LINUX.ORG.RU
ФорумAdmin

Почему ufw не работает?

 , ,


0

2

Не пинайте, это мой первый опыт.

  1. сервер на бубунте 24
  2. поставил ufw, включил службу, включил его самого, закрыл порт, дефолтная политика deny incoming

но порт остается быть доступным

в таблицах вижу такое

Chain ufw-user-input (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:1122
ACCEPT     udp  --  anywhere             anywhere             udp dpt:1122
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     udp  --  anywhere             anywhere             udp dpt:80
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     udp  --  anywhere             anywhere             udp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:postgresql
ACCEPT     udp  --  anywhere             anywhere             udp dpt:5432
DROP       tcp  --  anywhere             anywhere             tcp dpt:tproxy
DROP       udp  --  anywhere             anywhere             udp dpt:8081

Chain ufw-user-limit (0 references)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warn prefix "[UFW LIMIT BLOCK] "
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain ufw-user-limit-accept (0 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

это отрывок. меня смущает самая последняя указанная здесь строка - она идет ниже всех запретов, которые установились ufw. Это причина? или как это все работает?

★★★★★

Лучше вывод iptables-save приложи, он информативней

меня смущает самая последняя указанная здесь строк

Chain ufw-user-limit-accept (0 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere


Надо искать когда и при каких условиях трафик в ufw-user-limit-accept попадает

Kolins ★★★★★
()
Последнее исправление: Kolins (всего исправлений: 1)
Ответ на: комментарий от firkax

это подходит для анализа ситуации?

# iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N DOCKER
-N DOCKER-ISOLATION-STAGE-1
-N DOCKER-ISOLATION-STAGE-2
-N DOCKER-USER
-N ufw-after-forward
-N ufw-after-input
-N ufw-after-logging-forward
-N ufw-after-logging-input
-N ufw-after-logging-output
-N ufw-after-output
-N ufw-before-forward
-N ufw-before-input
-N ufw-before-logging-forward
-N ufw-before-logging-input
-N ufw-before-logging-output
-N ufw-before-output
-N ufw-logging-allow
-N ufw-logging-deny
-N ufw-not-local
-N ufw-reject-forward
-N ufw-reject-input
-N ufw-reject-output
-N ufw-skip-to-policy-forward
-N ufw-skip-to-policy-input
-N ufw-skip-to-policy-output
-N ufw-track-forward
-N ufw-track-input
-N ufw-track-output
-N ufw-user-forward
-N ufw-user-input
-N ufw-user-limit
-N ufw-user-limit-accept
-N ufw-user-logging-forward
-N ufw-user-logging-input
-N ufw-user-logging-output
-N ufw-user-output
-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
-A FORWARD -j DOCKER-USER
-A FORWARD -j DOCKER-ISOLATION-STAGE-1
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A FORWARD -o br-f611ea8d14e9 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o br-f611ea8d14e9 -j DOCKER
-A FORWARD -i br-f611ea8d14e9 ! -o br-f611ea8d14e9 -j ACCEPT
-A FORWARD -i br-f611ea8d14e9 -o br-f611ea8d14e9 -j ACCEPT
-A FORWARD -o br-1259d3a45b48 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o br-1259d3a45b48 -j DOCKER
-A FORWARD -i br-1259d3a45b48 ! -o br-1259d3a45b48 -j ACCEPT
-A FORWARD -i br-1259d3a45b48 -o br-1259d3a45b48 -j ACCEPT
-A FORWARD -o br-95788828eb6d -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o br-95788828eb6d -j DOCKER
-A FORWARD -i br-95788828eb6d ! -o br-95788828eb6d -j ACCEPT
-A FORWARD -i br-95788828eb6d -o br-95788828eb6d -j ACCEPT
-A FORWARD -j ufw-before-logging-forward
-A FORWARD -j ufw-before-forward
-A FORWARD -j ufw-after-forward
-A FORWARD -j ufw-after-logging-forward
-A FORWARD -j ufw-reject-forward
-A FORWARD -j ufw-track-forward
-A OUTPUT -j ufw-before-logging-output
-A OUTPUT -j ufw-before-output
-A OUTPUT -j ufw-after-output
-A OUTPUT -j ufw-after-logging-output
-A OUTPUT -j ufw-reject-output
-A OUTPUT -j ufw-track-output
-A DOCKER -d 172.18.0.2/32 ! -i br-95788828eb6d -o br-95788828eb6d -p tcp -m tcp --dport 5000 -j ACCEPT
-A DOCKER -d 172.19.0.2/32 ! -i br-1259d3a45b48 -o br-1259d3a45b48 -p tcp -m tcp --dport 5432 -j ACCEPT
-A DOCKER -d 172.19.0.3/32 ! -i br-1259d3a45b48 -o br-1259d3a45b48 -p tcp -m tcp --dport 8080 -j ACCEPT
-A DOCKER -d 172.19.0.3/32 ! -i br-1259d3a45b48 -o br-1259d3a45b48 -p tcp -m tcp --dport 8282 -j ACCEPT
-A DOCKER -d 172.19.0.4/32 ! -i br-1259d3a45b48 -o br-1259d3a45b48 -p tcp -m tcp --dport 80 -j ACCEPT
-A DOCKER -d 172.20.0.4/32 ! -i br-f611ea8d14e9 -o br-f611ea8d14e9 -p tcp -m tcp --dport 80 -j ACCEPT
-A DOCKER -d 172.20.0.4/32 ! -i br-f611ea8d14e9 -o br-f611ea8d14e9 -p tcp -m tcp --dport 81 -j ACCEPT
-A DOCKER -d 172.20.0.4/32 ! -i br-f611ea8d14e9 -o br-f611ea8d14e9 -p tcp -m tcp --dport 443 -j ACCEPT
-A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -i br-1259d3a45b48 ! -o br-1259d3a45b48 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -i br-f611ea8d14e9 ! -o br-f611ea8d14e9 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -i br-95788828eb6d ! -o br-95788828eb6d -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -j RETURN
-A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -o br-1259d3a45b48 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -o br-f611ea8d14e9 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -o br-95788828eb6d -j DROP
-A DOCKER-ISOLATION-STAGE-2 -j RETURN
-A DOCKER-USER -j RETURN
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input
-A ufw-after-logging-forward -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-forward -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-forward -j ufw-user-forward
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-before-output -o lo -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -j ufw-user-output
-A ufw-logging-allow -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW ALLOW] "
-A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN
-A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-skip-to-policy-forward -j DROP
-A ufw-skip-to-policy-input -j DROP
-A ufw-skip-to-policy-output -j ACCEPT
-A ufw-track-output -p tcp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-track-output -p udp -m conntrack --ctstate NEW -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 1122 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 1122 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 80 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 80 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 443 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 443 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 5432 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 5432 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 8081 -j DROP
-A ufw-user-input -p udp -m udp --dport 8081 -j DROP
-A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
-A ufw-user-limit-accept -j ACCEPT
bvn13 ★★★★★
() автор топика
Ответ на: комментарий от bvn13

Теперь расположи цепочки ufw в этом порядке:

-A INPUT -j ufw-before-logging-input
-A INPUT -j ufw-before-input
-A INPUT -j ufw-after-input
-A INPUT -j ufw-after-logging-input
-A INPUT -j ufw-reject-input
-A INPUT -j ufw-track-input
одну за другой и будет видно в каком порядке применяются правила, и думаю всё станет ясно. Мне лень.

А ещё я вижу у тебя там докер, он часто портит файрволл, попробуй его выключить.

firkax ★★★★★
()
Ответ на: комментарий от firkax

что значит «расположить цепочки в порядке»? ты хочешь, чтобы я обновил ип-таблицы? я не делаю этого вручную. ожидал, что ufw это сделает.

в докере я попытался отключить руление ип-таблицами

bvn13 ★★★★★
() автор топика
Ответ на: комментарий от firkax
-A INPUT -j ufw-before-logging-input

-A INPUT -j ufw-before-input
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
-A ufw-before-input -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A ufw-before-input -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A ufw-before-input -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A ufw-before-input -j ufw-not-local
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
-A ufw-before-input -j ufw-user-input
-A ufw-user-input -p tcp -m tcp --dport 1122 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 1122 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 80 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 80 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 443 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 443 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 5432 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 5432 -j ACCEPT
-A ufw-user-input -p tcp -m tcp --dport 8081 -j DROP
-A ufw-user-input -p udp -m udp --dport 8081 -j DROP

-A INPUT -j ufw-after-input
-A ufw-after-input -p udp -m udp --dport 137 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 138 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 139 -j ufw-skip-to-policy-input
-A ufw-after-input -p tcp -m tcp --dport 445 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 67 -j ufw-skip-to-policy-input
-A ufw-after-input -p udp -m udp --dport 68 -j ufw-skip-to-policy-input
-A ufw-after-input -m addrtype --dst-type BROADCAST -j ufw-skip-to-policy-input

-A INPUT -j ufw-after-logging-input
-A ufw-after-logging-input -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] "

-A INPUT -j ufw-reject-input

-A INPUT -j ufw-track-input

расположил

bvn13 ★★★★★
() автор топика
Последнее исправление: bvn13 (всего исправлений: 2)
Ответ на: комментарий от firkax

Файрвол находится в ядре, если ты не знал, а ufw всего лишь обёртка к iptables.

Это кагбе очевидно и всем известно, следующий раз лучше промолчи, за умного сойдёшь.

Pohmetolog
()
Ответ на: комментарий от firkax

я проверяю на нем, да. пробовал и удалять, чтобы дефолтное закрытие всех входящих проверить, и явно deny - все равно порт открыт. проверяю, конечно же, с другой, внешней машины: nmap и просто из браузера

bvn13 ★★★★★
() автор топика
Ответ на: комментарий от bvn13
iptables -nvL

эта команда покажет счётчики срабатывания правил, можно (если временно заглушить всю остальную интернетную активность) проследить докуда добирается пакет от начала цепочки INPUT

firkax ★★★★★
()
Ответ на: комментарий от bvn13
Chain ufw-user-input (1 references)
 pkts bytes target     prot opt in     out     source               destination         
   25  7488 ACCEPT     6    --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:1122
    0     0 ACCEPT     17   --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:1122
    2   100 ACCEPT     6    --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    2    93 ACCEPT     17   --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:80
  148  8816 ACCEPT     6    --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
    3  1472 ACCEPT     17   --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:443
    5   300 ACCEPT     6    --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5432
    0     0 ACCEPT     17   --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:5432
    0     0 DROP       6    --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8081
    9   718 DROP       17   --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:8081

эта часть интересует?

первые колонки - пакеты долетают до DROP upd 8081, а до tcp - нет

bvn13 ★★★★★
() автор топика
Последнее исправление: bvn13 (всего исправлений: 1)
Ответ на: комментарий от firkax

это уже после рестарта ufw

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
4910K 1182M DOCKER-USER  0    --  *      *       0.0.0.0/0            0.0.0.0/0           
4910K 1182M DOCKER-ISOLATION-STAGE-1  0    --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     0    --  *      docker0  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 DOCKER     0    --  *      docker0  0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     0    --  docker0 !docker0  0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     0    --  docker0 docker0  0.0.0.0/0            0.0.0.0/0           
6261K  696M ACCEPT     0    --  *      br-f611ea8d14e9  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
 534K   32M DOCKER     0    --  *      br-f611ea8d14e9  0.0.0.0/0            0.0.0.0/0           
5072K 2488M ACCEPT     0    --  br-f611ea8d14e9 !br-f611ea8d14e9  0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     0    --  br-f611ea8d14e9 br-f611ea8d14e9  0.0.0.0/0            0.0.0.0/0           
5728K 1224M ACCEPT     0    --  *      br-1259d3a45b48  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
  596 34888 DOCKER     0    --  *      br-1259d3a45b48  0.0.0.0/0            0.0.0.0/0           
4488K  763M ACCEPT     0    --  br-1259d3a45b48 !br-1259d3a45b48  0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     0    --  br-1259d3a45b48 br-1259d3a45b48  0.0.0.0/0            0.0.0.0/0           
   70  6344 ACCEPT     0    --  *      br-95788828eb6d  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
   23  1228 DOCKER     0    --  *      br-95788828eb6d  0.0.0.0/0            0.0.0.0/0           
   67  4881 ACCEPT     0    --  br-95788828eb6d !br-95788828eb6d  0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     0    --  br-95788828eb6d br-95788828eb6d  0.0.0.0/0            0.0.0.0/0           
    0     0 ufw-before-logging-forward  0    --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ufw-before-forward  0    --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ufw-after-forward  0    --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ufw-after-logging-forward  0    --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ufw-reject-forward  0    --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ufw-track-forward  0    --  *      *       0.0.0.0/0            0.0.0.0/0 

улетает все в докер?

но я запрещал

$ cat /etc/docker/docker.json 
{
    "iptables": false
}

докер рестартил. машину нужно рестартить?

bvn13 ★★★★★
() автор топика
Последнее исправление: bvn13 (всего исправлений: 1)
Ответ на: комментарий от bvn13

Сделай так чтобы не работал интернет (отключи роутер от локалки, например, или просто воткни этот комп и ещё один в отдельный свитч, который больше никуда не подключён), обнули все счётчики (iptables -Z), потом со второго компа в той же локалке подключись к этому порту и посмотри где получились не нули.

А насчёт докера не знаю, можешь и комп перезапустить. Может так будет проще выяснить его виновность.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 2)

сделал следующее

  1. понял, что не в тот файл записывал конфиг докера
  2. создал правильный файл настроек докера
# DOCKER_OPTS="--config-file=/etc/docker/daemon.json" >> /etc/default/docker
# cat /etc/docker/daemon.json

{
    "iptables": false,
    "log-driver": "json-file",
    "log-opts": {
      "max-size": "10m",
      "max-file": "10"
    }
}
  1. daemon-reload & restart docker & restart docker.socket
  2. restart ufw

после этого пакеты начали приземляться в DROP правила

Chain ufw-user-input (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     6    --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:1122
    0     0 ACCEPT     17   --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:1122
    0     0 ACCEPT     6    --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 ACCEPT     17   --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:80
 2347  141K ACCEPT     6    --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
    0     0 ACCEPT     17   --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:443
    3   180 DROP       6    --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5432
    0     0 DROP       17   --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:5432
    2   120 DROP       6    --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:8081
    0     0 DROP       17   --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:8081
bvn13 ★★★★★
() автор топика
Ответ на: комментарий от bvn13

Что там объяснять? Он показывает сколько раз срабатывало правило (в первой колонке). Надо собственно найти какое правило срабатывает на том пакете который пробирается.

firkax ★★★★★
()
Ответ на: комментарий от bvn13

Ну так и использовал бы нативный nft, там всё сделано на удивление по-человечески: простые вещи делаются просто, но и сложные можно сделать.

anonymous
()

Когда животворящий свет линух начал фотонить в мозги или что там есть))), по умолчанию юзал ufw.

Когда надел кипу от линуха, перешел на firewalld))) Его легко настроить руками.

Дальше будет черная комната…)))

На кой использовать ufw? Потрать время на что-то более простое и полезное.

AlexZander
()
Ответ на: комментарий от anonymous

С появлением nftables все эти обёртки, избавляющие от мерзкого синтаксиса iptables, стали не нужны.

Ога. А у nftables синтаксис прям мёдом обмазан.

anc ★★★★★
()