บรรจวบ เข้าสู่ระบบ
Score:1
avatar Ubuntu

เหตุใด ufw จึงไม่ปิดกั้นการรับส่งข้อมูลจาก 169.254.169.254:179

ธง jp
divB

ของฉัน ยูเอฟดับบลิว เปิดใช้งานและอนุญาตเฉพาะ ssh และ wireguard:

# สถานะ ufw
สถานะ: ใช้งานอยู่

ถึงการดำเนินการจาก
-- ------ ----
22/tcp อนุญาตได้ทุกที่                  
51820/udp อนุญาตได้ทุกที่             
22/tcp (v6) อนุญาตได้ทุกที่ (v6)             
51820/udp (v6) อนุญาตทุกที่ (v6)             

#

ฉันยังสื่อสารผ่านโฮสต์ 169.254.169.254 บน BGP (พอร์ต 179) การสื่อสารนี้ใช้งานได้แม้ว่าฉันจะทำ ไม่ อนุญาต ทำไม??

เป็นเพราะ 169.254.169.254 เป็นที่อยู่ของลิงก์หรือไม่ (มันน่าสนใจที่อินเทอร์เฟซไม่ ไม่ มีการกำหนดที่อยู่ในท้องถิ่นของลิงค์ การสื่อสารผ่านเกตเวย์เริ่มต้น นี่คือการตั้งค่าบนโฮสติ้ง Vultr)

ฉันดู iptables แต่ฉันไม่เห็นว่าแพ็กเก็ตนี้จะได้รับการยอมรับอย่างไร: Chain ufw-not-local มีการอ้างอิงถึงที่อยู่ในพื้นที่:

# iptables -v -L ufw-ไม่ใช่ในเครื่อง
Chain ufw-not-local (อ้างอิง 1 รายการ)
 pkts bytes target prot เลือกใช้ปลายทางต้นทาง         
  508 30944 ส่งคืนทั้งหมด - ทุกที่ที่ใดก็ได้ ADDRTYPE ตรงกับ dst-type LOCAL
    0 0 คืนทั้งหมด -- ทุกที่ ทุกแห่ง ADDRTYPE ตรงกับ dst-type MULTICAST
  125 6739 คืนทั้งหมด -- ทุกที่ ทุกแห่ง ADDRTYPE ตรงกับ BROADCAST ประเภท dst
    0 0 ufw-logging-deny all -- ขีด จำกัด ใด ๆ ที่ใดก็ได้: เฉลี่ย 3 / นาทีระเบิด 10
    0 0 DROP ทั้งหมด -- ทุกที่ ทุกแห่ง      
#

อย่างไรก็ตาม มันเป็นผลตอบแทนและไม่ใช่การยอมรับ! ufw-not-local ถูกเรียกโดย ufw-before-input ซึ่งจะกลับไปที่ INPUT และ INPUT มีนโยบาย DROP

แก้ไข: เต็ม iptables -xvnL เอาต์พุต:

Chain INPUT (นโยบาย DROP 8 แพ็คเก็ต, 885 ไบต์)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         
       0 0 ยอมรับ tcp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
       0 0 ยอมรับ udp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
       0 0 ยอมรับ tcp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
     750 227375 ยอมรับ udp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
  362606 147280078 ufw-ก่อนบันทึกอินพุตทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0           
  362606 147280078 ufw-ก่อนอินพุตทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0           
  333869 128555765 ufw-หลังอินพุตทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0           
  333212 128523819 ufw-หลังจากบันทึกอินพุตทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0           
  333212 128523819 ufw-ปฏิเสธอินพุตทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0           
  333212 128523819 ufw-แทร็กอินพุตทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0           

ส่งต่อไปข้างหน้า (นโยบาย DROP 216 แพ็คเก็ต, 10,004 ไบต์)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         
   22278 14578660 ยอมรับทั้งหมด -- * lxcbr0 0.0.0.0/0 0.0.0.0/0           
    4853 256884 ยอมรับทั้งหมด -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0           
 1080537 59537850 ufw-ก่อนเข้าสู่ระบบส่งต่อทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0           
 1080537 59537850 ufw-ก่อนส่งต่อทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0           
 1079360 59452755 ufw-หลังจากส่งต่อ ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0           
 1079360 59452755 ufw-หลังจากเข้าสู่ระบบส่งต่อทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0           
 1079360 59452755 ufw-ปฏิเสธ-ส่งต่อทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0           
 1079360 59452755 ufw-track-forward ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0           

Chain OUTPUT (นโยบายยอมรับ 1 แพ็กเก็ต 52 ไบต์)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         
  424797 45621305 ufw-ก่อนบันทึก-เอาต์พุตทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0           
  424797 45621305 ufw-ก่อนเอาต์พุตทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0           
  399178 42100854 ufw-หลังเอาต์พุต ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0           
  399178 42100854 ufw-หลังการบันทึก-เอาต์พุต ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0           
  399178 42100854 ufw-reject-output ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0           
  399178 42100854 ufw-track-output ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0           

Chain ufw-before-log-input (อ้างอิง 1 รายการ)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         

เชน ufw-before-log-output (อ้างอิง 1 รายการ)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         

Chain ufw-before-log-forward (อ้างอิง 1 รายการ)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         

Chain ufw-before-input (อ้างอิง 1 รายการ)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         
       0 0 ยอมรับทั้งหมด -- จริง * 0.0.0.0/0 0.0.0.0/0           
     142 17992 ยอมรับทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ctstate ที่เกี่ยวข้อง ก่อตั้ง
       0 0 ufw-log-deny all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate ไม่ถูกต้อง
       0 0 DROP ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ctstate ไม่ถูกต้อง
       0 0 ยอมรับ icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp ประเภท 3
       0 0 ยอมรับ icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 11
       0 0 ยอมรับ icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp ประเภท 12
       0 0 ยอมรับ icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8
       0 0 ยอมรับ udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
      16 1305 ufw-ไม่ใช่ในเครื่องทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0           
       0 0 ยอมรับ udp -- * * 0.0.0.0/0 224.0.0.251 udp dpt:5353
       0 0 ยอมรับ udp -- * * 0.0.0.0/0 239.255.255.250 udp dpt:1900
      16 1305 ufw-user-input ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0           

Chain ufw-before-output (อ้างอิง 1 รายการ)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         
       0 0 ยอมรับทั้งหมด -- * จริง 0.0.0.0/0 0.0.0.0/0           
     150 18656 ยอมรับทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ctstate ที่เกี่ยวข้อง ก่อตั้ง
       1 52 ufw-user-output ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0           

เชน ufw-before-forward (1 ข้อมูลอ้างอิง)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         
      11 1232 ยอมรับทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ctstate ที่เกี่ยวข้อง ก่อตั้ง
       0 0 ยอมรับ icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp ประเภท 3
       0 0 ยอมรับ icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 11
       0 0 ยอมรับ icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp ประเภท 12
      13 1092 ยอมรับ icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8
     214 9920 ufw-user-forward ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0           

เชน ufw-after-input (อ้างอิง 1 รายการ)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         
       0 0 ufw-ข้ามไปที่นโยบายอินพุต udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:137
       0 0 ufw-ข้ามไปที่นโยบายอินพุต udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:138
       0 0 ufw-ข้ามไปที่นโยบายอินพุต tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:139
       0 0 ufw-ข้ามไปที่นโยบายอินพุต tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:445
       0 0 ufw-ข้ามไปที่นโยบายอินพุต udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
       0 0 ufw-ข้ามไปที่นโยบายอินพุต udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:68
       3 120 ufw-skip-to-policy-input all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE ตรงกับ BROADCAST ประเภท dst

Chain ufw-after-output (การอ้างอิง 1 รายการ)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         

เชน ufw-after-forward (อ้างอิง 1 รายการ)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         

ห่วงโซ่ ufw-หลังจากเข้าสู่ระบบอินพุต (อ้างอิง 1 รายการ)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         
       7 845 LOG ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ขีดจำกัด: เฉลี่ย 3/นาที ระเบิด 10 LOG แฟล็ก 0 ระดับ 4 คำนำหน้า "[UFW BLOCK] "

Chain ufw-after-log-output (การอ้างอิง 1 รายการ)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         

Chain ufw-for-log-forward (อ้างอิง 1 รายการ)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         
      10 464 LOG ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ขีดจำกัด: เฉลี่ย 3/นาที ระเบิด 10 LOG แฟล็ก 0 ระดับ 4 คำนำหน้า "[UFW BLOCK] "

Chain ufw-reject-input (อ้างอิง 1 รายการ)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         

Chain ufw-reject-output (การอ้างอิง 1 รายการ)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         

Chain ufw-reject-forward (อ้างอิง 1 รายการ)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         

เชน ufw-track-input (อ้างอิง 1 รายการ)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         

Chain ufw-track-output (อ้างอิง 1 รายการ)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         
       0 0 ยอมรับ tcp -- * * 0.0.0.0/0 0.0.0.0/0 ctstate ใหม่
       0 0 ยอมรับ udp -- * * 0.0.0.0/0 0.0.0.0/0 ctstate ใหม่

Chain ufw-track-forward (อ้างอิง 1 รายการ)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         

Chain ufw-log-deny (2 ข้อมูลอ้างอิง)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         
       0 0 คืนทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID limit: เฉลี่ย 3/นาที ระเบิด 10
       0 0 LOG ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ขีดจำกัด: เฉลี่ย 3/นาที ระเบิด 10 LOG แฟล็ก 0 ระดับ 4 คำนำหน้า "[UFW BLOCK] "

Chain ufw-logging-allow (อ้างอิง 0 รายการ)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         
       0 0 LOG ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ขีดจำกัด: เฉลี่ย 3/นาที ระเบิด 10 LOG แฟล็ก 0 ระดับ 4 คำนำหน้า "[UFW ALLOW] "

เชน ufw-skip-to-policy-input (การอ้างอิง 7 รายการ)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         
       3 120 DROP ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0           

เชน ufw-skip-to-policy-output (0 อ้างอิง)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         
       0 0 ยอมรับทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0           

เชน ufw-skip-to-policy-forward (0 ข้อมูลอ้างอิง)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         
       0 0 ลดทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0           

Chain ufw-not-local (อ้างอิง 1 รายการ)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         
      12 1125 ส่งคืนทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE ตรงกับ dst-type LOCAL
       0 0 คืนทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE ตรงกับ dst-type MULTICAST
       4 180 คืนทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE ตรงกับ BROADCAST ประเภท dst
       0 0 ufw-log-deny all -- * * 0.0.0.0/0 0.0.0.0/0 ขีดจำกัด: เฉลี่ย 3/นาที ระเบิด 10
       0 0 ลดทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0           

Chain ufw-user-input (อ้างอิง 1 รายการ)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         
       5 300 ยอมรับ tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
       0 0 ยอมรับ udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:51820      

Chain ufw-user-output (อ้างอิง 1 รายการ)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         

Chain ufw-user-forward (อ้างอิง 1 รายการ)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         

Chain ufw-user-log-input (อ้างอิง 0)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         

Chain ufw-user-log-output (อ้างอิง 0)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         

Chain ufw-user-log-forward (อ้างอิง 0)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         

Chain ufw-user-limit (อ้างอิง 0)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         
       0 0 บันทึกทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ขีดจำกัด: เฉลี่ย 3/นาที ระเบิด 5 ค่าสถานะ LOG 0 ระดับ 4 คำนำหน้า "[UFW LIMIT BLOCK] "
       0 0 ปฏิเสธทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ปฏิเสธด้วย icmp-port-ไม่สามารถเข้าถึงได้

Chain ufw-user-limit-accept (0 ข้อมูลอ้างอิง)
    pkts bytes target prot เลือกใช้ปลายทางต้นทาง         
       0 0 ยอมรับทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
80
0 + 0
Doug Smythies avatar
gn flag
Doug Smythies
เราไม่สามารถตอบได้หากไม่มีชุดกฎ iptables ทั้งหมด (แม้ว่าชุดกฎที่สร้างขึ้น ufw จะปฏิบัติตามได้ยาก) โปรดแก้ไขคำถามของคุณโดยเพิ่มผลลัพธ์จาก `sudo iptables -xvnL`
0
ตอบกลับ
Doug Smythies avatar
gn flag
Doug Smythies
Border Gateway Protocol (BGP) อาจเปลี่ยนเส้นทางและเปลี่ยนพอร์ตระหว่างเราเตอร์ที่เกี่ยวข้อง ฉันไม่รู้รายละเอียดและจะไม่เกี่ยวข้องกับ Ubuntu จริงๆ
0
ตอบกลับ
jp flag
divB
@DougSmythies เพิ่มเอาต์พุตแบบเต็ม ฉันไม่คิดว่า BGP จะทำการเปลี่ยนแปลงแปลกๆ ที่นี่ ฉันเห็นมันใน tcpdump บนพอร์ต 179 โดยไม่คาดฝันว่าทราฟฟิกนี้จะผ่านเข้ามาแม้ว่าจะไม่ได้รับอนุญาตอย่างชัดแจ้งก็ตาม ดังนั้นจึงเกี่ยวข้องกับ ufw/Ubuntu
0
ตอบกลับ
Doug Smythies avatar
gn flag
Doug Smythies
ฉันไม่ทราบว่าคุณมี VM บางตัวที่ทำงานผ่าน lxcbr0 ดังนั้นเราอาจต้องดู `sudo iptables -t nat -xvnL` ด้วยtcpdump ทำงานอยู่ที่ใด บนเครื่องคอมพิวเตอร์ของคุณหรือคอมพิวเตอร์ที่โฮสต์ Vultr หรือ VM? นอกจากนี้สำหรับกฎ ufw กฎเหล่านั้นกำลังทำงานบนเครื่องคอมพิวเตอร์ของคุณหรือคอมพิวเตอร์ที่โฮสต์ Vultr? ค้นหาเส้นทาง ACCEPT ขาเข้าผ่าน RELATED,ESTABLISHED ที่คุณสร้างผ่านเส้นทาง OUTPUT
0
ตอบกลับ
jp flag
divB
@DougSmythies ฉันรีสตาร์ทเครื่อง (ซึ่งควรทำลาย RELATED,ESTABLISHED) และแพ็กเก็ตยังคงผ่านเข้ามา! ในขณะเดียวกันฉันก็ค้นพบว่า ipip (แพ็กเก็ตโปรโตคอล Ip) ก็เข้ามาเช่นกัน ดังนั้นคำถามของฉันจึงยังคงอยู่: ทำไม ufw จึงยอมรับแพ็กเก็ตโดยที่ฉันไม่ยอมรับแพ็กเก็ตอย่างชัดเจน ฉันผ่านกฎ iptables แต่สมองของฉันระเบิด ฉันไม่ใช่ผู้เชี่ยวชาญใน iptables ที่จะทราบว่าแพ็กเก็ตจะได้รับการยอมรับจากที่ใด แต่ความเชื่อมั่นของฉันใน ufw นั้นต่ำมากในขณะนี้
0
ตอบกลับ
Doug Smythies avatar
gn flag
Doug Smythies
ฉันไม่รู้จะช่วยคุณอย่างไรหากไม่มีข้อมูลมากกว่านี้และละเอียด
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา