Tag: 防火墙

配置UFW以仅允许已建立和相关的连接（在IPv4上）: 我想配置ufw拒绝除相关和已建立的连接之外的所有内容。在iptables上我经常这样做： -P INPUT DROP -P FORWARD DROP -P OUTPUT ACCEPT -A INPUT -m state –state NEW,ESTABLISHED -j ACCEPT -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT 我读到ufw上的下一个代码密切相关： ufw default deny incoming ufw default deny forwarding ufw default allow outgoing ufw allow 443/tcp ufw allow 53/tcp ……………. 问题是，使用ufw代码，我允许从该端口传入的所有流量。使用iptables，只允许建立的连接。我如何在ufw上配置相同的规则？

在ufw中允许传出多播的问题: 我在配置简单防火墙（ufw）以允许传出多播流量时遇到问题。我阻止所有传入和传出连接作为默认策略。我补充了下面列出的规则。但是，每次启动系统后，我都会重复这些错误消息两次：错误（启动时重复两次）： [UFW BLOCK] IN = OUT = eth0 SRC = 192.168.0.2 DST = 224.0.0.22 LEN = 40 TOS = 0x00 PREC = 0xC0 TTL = 1 ID = 0 DF PROTO = 2 [UFW BLOCK] IN = OUT = eth0 SRC = fe80：0000：0000：0000：f66d：feee：feee：feee DST = ff02：0000：0000：0000：0000：0000：0000：0002 LEN = 56 TC = […]

UFW，允许从wlan到eth: 我想用我的ubuntu 12.04笔记本作为我的smatphone的wifi hotsport。一切顺利，使用dnsmasq和hostapd并允许UFW上的端口68和53。但要访问网络，必须禁用UFW。连接正常（wifi连接，IP正确接收，dns查询转发…）在UFW完整日志中，我看到： Oct 3 17:09:41 ccd-7840l kernel: [28302.397796] [UFW AUDIT] IN=wlan1 OUT=eth8 MAC=8c:…:00 SRC=192.168.0.59 DST=74.125.234.196 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=22391 DF PROTO=TCP SPT=46279 DPT=443 WINDOW=14600 RES=0x00 SYN URGP=0 Oct 3 17:09:41 ccd-7840l kernel: [28302.397841] [UFW BLOCK] IN=wlan1 OUT=eth8 MAC=8c:…:00 SRC=192.168.0.59 DST=74.125.234.196 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=22391 DF PROTO=TCP SPT=46279 DPT=443 WINDOW=14600 […]

ufw如何处理冲突的规则？: 我最近在ufw上有以下相互矛盾的规则 445 / tcp允许192.168.1.0/24 445 DENY任何地方 445 DENY在IPV6的任何地方因为我先阻止了445，然后只在我的子网上允许它。我这样做是本地网络上samba配置的一部分，我注意到这些冲突的规则并没有影响我的一些设备（2台和连接到samba服务器的PlayStation），但影响了连接到服务器的Android手机。我可以在这里做一些测试来试图推断ufw如何处理那些“冲突的规则”，但是我可能会在这里获得更准确的答案= D 你是否会在DENYs之上覆盖ALLOWS？或者它如何处理这些类型的冲突？

阻止远程登录: 昨晚，我正在关闭我的服务器，我看到一条消息，询问我是否要关闭“pts / 0”会话。奇怪，我想。所以我重新登录并做了一个finger ，发现有人从远程IP地址（意大利语地址）登录，他们发出了大量的scanssh命令。他们还更改了他们登录的帐户的密码（这是我孩子的帐户，密码很容易猜到 – 他只有6个！）。好吧，所以我把一些端口打开了 – 完全是我的错。我很幸运，帐户有限。帐户的主文件夹中还有一个名为W2ksp3.exe （或类似名称）的文件。所以我猜有人正在使用我的服务器寻找受到破坏的Windows电脑。所以，我的网络看起来像这样： internet – eth0 – server – eth1 – 局域网这是被破坏的服务器。服务器使用dnsmasq进行DNS查找，使用DHCP服务器进行LAN。这引出了两个问题：如何配置防火墙（ iptables ？）来阻止eth0所有内容，除了http，传出ftp，电子邮件和访问互联网所需的任何其他内容？如何通过eth0停止登录，但允许通过eth1登录

如何设置GUFW以便只有firefox连接到互联网: 我只想打开http，https和DNS。我在UFW GUI中设置端口范围时遇到了麻烦。如何在场中输入配置？基本上，有些东西，但在GUFW，因为我正在尝试转换我讨厌命令行的Windows偏执兄弟。 iptables -I OUTPUT -p tcp –dport 80 –sport 32768：61000 -j ACCEPT iptables -I OUTPUT -p udp –dport 53 –sport 32768：61000 -j ACCEPT iptables -I OUTPUT -p tcp –dport 443 –sport 32768：61000 -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -I OUTPUT -p icmp -j DROP iptables -I INPUT […]

互动防火墙: 我有Ubuntu Server 10.04用作iptables的路由器/防火墙。 LAN中也有许多客户端计算机。到现在为止还挺好。现在我需要的是服务器上的某种交互式防火墙软件，我可以打开它，它会让我允许/禁止从我的特定局域网PC通过防火墙到互联网的传出连接（从控制台）。最终目标是暂停所有可疑的连接/呼叫到家。目前，这项工作是在每台MacOS计算机上使用Little Snitch完成的，这会导致每个客户端的额外负载，以监控传出流量（更不用说它是付费应用）。所以我想也许可以将它集中在我的Ubuntu服务器上。

如何为UFW找到网络扫描器的端口: 三星多function设备SXC 3205w与我的Ubuntu 12.04完美配合，我可以通过网络进行扫描和打印，但仅限于防火墙被禁用时。如何找出在UFW中启用哪个端口以使此打印机工作并启用防火墙？

Apache（和其他服务）可以在localhost上工作，但不能在IP地址上工作: 我的Apache服务器在端口80上正常工作。当我尝试在端口443上启用SSL时，我可以通过localhost（telnet localhost 443）连接，但不能通过IP地址（telnet xxx.xxx.xxx.xxx 443）连接。为了找出问题所在，我使用了默认端口80 config并将引用更改为端口443.结果相同。改回80，它工作正常。这让我觉得有防火墙问题，而不是配置问题。但我没有防火墙规则。此网站还在使用相同Linux版本的虚拟机，在Virtualbox下为12.04 Precise 64位。我在/ etc / apache2目录下tar并将其放在Amazon EC2实例上，我得到了描述的行为 – 端口80工作，443只有localhost。我不是专家，但不是新手。难过半天，想出时间伸手，也许其他人可以帮助/受益。我错过了一些简单的东西，或者我有什么新的东西要打开443端口？ ports.conf： NameVirtualHost *:80 Listen 80 Listen 443 在启用站点的默认-ssl ServerName mysite.mydomain.com:443 … more irrelevant stuff 请注意，如果我只启用default-ssl并将443更改为80，则可以正常工作所以，这让我觉得没有Apache配置问题，但有些防火墙问题。但我没有启用防火墙。 ubuntu@ip-xx-xx-xx-xx:/etc/apache2/sites-enabled$ sudo iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain […]

UFW – 允许IP地址范围？: 我可以使用UFW防火墙添加规则，允许单个已知的IP 192.168.1.32在Ubuntu 14.04上使用以下命令访问我的测试网络服务器（ 192.168.1.48 （在本地主要受信任的网络上））： sudo ufw allow proto tcp from 192.168.1.23 to 192.168.1.48 port 80 有没有办法可以添加一系列收件人（例如192.168.1.30-192.168.1.50以允许我当前网络上的更多机器）？使用192.168.1.30-192.168.1.50和192.168.1.30-192.168.1.50不起作用并导致ERROR: Bad source address 。