ufw блокирует исходящие вызовы на IP-адрес из белого списка

user2539602

16.10.2022, 19:07

Итак, вот сценарий.

В моей Ubuntu я хочу заблокировать весь исходящий трафик, кроме некоторых IP-адресов, что я делаю, добавляя правила ufw, и это работает нормально. Таким образом, службы, к которым я обращаюсь из Ubuntu, — это клиент MQTT, который прослушивает порт 1884 на другом сервере, IP-адрес которого я внес в белый список в ufw. Теперь это работает нормально, пока я не попытаюсь установить соединение с помощью безопасного MQTT на порту 1885, теперь это не работает, пока я не отключу свой брандмауэр один раз, и когда я снова включу его, он работает каждый раз. Здесь следует отметить, что IP-адрес сервера занесен в белый список в ufw. Так что это не имеет смысла. Если у вас есть идеи, дайте мне знать.

sudo ufw по умолчанию разрешает входящие
sudo ufw по умолчанию запрещает исходящий
sudo ufw разрешить 53
sudo ufw разрешить 60001
sudo ufw разрешить ntp
sudo ufw разрешает xx.xx.xx.xxx

теперь это работает до тех пор, пока я не использую простой клиент mqtt без tls, когда я пытаюсь включить tls-клиент mqtt, это не работает, но работает после отключения брандмауэра, подключения mqtt с tls, а затем повторного включения брандмауэра.

259

1 + 0

сервер

брандмауэр

сеть

Рейтинг:0

Ubuntu

rohtua

16.10.2022, 19:21

В UFW порядок правил имеет значение. Глядя на ваш список, у вас есть запрет на весь исходящий набор перед оператором разрешения. Итак, что произойдет, если, когда вы попытаетесь установить исходящее соединение, UFW проверит правила, чтобы увидеть, есть ли совпадение, и в этом случае первое совпадение, к которому оно придет, — это запрет на все исходящие соединения. Таким образом, он блокирует соединение и не проверяет наличие других совпадений.

Если вы отредактируете user.rules файл в

/etc/ufw/user.rules

Затем измените порядок правил таким образом, чтобы вы разрешили оператор, прежде чем запрещать все операторы, и это должно работать.

0 + 2

user2539602

16.10.2022, 19:55

что если я сделаю это ``` sudo ufw разрешить 53 sudo ufw разрешить 60001 sudo ufw разрешить xx.xx.xx.xx sudo ufw разрешить ntp sudo ufw по умолчанию разрешает входящие sudo ufw по умолчанию запрещает исходящий ```

Ответить

rohtua

16.10.2022, 19:57

Поскольку правила уже существуют в брандмауэре, при попытке их добавить будет просто указано, что существующее правило пропущено. Если вы погуглите, я думаю, что в ufw есть команды, которые могут изменить порядок, но я бы сказал, что гораздо проще просто отредактировать файл.

Ответить

Admin

Этот вопрос на других языках:

EN: ufw blocking outgoing calls to whitelisted ip address

TH: ufw บล็อกการโทรออกไปยังที่อยู่ IP ที่อนุญาตพิเศษ

RO: ufw blocarea apelurilor efectuate către adresa IP inclusă în lista albă

RU: ufw блокирует исходящие вызовы на IP-адрес из белого списка

VI: ufw chặn các cuộc gọi đi đến địa chỉ ip được liệt kê trong danh sách trắng

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.