Регистрация Войти
Рейтинг:0
DrZaphod avatar Ubuntu

ufw не будет блокировать доступ к ssh от любого

флаг us
DrZaphod

Я создал правило, которое должно блокировать трафик со всех IP-адресов, кроме моего IP-адреса. На выделенном так я и думал но он не блокирует трафик. Я все еще могу получить доступ к SSH и 16000 с любого IP-адреса.Что я здесь делаю неправильно?

Вот так это выглядит в подробный статус ufw

Статус: активен
Ведение журнала: включено (низкий уровень)
По умолчанию: запрещать (входящие), разрешать (исходящие), отключенные (маршрутизируемые)
Новые профили: пропустить

К действию от
-- ------ ----
22/tcp (OpenSSH) РАЗРЕШИТЬ *Мой IP*
22/tcp (OpenSSH) DENY IN Anywhere
16000/tcp (Администрирование Filemaker) РАЗРЕШИТЬ *Мой IP*
16000/tcp (Администрация Filemaker) DENY IN Anywhere
80 443 5003/tcp (сервер Filemaker) РАЗРЕШИТЬ ВХОД В любом месте
22/tcp (OpenSSH (v6)) DENY IN Anywhere (v6)
16000/tcp (Администрирование Filemaker (v6)) DENY IN Anywhere (v6)
80 443 5003/tcp (Filemaker Server (v6)) РАЗРЕШИТЬ ВХОД В любом месте (v6)
202
0 + 5
SEWTGIYWTKHNTDS avatar
флаг cn
SEWTGIYWTKHNTDS
Является ли *МОЙ IP* общедоступным IP-адресом и является ли он отдельным хостом или сетевым адресом? Можете подробнее описать настройку вашей сети, используете ли вы NAT и переадресацию портов? Вы используете впн? Эти правила должны работать, поэтому я думаю, что проблема либо в поле *My IP*, либо в том, что источником пакетов всегда является ваш IP (это может быть вызвано соединениями NAT/VPN).
0
Ответить
DrZaphod avatar
флаг us
DrZaphod
Мой IP-адрес — это мой общедоступный IP-адрес перед маршрутизатором NAT. Компьютер с правилами брандмауэра находится в общедоступной сети с общедоступным IP-адресом. В этом сценарии нет VPN. Если я представлю свой NAT IP, меня должны заблокировать, а я нет. Когда я захожу на сервер, он показывает мой общедоступный IP-адрес и позволяет мне войти в компьютер с любого IP-адреса, который у меня есть.
0
Ответить
Doug Smythies avatar
флаг gn
Doug Smythies
ufw — это просто интерфейс для iptables. Опубликуйте получившийся набор правил iptables: `sudo iptables -xvnL` и `sudo iptables -t nat -xvnL`, хотя созданные ufw наборы правил трудно читать и следовать им.
0
Ответить
SEWTGIYWTKHNTDS avatar
флаг cn
SEWTGIYWTKHNTDS
Из того, что вы описываете, вы подключаетесь к серверу (который находится где-то в Интернете) из вашей локальной сети, которая находится за вашим маршрутизатором NAT. В этом сценарии сервер всегда будет видеть внешний IP-адрес вашего маршрутизатора, и вы сможете подключиться независимо от того, какой локальный IP-адрес у вас есть в вашей локальной сети (NAT переводит частные адреса, например, 192.168.0.x, в Интернет, обращенный к общедоступному адресу, удаленная система видит только внешний адрес и никогда не видит адрес 192.168.0.x). Я надеюсь, что я понял вашу конфигурацию и что это помогает.
1
Ответить
SEWTGIYWTKHNTDS avatar
флаг cn
SEWTGIYWTKHNTDS
Попробуйте просканировать свой сервер с помощью такого инструмента, как https://www.ipfingerprints.com/portscan.php. Я ожидаю, что он работает так, как вы хотите.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.