Google Cloud: приходится вручную перезапускать ufw — что делать?

0

1

Продолжаю мучать Google Cloud Ubuntu.

Запустил там скрипт IKEv2 VPN, взятый отсюда: https://www.digitalocean.com/community/tutorials/how-to-set-up-an-ikev2-vpn-s...

И оно даже работает, но до первой перезагрузки сервера.

После остановки или перезагрузки к VPN подключается, но нет интернета. Если зайти по SSH и ввести:

sudo ufw disable
sudo ufw --force enable

То все начинает работать. И вывод sudo iptables-save разный до и после сего ритуала. Статус ufw до перезапуска - Status: active.

Почему так и что с этим можно сделать?

Ссылка

←	Соединение VPN установлено, но трафик идет мимо?

Блокировка мобильных устройств.

→

Как понимаю это не продакшин с ответственностью, не парься - добавь в кронтаб

@reboot ufw disable && ufw --force enable

Ну а по хоршему, смотри iptables -L -t nat, до и после, недостающее добавь

WoozyMasta ★
(18.09.18 23:44:13 MSK)

Ответ на: комментарий от WoozyMasta 18.09.18 23:44:13 MSK

Ну а по хоршему, смотри iptables -L -t nat, до и после, недостающее добавь

Вывод команды iptables -L -t nat одинаковый.

добавь в кронтаб

Добавил в /etc/crontab - не помогло.

Почему вообще не запускается автоматом? Ведь ufw запущен, какой смысл его перезапускать?

codecity
(19.09.18 11:39:39 MSK) автор топика

Сравни sysctl -a сразу после перезагрузки и после принудительного включения ufw

Pinkbyte ★★★★★
(19.09.18 20:47:42 MSK)

Ответ на: комментарий от codecity 19.09.18 11:39:39 MSK

Почему вообще не запускается автоматом? Ведь ufw запущен, какой смысл его перезапускать?

Есть такие сервисы, которые непосредственно в процессе своей работы добавляют/меняют правила netFilter - например, Docker. В этом случае пользоваться ufw (или там csf) без соответствующей подстройки уже не безопасно. Например, перезапуск csf (это аналог ufw) просто трет все докеровские правила в netFilter. Ну и наоборот - другой сервис может что-то подпортить в логике работы фаервольного фронтенда (типа ufw, csf), расчитанного на монопольное управление правилами netFilter.

~~vinvlad~~ ★★
(20.09.18 03:20:30 MSK)

Ссылка

Ответ на: комментарий от Pinkbyte 19.09.18 20:47:42 MSK

Да, спасибо, разница очевидна:

< net.ipv4.conf.all.accept_redirects = 1
---
> net.ipv4.conf.all.accept_redirects = 0
254c254
< net.ipv4.conf.all.forwarding = 0
---
> net.ipv4.conf.all.forwarding = 1
258c258
< net.ipv4.conf.all.log_martians = 1
---
> net.ipv4.conf.all.log_martians = 0
285c285
< net.ipv4.conf.default.forwarding = 0
---
> net.ipv4.conf.default.forwarding = 1
289c289
< net.ipv4.conf.default.log_martians = 1
---
> net.ipv4.conf.default.log_martians = 0
316c316
< net.ipv4.conf.ens4.forwarding = 0
---
> net.ipv4.conf.ens4.forwarding = 1
347c347
< net.ipv4.conf.lo.forwarding = 0
---
> net.ipv4.conf.lo.forwarding = 1
385c385
< net.ipv4.ip_forward = 0
---
> net.ipv4.ip_forward = 1

Внес в /etc/sysctl.conf значение net.ipv4.ip_forward=1 и все заработало. В инструкции это значение прадлагают внести в /etc/ufw/sysctl.conf

codecity
(20.09.18 16:37:48 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Соединение VPN установлено, но трафик идет мимо?

Admin

Блокировка мобильных устройств.

→

Похожие темы