ของฉัน ยูเอฟดับบลิว
เปิดใช้งานและอนุญาตเฉพาะ ssh และ wireguard:
# สถานะ ufw
สถานะ: ใช้งานอยู่
ถึงการดำเนินการจาก
-- ------ ----
22/tcp อนุญาตได้ทุกที่
51820/udp อนุญาตได้ทุกที่
22/tcp (v6) อนุญาตได้ทุกที่ (v6)
51820/udp (v6) อนุญาตทุกที่ (v6)
#
ฉันยังสื่อสารผ่านโฮสต์ 169.254.169.254 บน BGP (พอร์ต 179)
การสื่อสารนี้ใช้งานได้แม้ว่าฉันจะทำ ไม่ อนุญาต ทำไม??
เป็นเพราะ 169.254.169.254 เป็นที่อยู่ของลิงก์หรือไม่ (มันน่าสนใจที่อินเทอร์เฟซไม่ ไม่ มีการกำหนดที่อยู่ในท้องถิ่นของลิงค์ การสื่อสารผ่านเกตเวย์เริ่มต้น นี่คือการตั้งค่าบนโฮสติ้ง Vultr)
ฉันดู iptables แต่ฉันไม่เห็นว่าแพ็กเก็ตนี้จะได้รับการยอมรับอย่างไร: Chain ufw-not-local มีการอ้างอิงถึงที่อยู่ในพื้นที่:
# iptables -v -L ufw-ไม่ใช่ในเครื่อง
Chain ufw-not-local (อ้างอิง 1 รายการ)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
508 30944 ส่งคืนทั้งหมด - ทุกที่ที่ใดก็ได้ ADDRTYPE ตรงกับ dst-type LOCAL
0 0 คืนทั้งหมด -- ทุกที่ ทุกแห่ง ADDRTYPE ตรงกับ dst-type MULTICAST
125 6739 คืนทั้งหมด -- ทุกที่ ทุกแห่ง ADDRTYPE ตรงกับ BROADCAST ประเภท dst
0 0 ufw-logging-deny all -- ขีด จำกัด ใด ๆ ที่ใดก็ได้: เฉลี่ย 3 / นาทีระเบิด 10
0 0 DROP ทั้งหมด -- ทุกที่ ทุกแห่ง
#
อย่างไรก็ตาม มันเป็นผลตอบแทนและไม่ใช่การยอมรับ! ufw-not-local ถูกเรียกโดย ufw-before-input ซึ่งจะกลับไปที่ INPUT และ INPUT มีนโยบาย DROP
แก้ไข: เต็ม iptables -xvnL
เอาต์พุต:
Chain INPUT (นโยบาย DROP 8 แพ็คเก็ต, 885 ไบต์)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
0 0 ยอมรับ tcp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ยอมรับ udp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ยอมรับ tcp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
750 227375 ยอมรับ udp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
362606 147280078 ufw-ก่อนบันทึกอินพุตทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
362606 147280078 ufw-ก่อนอินพุตทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
333869 128555765 ufw-หลังอินพุตทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
333212 128523819 ufw-หลังจากบันทึกอินพุตทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
333212 128523819 ufw-ปฏิเสธอินพุตทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
333212 128523819 ufw-แทร็กอินพุตทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
ส่งต่อไปข้างหน้า (นโยบาย DROP 216 แพ็คเก็ต, 10,004 ไบต์)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
22278 14578660 ยอมรับทั้งหมด -- * lxcbr0 0.0.0.0/0 0.0.0.0/0
4853 256884 ยอมรับทั้งหมด -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0
1080537 59537850 ufw-ก่อนเข้าสู่ระบบส่งต่อทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
1080537 59537850 ufw-ก่อนส่งต่อทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
1079360 59452755 ufw-หลังจากส่งต่อ ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
1079360 59452755 ufw-หลังจากเข้าสู่ระบบส่งต่อทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
1079360 59452755 ufw-ปฏิเสธ-ส่งต่อทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
1079360 59452755 ufw-track-forward ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (นโยบายยอมรับ 1 แพ็กเก็ต 52 ไบต์)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
424797 45621305 ufw-ก่อนบันทึก-เอาต์พุตทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
424797 45621305 ufw-ก่อนเอาต์พุตทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
399178 42100854 ufw-หลังเอาต์พุต ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
399178 42100854 ufw-หลังการบันทึก-เอาต์พุต ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
399178 42100854 ufw-reject-output ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
399178 42100854 ufw-track-output ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-before-log-input (อ้างอิง 1 รายการ)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
เชน ufw-before-log-output (อ้างอิง 1 รายการ)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
Chain ufw-before-log-forward (อ้างอิง 1 รายการ)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
Chain ufw-before-input (อ้างอิง 1 รายการ)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
0 0 ยอมรับทั้งหมด -- จริง * 0.0.0.0/0 0.0.0.0/0
142 17992 ยอมรับทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ctstate ที่เกี่ยวข้อง ก่อตั้ง
0 0 ufw-log-deny all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate ไม่ถูกต้อง
0 0 DROP ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ctstate ไม่ถูกต้อง
0 0 ยอมรับ icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp ประเภท 3
0 0 ยอมรับ icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 11
0 0 ยอมรับ icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp ประเภท 12
0 0 ยอมรับ icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8
0 0 ยอมรับ udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
16 1305 ufw-ไม่ใช่ในเครื่องทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ยอมรับ udp -- * * 0.0.0.0/0 224.0.0.251 udp dpt:5353
0 0 ยอมรับ udp -- * * 0.0.0.0/0 239.255.255.250 udp dpt:1900
16 1305 ufw-user-input ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-before-output (อ้างอิง 1 รายการ)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
0 0 ยอมรับทั้งหมด -- * จริง 0.0.0.0/0 0.0.0.0/0
150 18656 ยอมรับทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ctstate ที่เกี่ยวข้อง ก่อตั้ง
1 52 ufw-user-output ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
เชน ufw-before-forward (1 ข้อมูลอ้างอิง)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
11 1232 ยอมรับทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ctstate ที่เกี่ยวข้อง ก่อตั้ง
0 0 ยอมรับ icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp ประเภท 3
0 0 ยอมรับ icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 11
0 0 ยอมรับ icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp ประเภท 12
13 1092 ยอมรับ icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8
214 9920 ufw-user-forward ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
เชน ufw-after-input (อ้างอิง 1 รายการ)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
0 0 ufw-ข้ามไปที่นโยบายอินพุต udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:137
0 0 ufw-ข้ามไปที่นโยบายอินพุต udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:138
0 0 ufw-ข้ามไปที่นโยบายอินพุต tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:139
0 0 ufw-ข้ามไปที่นโยบายอินพุต tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:445
0 0 ufw-ข้ามไปที่นโยบายอินพุต udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
0 0 ufw-ข้ามไปที่นโยบายอินพุต udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:68
3 120 ufw-skip-to-policy-input all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE ตรงกับ BROADCAST ประเภท dst
Chain ufw-after-output (การอ้างอิง 1 รายการ)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
เชน ufw-after-forward (อ้างอิง 1 รายการ)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
ห่วงโซ่ ufw-หลังจากเข้าสู่ระบบอินพุต (อ้างอิง 1 รายการ)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
7 845 LOG ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ขีดจำกัด: เฉลี่ย 3/นาที ระเบิด 10 LOG แฟล็ก 0 ระดับ 4 คำนำหน้า "[UFW BLOCK] "
Chain ufw-after-log-output (การอ้างอิง 1 รายการ)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
Chain ufw-for-log-forward (อ้างอิง 1 รายการ)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
10 464 LOG ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ขีดจำกัด: เฉลี่ย 3/นาที ระเบิด 10 LOG แฟล็ก 0 ระดับ 4 คำนำหน้า "[UFW BLOCK] "
Chain ufw-reject-input (อ้างอิง 1 รายการ)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
Chain ufw-reject-output (การอ้างอิง 1 รายการ)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
Chain ufw-reject-forward (อ้างอิง 1 รายการ)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
เชน ufw-track-input (อ้างอิง 1 รายการ)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
Chain ufw-track-output (อ้างอิง 1 รายการ)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
0 0 ยอมรับ tcp -- * * 0.0.0.0/0 0.0.0.0/0 ctstate ใหม่
0 0 ยอมรับ udp -- * * 0.0.0.0/0 0.0.0.0/0 ctstate ใหม่
Chain ufw-track-forward (อ้างอิง 1 รายการ)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
Chain ufw-log-deny (2 ข้อมูลอ้างอิง)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
0 0 คืนทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID limit: เฉลี่ย 3/นาที ระเบิด 10
0 0 LOG ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ขีดจำกัด: เฉลี่ย 3/นาที ระเบิด 10 LOG แฟล็ก 0 ระดับ 4 คำนำหน้า "[UFW BLOCK] "
Chain ufw-logging-allow (อ้างอิง 0 รายการ)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
0 0 LOG ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ขีดจำกัด: เฉลี่ย 3/นาที ระเบิด 10 LOG แฟล็ก 0 ระดับ 4 คำนำหน้า "[UFW ALLOW] "
เชน ufw-skip-to-policy-input (การอ้างอิง 7 รายการ)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
3 120 DROP ทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
เชน ufw-skip-to-policy-output (0 อ้างอิง)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
0 0 ยอมรับทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
เชน ufw-skip-to-policy-forward (0 ข้อมูลอ้างอิง)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
0 0 ลดทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-not-local (อ้างอิง 1 รายการ)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
12 1125 ส่งคืนทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE ตรงกับ dst-type LOCAL
0 0 คืนทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE ตรงกับ dst-type MULTICAST
4 180 คืนทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE ตรงกับ BROADCAST ประเภท dst
0 0 ufw-log-deny all -- * * 0.0.0.0/0 0.0.0.0/0 ขีดจำกัด: เฉลี่ย 3/นาที ระเบิด 10
0 0 ลดทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-user-input (อ้างอิง 1 รายการ)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
5 300 ยอมรับ tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ยอมรับ udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:51820
Chain ufw-user-output (อ้างอิง 1 รายการ)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
Chain ufw-user-forward (อ้างอิง 1 รายการ)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
Chain ufw-user-log-input (อ้างอิง 0)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
Chain ufw-user-log-output (อ้างอิง 0)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
Chain ufw-user-log-forward (อ้างอิง 0)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
Chain ufw-user-limit (อ้างอิง 0)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
0 0 บันทึกทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ขีดจำกัด: เฉลี่ย 3/นาที ระเบิด 5 ค่าสถานะ LOG 0 ระดับ 4 คำนำหน้า "[UFW LIMIT BLOCK] "
0 0 ปฏิเสธทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0 ปฏิเสธด้วย icmp-port-ไม่สามารถเข้าถึงได้
Chain ufw-user-limit-accept (0 ข้อมูลอ้างอิง)
pkts bytes target prot เลือกใช้ปลายทางต้นทาง
0 0 ยอมรับทั้งหมด -- * * 0.0.0.0/0 0.0.0.0/0