Почему ufw не работает?

0

2

Не пинайте, это мой первый опыт.

сервер на бубунте 24
поставил ufw, включил службу, включил его самого, закрыл порт, дефолтная политика deny incoming

но порт остается быть доступным

в таблицах вижу такое

Chain ufw-user-input (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:1122
ACCEPT     udp  --  anywhere             anywhere             udp dpt:1122
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     udp  --  anywhere             anywhere             udp dpt:80
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     udp  --  anywhere             anywhere             udp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:postgresql
ACCEPT     udp  --  anywhere             anywhere             udp dpt:5432
DROP       tcp  --  anywhere             anywhere             tcp dpt:tproxy
DROP       udp  --  anywhere             anywhere             udp dpt:8081

Chain ufw-user-limit (0 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warn prefix "[UFW LIMIT BLOCK] "
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain ufw-user-limit-accept (0 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

это отрывок. меня смущает самая последняя указанная здесь строка - она идет ниже всех запретов, которые установились ufw. Это причина? или как это все работает?

←	openvpn требует PEM-пароль при запуске

TrueNAS + WebDAV = не пускает

→

Ты самое главное не показал - таблицу INPUT. Смотри её и всё куда она ссылается.

А вообще ufw ненужно, настраивай правила без прокладок.

firkax ★★★★★
(27.11.24 10:49:22 MSK)

Лучше вывод iptables-save приложи, он информативней

меня смущает самая последняя указанная здесь строк

Chain ufw-user-limit-accept (0 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

Надо искать когда и при каких условиях трафик в ufw-user-limit-accept попадает

Kolins ★★★★
(27.11.24 12:03:36 MSK)
Последнее исправление: Kolins 27.11.24 12:03:45 MSK (всего исправлений: 1)

Ответ на: комментарий от firkax 27.11.24 10:49:22 MSK

это подходит для анализа ситуации?

# iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N DOCKER
-N DOCKER-ISOLATION-STAGE-1
-N DOCKER-ISOLATION-STAGE-2
-N DOCKER-USER
-N ufw-after-forward
-N ufw-after-input
-N ufw-after-logging-forward
-N ufw-after-logging-input
-N ufw-after-logging-output
-N ufw-after-output
-N ufw-before-forward
-N ufw-before-input
-N ufw-before-logging-forward
-N ufw-before-logging-input
-N ufw-before-logging-output
-N ufw-before-output
-N ufw-logging-allow
-N ufw-logging-deny
-N ufw-not-local
-N ufw-reject-forward
-N ufw-reject-input
-N ufw-reject-output
-N ufw-skip-to-policy-forward
-N ufw-skip-to-policy-input
-N ufw-skip-to-policy-output
-N ufw-track-forward
-N ufw-track-input
-N ufw-track-output
-N ufw-user-forward
-N ufw-user-input
-N ufw-user-limit
-N ufw-user-limit-accept
-N ufw-user-logging-forward
-N ufw-user-logging-input
-N ufw-user-logging-output
-N ufw-user-output
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j DOCKER-USER
-A FORWARD -j DOCKER-ISOLATION-STAGE-1
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A FORWARD -o br-f611ea8d14e9 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o br-f611ea8d14e9 -j DOCKER
-A FORWARD -i br-f611ea8d14e9 ! -o br-f611ea8d14e9 -j ACCEPT
-A FORWARD -i br-f611ea8d14e9 -o br-f611ea8d14e9 -j ACCEPT
-A FORWARD -o br-1259d3a45b48 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o br-1259d3a45b48 -j DOCKER
-A FORWARD -i br-1259d3a45b48 ! -o br-1259d3a45b48 -j ACCEPT
-A FORWARD -i br-1259d3a45b48 -o br-1259d3a45b48 -j ACCEPT
-A FORWARD -o br-95788828eb6d -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o br-95788828eb6d -j DOCKER
-A FORWARD -i br-95788828eb6d ! -o br-95788828eb6d -j ACCEPT
-A FORWARD -i br-95788828eb6d -o br-95788828eb6d -j ACCEPT
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A DOCKER -d 172.18.0.2/32 ! -i br-95788828eb6d -o br-95788828eb6d -p tcp -m tcp --dport 5000 -j ACCEPT
-A DOCKER -d 172.19.0.2/32 ! -i br-1259d3a45b48 -o br-1259d3a45b48 -p tcp -m tcp --dport 5432 -j ACCEPT
-A DOCKER -d 172.19.0.3/32 ! -i br-1259d3a45b48 -o br-1259d3a45b48 -p tcp -m tcp --dport 8080 -j ACCEPT
-A DOCKER -d 172.19.0.3/32 ! -i br-1259d3a45b48 -o br-1259d3a45b48 -p tcp -m tcp --dport 8282 -j ACCEPT
-A DOCKER -d 172.19.0.4/32 ! -i br-1259d3a45b48 -o br-1259d3a45b48 -p tcp -m tcp --dport 80 -j ACCEPT
-A DOCKER -d 172.20.0.4/32 ! -i br-f611ea8d14e9 -o br-f611ea8d14e9 -p tcp -m tcp --dport 80 -j ACCEPT
-A DOCKER -d 172.20.0.4/32 ! -i br-f611ea8d14e9 -o br-f611ea8d14e9 -p tcp -m tcp --dport 81 -j ACCEPT
-A DOCKER -d 172.20.0.4/32 ! -i br-f611ea8d14e9 -o br-f611ea8d14e9 -p tcp -m tcp --dport 443 -j ACCEPT
-A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -i br-1259d3a45b48 ! -o br-1259d3a45b48 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -i br-f611ea8d14e9 ! -o br-f611ea8d14e9 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -i br-95788828eb6d ! -o br-95788828eb6d -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -j RETURN
-A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -o br-1259d3a45b48 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -o br-f611ea8d14e9 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -o br-95788828eb6d -j DROP
-A DOCKER-ISOLATION-STAGE-2 -j RETURN
-A DOCKER-USER -j RETURN
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j DROP
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 1122 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 1122 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 80 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 80 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 443 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 443 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 5432 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 5432 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 8081 -j DROP
-A ufw-user-input -p udp -m udp --dport 8081 -j DROP
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT

bvn13 ★★★★★
(27.11.24 14:34:18 MSK) автор топика

Ответ на: комментарий от Kolins 27.11.24 12:03:36 MSK

посмотри, пожалуйста, я вывод в Почему ufw не работает? (комментарий) приложил

bvn13 ★★★★★
(27.11.24 14:34:46 MSK) автор топика

Ответ на: комментарий от bvn13 27.11.24 14:34:18 MSK

Теперь расположи цепочки ufw в этом порядке:

-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input

одну за другой и будет видно в каком порядке применяются правила, и думаю всё станет ясно. Мне лень.

А ещё я вижу у тебя там докер, он часто портит файрволл, попробуй его выключить.

firkax ★★★★★
(27.11.24 14:43:05 MSK)

Ответ на: комментарий от firkax 27.11.24 14:43:05 MSK

что значит «расположить цепочки в порядке»? ты хочешь, чтобы я обновил ип-таблицы? я не делаю этого вручную. ожидал, что ufw это сделает.

в докере я попытался отключить руление ип-таблицами

bvn13 ★★★★★
(27.11.24 15:19:07 MSK) автор топика

Ответ на: комментарий от firkax 27.11.24 14:43:05 MSK

-A INPUT -j ufw-before-logging-input

-A INPUT -j ufw-before-input
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-user-input -p tcp -m tcp --dport 1122 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 1122 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 80 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 80 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 443 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 443 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 5432 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 5432 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 8081 -j DROP
-A ufw-user-input -p udp -m udp --dport 8081 -j DROP

-A INPUT -j ufw-after-input
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input

-A INPUT -j ufw-after-logging-input
-A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "

-A INPUT -j ufw-reject-input

-A INPUT -j ufw-track-input

расположил

bvn13 ★★★★★
(27.11.24 15:29:29 MSK) автор топика
Последнее исправление: bvn13 27.11.24 15:31:16 MSK (всего исправлений: 2)

Ответ на: комментарий от bvn13 27.11.24 15:29:29 MSK

Какой именно порт закрыт? 8081? Ты его не с того же самого компа проверяешь?

firkax ★★★★★
(27.11.24 18:29:12 MSK)

Ответ на: комментарий от firkax 27.11.24 10:49:22 MSK

А вообще ufw ненужно

Ну конечно, единственный фаервол с вменяемым управлением не нужен, шути ещё.

Pohmetolog
(27.11.24 19:21:36 MSK)

Ответ на: комментарий от Pohmetolog 27.11.24 19:21:36 MSK

Файрвол находится в ядре, если ты не знал, а ufw всего лишь обёртка к iptables.

firkax ★★★★★
(27.11.24 19:55:00 MSK)

Ответ на: комментарий от firkax 27.11.24 19:55:00 MSK

Файрвол находится в ядре, если ты не знал, а ufw всего лишь обёртка к iptables.

Это кагбе очевидно и всем известно, следующий раз лучше промолчи, за умного сойдёшь.

Pohmetolog
(27.11.24 20:00:18 MSK)

Ответ на: комментарий от Pohmetolog 27.11.24 20:00:18 MSK

Если тебе это было и так очевидно то нечего обманывать окружающих на тему что это якобы файрволл.

firkax ★★★★★
(27.11.24 20:11:14 MSK)

Ответ на: комментарий от Pohmetolog 27.11.24 19:21:36 MSK

С появлением nftables все эти обёртки, избавляющие от мерзкого синтаксиса iptables, стали не нужны.

anonymous
(27.11.24 20:12:07 MSK)

Ответ на: комментарий от firkax 27.11.24 18:29:12 MSK

я проверяю на нем, да. пробовал и удалять, чтобы дефолтное закрытие всех входящих проверить, и явно deny - все равно порт открыт. проверяю, конечно же, с другой, внешней машины: nmap и просто из браузера

bvn13 ★★★★★
(27.11.24 20:38:59 MSK) автор топика

Ответ на: комментарий от anonymous 27.11.24 20:12:07 MSK

$ iptables --version
iptables v1.8.10 (nf_tables)

bvn13 ★★★★★
(27.11.24 20:47:42 MSK) автор топика

Ответ на: комментарий от bvn13 27.11.24 20:38:59 MSK

iptables -nvL

эта команда покажет счётчики срабатывания правил, можно (если временно заглушить всю остальную интернетную активность) проследить докуда добирается пакет от начала цепочки INPUT

firkax ★★★★★
(27.11.24 20:50:49 MSK)

Ответ на: комментарий от firkax 27.11.24 20:50:49 MSK

https://pastebin.com/YCwiasVY

как ее расшифровать?

bvn13 ★★★★★
(27.11.24 21:03:08 MSK) автор топика

Ответ на: комментарий от bvn13 27.11.24 21:03:08 MSK

Chain ufw-user-input (1 references)
 pkts bytes target     prot opt in     out     source               destination         
   25  7488 ACCEPT     6    --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:1122
    0     0 ACCEPT     17   --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:1122
    2   100 ACCEPT     6    --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    2    93 ACCEPT     17   --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:80
  148  8816 ACCEPT     6    --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
    3  1472 ACCEPT     17   --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:443
    5   300 ACCEPT     6    --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5432
    0     0 ACCEPT     17   --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:5432
    0     0 DROP       6    --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8081
    9   718 DROP       17   --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:8081

эта часть интересует?

первые колонки - пакеты долетают до DROP upd 8081, а до tcp - нет

bvn13 ★★★★★
(27.11.24 21:04:46 MSK) автор топика
Последнее исправление: bvn13 27.11.24 21:05:13 MSK (всего исправлений: 1)

Ответ на: комментарий от firkax 27.11.24 20:50:49 MSK

это уже после рестарта ufw

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
4910K 1182M DOCKER-USER  0    --  *      *       0.0.0.0/0            0.0.0.0/0           
4910K 1182M DOCKER-ISOLATION-STAGE-1  0    --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     0    --  *      docker0  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 DOCKER     0    --  *      docker0  0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     0    --  docker0 !docker0  0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     0    --  docker0 docker0  0.0.0.0/0            0.0.0.0/0           
6261K  696M ACCEPT     0    --  *      br-f611ea8d14e9  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
 534K   32M DOCKER     0    --  *      br-f611ea8d14e9  0.0.0.0/0            0.0.0.0/0           
5072K 2488M ACCEPT     0    --  br-f611ea8d14e9 !br-f611ea8d14e9  0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     0    --  br-f611ea8d14e9 br-f611ea8d14e9  0.0.0.0/0            0.0.0.0/0           
5728K 1224M ACCEPT     0    --  *      br-1259d3a45b48  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
  596 34888 DOCKER     0    --  *      br-1259d3a45b48  0.0.0.0/0            0.0.0.0/0           
4488K  763M ACCEPT     0    --  br-1259d3a45b48 !br-1259d3a45b48  0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     0    --  br-1259d3a45b48 br-1259d3a45b48  0.0.0.0/0            0.0.0.0/0           
   70  6344 ACCEPT     0    --  *      br-95788828eb6d  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
   23  1228 DOCKER     0    --  *      br-95788828eb6d  0.0.0.0/0            0.0.0.0/0           
   67  4881 ACCEPT     0    --  br-95788828eb6d !br-95788828eb6d  0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     0    --  br-95788828eb6d br-95788828eb6d  0.0.0.0/0            0.0.0.0/0           
    0     0 ufw-before-logging-forward  0    --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ufw-before-forward  0    --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ufw-after-forward  0    --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ufw-after-logging-forward  0    --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ufw-reject-forward  0    --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ufw-track-forward  0    --  *      *       0.0.0.0/0            0.0.0.0/0

улетает все в докер?

но я запрещал

$ cat /etc/docker/docker.json 
{
    "iptables": false
}

докер рестартил. машину нужно рестартить?

bvn13 ★★★★★
(27.11.24 21:10:29 MSK) автор топика
Последнее исправление: bvn13 27.11.24 21:11:46 MSK (всего исправлений: 1)

Ответ на: комментарий от bvn13 27.11.24 21:10:29 MSK

Сделай так чтобы не работал интернет (отключи роутер от локалки, например, или просто воткни этот комп и ещё один в отдельный свитч, который больше никуда не подключён), обнули все счётчики (iptables -Z), потом со второго компа в той же локалке подключись к этому порту и посмотри где получились не нули.

А насчёт докера не знаю, можешь и комп перезапустить. Может так будет проще выяснить его виновность.

firkax ★★★★★
(27.11.24 21:35:44 MSK)
Последнее исправление: firkax 27.11.24 21:38:12 MSK (всего исправлений: 2)

сделал следующее

понял, что не в тот файл записывал конфиг докера
создал правильный файл настроек докера

# DOCKER_OPTS="--config-file=/etc/docker/daemon.json" >> /etc/default/docker

# cat /etc/docker/daemon.json

{
    "iptables": false,
    "log-driver": "json-file",
    "log-opts": {
      "max-size": "10m",
      "max-file": "10"
    }
}

daemon-reload & restart docker & restart docker.socket
restart ufw

после этого пакеты начали приземляться в DROP правила

Chain ufw-user-input (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     6    --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:1122
    0     0 ACCEPT     17   --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:1122
    0     0 ACCEPT     6    --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 ACCEPT     17   --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:80
 2347  141K ACCEPT     6    --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
    0     0 ACCEPT     17   --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:443
    3   180 DROP       6    --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5432
    0     0 DROP       17   --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:5432
    2   120 DROP       6    --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8081
    0     0 DROP       17   --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:8081

bvn13 ★★★★★
(27.11.24 22:19:19 MSK) автор топика

Ответ на: комментарий от firkax 27.11.24 21:35:44 MSK

ты б мне на пальцах объяснил, как вывод iptables -nvL интерпретировать, я б сам побаловался.

а комп могу только перегрузить. это VPS в облаках.

bvn13 ★★★★★
(27.11.24 22:20:34 MSK) автор топика

Ответ на: комментарий от bvn13 27.11.24 22:20:34 MSK

Что там объяснять? Он показывает сколько раз срабатывало правило (в первой колонке). Надо собственно найти какое правило срабатывает на том пакете который пробирается.

firkax ★★★★★
(27.11.24 22:51:49 MSK)

Ответ на: комментарий от bvn13 27.11.24 20:47:42 MSK

Ну так и использовал бы нативный nft, там всё сделано на удивление по-человечески: простые вещи делаются просто, но и сложные можно сделать.

anonymous
(28.11.24 08:11:22 MSK)

Ответ на: комментарий от bvn13 27.11.24 22:19:19 MSK

Попробуй вот эту штуку, если хочешь и дальше использовать ufw: https://github.com/chaifeng/ufw-docker

anonymous
(28.11.24 08:13:08 MSK)

Ответ на: комментарий от firkax 27.11.24 20:11:14 MSK

Если тебе это было и так очевидно то нечего обманывать окружающих на тему что это якобы файрволл.

UFW (Uncomplicated Firewall) Вопросы?

Pohmetolog
(28.11.24 10:34:58 MSK)

Ответ на: комментарий от Pohmetolog 28.11.24 10:34:58 MSK

Я тебе ещё раз повторю: файрволл - в ядре, ufw - не файрволл, это только обёртка над iptables.

firkax ★★★★★
(28.11.24 10:36:11 MSK)

Ответ на: комментарий от firkax 28.11.24 10:36:11 MSK

ufw - не файрволл

Читать умеешь? UFW (Uncomplicated Firewall). Иди поспорь с каноникал, ты же умнее )

Pohmetolog
(28.11.24 10:55:14 MSK)

Ответ на: комментарий от firkax 28.11.24 10:36:11 MSK

Фаерволл это ВНЕЗАПНО П(А)К, т.е. совокупность компонентов.

Попробуй тем что в ядре без обвязки в усёрспейсе порулить.

anonymous
(28.11.24 17:39:34 MSK)

Когда животворящий свет линух начал фотонить в мозги или что там есть))), по умолчанию юзал ufw.

Когда надел кипу от линуха, перешел на firewalld))) Его легко настроить руками.

Дальше будет черная комната…)))

На кой использовать ufw? Потрать время на что-то более простое и полезное.

AlexZander
(30.11.24 22:22:07 MSK)

Ответ на: комментарий от anonymous 27.11.24 20:12:07 MSK

С появлением nftables все эти обёртки, избавляющие от мерзкого синтаксиса iptables, стали не нужны.

Ога. А у nftables синтаксис прям мёдом обмазан.

anc ★★★★★
(30.11.24 23:56:01 MSK)

←	openvpn требует PEM-пароль при запуске

Admin

TrueNAS + WebDAV = не пускает

→

Похожие темы