Рейтинг:0

Server

Мои правила брандмауэра не работают

Harry

08.02.2023, 16:17

Я пытаюсь написать правила брандмауэра для регистрации сообщений, но они, похоже, не работают:

Прежде всего я добавил цепочку MY_LOG

-N МОЙ_ЛОГ

Затем я написал правило для перехода к цепочке MY_LOG при получении сообщения с IP-адресом назначения 192.168.1.132, портом назначения 79 и протоколом UDP:

-A ВХОД -d 192.168.1.132/32 -p udp -m udp --dport 79 -j MY_LOG

и, наконец, я написал правило для цепочки MY_LOG:

-A MY_LOG -m mark --mark 0x35 -j NFLOG --nflog-prefix "МОЙ ЖУРНАЛ" --nflog-group 30

Затем я отправляю сообщения на соответствующий IP-адрес и порт с помощью Netcat:

нк -у 192.168.1.132 79

но он ничего не регистрирует. Что я делаю не так? Какие-либо предложения?

Заранее большое спасибо!

0 + 0

жесткий диск

iptables

настройки

David W

08.02.2023, 16:21

Ваше правило IPTABLES предназначено для порта назначения 79, но ваша команда `nc -u` предназначена для порта 89.

Ответить

Harry

11.02.2023, 07:08

Извините, это была просто опечатка в отчете о команде, в моих тестах я использовал порт 79 с nc.

Ответить

Рейтинг:0

Server

No One

09.02.2023, 06:39

Следует помнить, что правила брандмауэра проверяются в порядке их перечисления. Ядро прекратит обработку цепочки, когда сработает правило, разрешающее или запрещающее пакет или соединение.

Я думаю, что наиболее распространенной ошибкой начинающих администраторов брандмауэра является то, что они следуют правильным инструкциям по добавлению нового правила, например, приведенному ниже:

[sudo] iptables -A INPUT -d 192.168.1.132/32 -p udp -m udp --dport 79 -j MY_LOG

а затем обнаружить, что это не вступит в силу.

Причина этого в том, что опция -A добавляет это новое правило, после всех существующих правил и поскольку очень часто последним правилом в существующем брандмауэре было правило, блокирующее весь трафик, который явно не разрешен, в результате

sudo iptables-сохранить
...
iptables -A ВВОД -j ОТКЛОНИТЬ
iptables -A INPUT -d 192.168.1.132/32 -p udp -m udp --dport 79 -j MY_LOG

и новое правило/цепочка никогда не будет достигнуто.

При вставке правила с -I новое правило будет первым в цепочке и будет работать.

0 + 0

Admin

Этот вопрос на других языках:

EN: My firewall rules are not working

TH: กฎไฟร์วอลล์ของฉันไม่ทำงาน

RO: Regulile mele pentru firewall nu funcționează

RU: Мои правила брандмауэра не работают

VI: Quy tắc tường lửa của tôi không hoạt động

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.