(("systemd-resolve",pid=550,fd=13))                                                                                                                                               
udp   UNCONN 0      0            0.0.0.0:42049      0.0.0.0:*    users:(("docker-proxy",pid=1436,fd=4))                                                                                                                                                 
udp   UNCONN 0      0            0.0.0.0:34165      0.0.0.0:*    users:(("docker-proxy",pid=1606,fd=4))                                                                                                                                                 
udp   UNCONN 0      0            0.0.0.0:4500       0.0.0.0:*    users:(("docker-proxy",pid=1640,fd=4))                                                                                                                                                 
udp   UNCONN 0      0            0.0.0.0:500        0.0.0.0:*    users:(("docker-proxy",pid=1663,fd=4))                                                                                                                                                 
udp   UNCONN 0      0               [::]:42049         [::]:*    users:(("docker-proxy",pid=1450,fd=4))                                                                                                                                                 
udp   UNCONN 0      0               [::]:34165         [::]:*    users:(("docker-proxy",pid=1610,fd=4))                                                                                                                                                 
udp   UNCONN 0      0               [::]:4500          [::]:*    users:(("docker-proxy",pid=1644,fd=4))                                                                                                                                                 
udp   UNCONN 0      0               [::]:500           [::]:*    users:(("docker-proxy",pid=1669,fd=4))                                                                                                                                                 
tcp   LISTEN 0      151        127.0.0.1:3306       0.0.0.0:*    users:(("mysqld",pid=1001,fd=24))                                                                                                                                                       
tcp   LISTEN 0      4096       127.0.0.1:40427      0.0.0.0:*    users:(("containerd",pid=956,fd=11))                                                                                                                                                   
tcp   LISTEN 0      70         127.0.0.1:33060      0.0.0.0:*    users:(("mysqld",pid=1001,fd=21))                                                                                                                                                       
tcp   LISTEN 0      128          0.0.0.0:22         0.0.0.0:*    users:(("sshd",pid=969,fd=3))                                                                                                                                                           
tcp   LISTEN 0      4096   127.0.0.53%lo:53         0.0.0.0:*    users:(("systemd-resolve",pid=550,fd=14))                                                                                                                                               
tcp   LISTEN 0      4096         0.0.0.0:443        0.0.0.0:*    users:(("docker-proxy",pid=1564,fd=4))                                                                                                                                                 
tcp   LISTEN 0      4096         0.0.0.0:5443       0.0.0.0:*    users:(("docker-proxy",pid=1498,fd=4))                                                                                                                                                 
tcp   LISTEN 0      511                *:80               *:*    users:(("apache2",pid=5614,fd=4),("apache2",pid=1000,fd=4),("apache2",pid=999,fd=4),("apache2",pid=998,fd=4),("apache2",pid=997,fd=4),("apache2",pid=996,fd=4),("apache2",pid=978,fd=4))
tcp   LISTEN 0      128             [::]:22            [::]:*    users:(("sshd",pid=969,fd=4))                                                                                                                                                           
tcp   LISTEN 0      4096            [::]:443           [::]:*    users:(("docker-proxy",pid=1568,fd=4))                                                                                                                                                 
tcp   LISTEN 0      4096            [::]:5443          [::]:*    users:(("docker-proxy",pid=1502,fd=4))                                                                                                                                                 

[Smörman]

Разницы я не вижу, что с ним, что без него, 22 порт под SSH только.
А вот вывод iptables конечно впечатляет!
А что, хоть, напихано куча правил?
Какие задачи выполняются вообще?
В Докер поставлено что-то, вижу, а UFW зачем прописан в Iptables?
Если есть Iptables активный, зачем ещё UFW и тем паче его в правила Iptables прописывать?
UFW по факту - это тоже, что Iptables, только в более простом исполнении, более понятном исполнении.

[ALiEN]

UFW зачем прописан в Iptables?

UFW это обёртка над iptables/nftables. Естественно, он туда прописан.

[Smörman]

UFW это обёртка над iptables/nftables. Естественно, он туда прописан.

Про обёртку точнее конечно и правильнее сформулировано, я бы сказал надстройка.

У меня на серваках установлены и iptables и ufw по умолчанию, при выводе правил iptables для ufw нет ничего:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

root@my-vps:~# iptables -L -v -n
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
6031K 6819M DOCKER-USER  0    --  *      *       0.0.0.0/0            0.0.0.0/0           
6031K 6819M DOCKER-FORWARD  0    --  *      *       0.0.0.0/0            0.0.0.0/0           
4695K 6495M ACCEPT     0    --  ens6   wg0     0.0.0.0/0            0.0.0.0/0           
1336K  325M ACCEPT     0    --  wg0    *       0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain DOCKER (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       0    --  !docker0 docker0  0.0.0.0/0            0.0.0.0/0           

Chain DOCKER-BRIDGE (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DOCKER     0    --  *      docker0  0.0.0.0/0            0.0.0.0/0           

Chain DOCKER-CT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     0    --  *      docker0  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED

Chain DOCKER-FORWARD (1 references)
 pkts bytes target     prot opt in     out     source               destination         
6031K 6819M DOCKER-CT  0    --  *      *       0.0.0.0/0            0.0.0.0/0           
6031K 6819M DOCKER-ISOLATION-STAGE-1  0    --  *      *       0.0.0.0/0            0.0.0.0/0           
6031K 6819M DOCKER-BRIDGE  0    --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     0    --  docker0 *       0.0.0.0/0            0.0.0.0/0           

Chain DOCKER-ISOLATION-STAGE-1 (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DOCKER-ISOLATION-STAGE-2  0    --  docker0 !docker0  0.0.0.0/0            0.0.0.0/0           

Chain DOCKER-ISOLATION-STAGE-2 (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       0    --  *      docker0  0.0.0.0/0            0.0.0.0/0           

Chain DOCKER-USER (1 references)
 pkts bytes target     prot opt in     out     source               destination

т.к. ufw в режиме disabled, т.е. отключен, за ненадобностью, т.к. всё настроено в iptables.

И при этом, все правила Iptables для Wireguard (wg0) например прописаны не в Iptables, а в самом конфиге WG (wg0.conf) через:

Код: [Выделить]

PostUp
PostDown
PreDownи запускаются/выключаются они в Iptables со запуском/выключением WG, например:

Код: [Выделить]

PostUp = iptables -A FORWARD -i %i -j ACCEPT
PostDown = iptables -D FORWARD -i %i -j ACCEPTчто освобождает нас от прописывания данных правил в самой Iptables.

У ТС в правилах Iptables, куча ограничительных правил для UFW понаписано зачем-то, хотя в самом UFW всё разрешено и поэтому при включении UFW идёт конфликт между ними (правилами), поэтому и отрубает SSH и может не только его...
Везде в манах категорически говорится, что вместе их использовать нельзя, дабы избежать вот этих самых конфликтов.
Либо Iptables, либо UFW, другого не дано...
Поэтому сюппорт ТС и отключает UFW.

[Trulala]

Либо Iptables, либо UFW, другого не дано

Вы советуете отключить UFW? Это не повлияет на безопасность?

[Smörman]

Это не повлияет на безопасность?

Каким образом?!
У вас Iptables настроен от и до, и даже нагорожено с UFW зачем-то, непонятно зачем, я скидывал свой выхлоп со своего сервака с отключенным UFW, ощутите разницу!
Всё работает на УРА!

Легко нахухливается, что - работа Iptables и UFW вместе категорически НЕЛЬЗЯ!!!
Ибо конфликты правил, поэтому ваш сюппорт и отключает UFW, а вы снова пытаетесь его втулить!
Зачем?!
Если вы хотите некие правила, то ищите их вариант под Iptables или наоборот, все правила онли в UFW, а Iptables отключить.
Другого не дано.
Вместе они работать не должны.
Или один, или другой.

[ALiEN]

У меня на серваках установлены и iptables и ufw по умолчанию, при выводе правил iptables для ufw нет ничего:

А почему пакеты input/output по нулям? Да и policy везде accept. Нужен ли вообще iptables в таком случае?

(Нажмите, чтобы показать/скрыть)

$: sudo iptables -nvL
Chain INPUT (policy DROP 4036 packets, 198K bytes)
 pkts bytes target     prot opt in     out     source               destination
 163K 7038K REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set bad-ip src reject-with icmp-port-unreachable
  458 21124 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID
  27M  125G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
 4009  255K ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
 102K 6118K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443,38388 ctstate NEW
97793 6726K ACCEPT     all  --  !ens3  *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 22M packets, 125G bytes)
 pkts bytes target     prot opt in     out     source               destination

[Smörman]

А почему пакеты input/output по нулям?

Ну, как же?
А это из вывода?

Код: [Выделить]

Chain INPUT (policy DROP 4036 packets, 198K bytes)
Chain OUTPUT (policy ACCEPT 22M packets, 125G bytes)и не только...

Код: [Выделить]

458 21124 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID
27M  125G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHEDМегабайты/Гигабайты...
Всё нормуль!

[ALiEN]

Smörman, Это я про ваш спойлер =) Мой спойлер для примера привел.

[Smörman]

Нужен ли вообще iptables в таком случае?

Кстати резонный вопрос!

Мониторил я...
Много чего из разных утилит, прог и пр. работают прекрасно на серваках и с отключенными Iptables/UFW, как бы не казалось странным.
А ларчик прост на самом деле.
У хостеров оооочень часто на серверах своих с VPS/VDS и пр. присутствует External Firewall (чаще всего на основе Plesk), т.е., чтобы ты не настроил на самом своём Internal VPS/VDS и пр. всё это до звезды!
Но!
Как правило, порты и IP из коробки, базовые:
443
80
22
и пр.
они по умолчанию в External Firewall включены (я кидал выше ссылку на открытые по умолчанию порты в Plesk)
Пока ты в Панели управления серваком/ЛК не откроешь порты те же или IP, всё до звезды с настройками Iptables/UFW.
Я писал об этом недавно здесь в нашей теме закрытой на примере дойч-хостера, где я взял сервак (кстати по наколке нашего уважаемого Товарища там же в теме).
И будет disabled Iptables/UFW на своём VPS/VDS и пр., а в Панели управления серваком/ЛК будут активированы порты/IP, будет всё работать!
Вот такие приколы...
Пользователь добавил сообщение 06 Июня 2025, 19:50:20:

Это я про ваш спойлер

Так у меня тоже, если приглядеться есть меги/гиги 
Вот свежачок, сынок цельный день шпилится в игрища и Дискорд:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

sudo iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
6266K 7044M DOCKER-USER  0    --  *      *       0.0.0.0/0            0.0.0.0/0           
6266K 7044M DOCKER-FORWARD  0    --  *      *       0.0.0.0/0            0.0.0.0/0           
4873K 6710M ACCEPT     0    --  ens6   wg0     0.0.0.0/0            0.0.0.0/0           
1393K  335M ACCEPT     0    --  wg0    *       0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain DOCKER (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       0    --  !docker0 docker0  0.0.0.0/0            0.0.0.0/0           

Chain DOCKER-BRIDGE (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DOCKER     0    --  *      docker0  0.0.0.0/0            0.0.0.0/0           

Chain DOCKER-CT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     0    --  *      docker0  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED

Chain DOCKER-FORWARD (1 references)
 pkts bytes target     prot opt in     out     source               destination         
6266K 7044M DOCKER-CT  0    --  *      *       0.0.0.0/0            0.0.0.0/0           
6266K 7044M DOCKER-ISOLATION-STAGE-1  0    --  *      *       0.0.0.0/0            0.0.0.0/0           
6266K 7044M DOCKER-BRIDGE  0    --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     0    --  docker0 *       0.0.0.0/0            0.0.0.0/0           

Chain DOCKER-ISOLATION-STAGE-1 (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DOCKER-ISOLATION-STAGE-2  0    --  docker0 !docker0  0.0.0.0/0            0.0.0.0/0           

Chain DOCKER-ISOLATION-STAGE-2 (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       0    --  *      docker0  0.0.0.0/0            0.0.0.0/0           

Chain DOCKER-USER (1 references)
 pkts bytes target     prot opt in     out     source               destination

Но рулит на этом дойч-серваке External Firewall в основном.
В выхлопе есть правила, добавленные не в сам Iptables, а из конфига WG, о чём я писал выше...

Сына через Marzban (VLESS) шпилит (в DOCKER установлена...), а я через WG+Wstunnel, что видно по выхлопу...

[Trulala]

месте они работать не должны.

Я отключил UFW. Посмотрим, что будет. А вам спасибо за помощь.