web-dev-qa-db-fra.com

UFW BLOCK syslog - TCP / IP est bloqué et autorisé dans UFW - Serveur de rapports GPS TRACKING / TCP / UDP

Eh bien, je suis nouveau dans ce domaine, j’ai cherché une solution à mon problème, réinitialisez-le et recommencez, spécifiez le port et le protocole, le port d’entrée et de sortie avec un protocole, mais je ne peux pas.

Information

problème: Le pare-feu en bloque certains, mais pas tous, mais certains ips entrants dans le port que je configure pour permettre aux tcp et udp entrants, j’ai vu des erreurs dans syslog avec la balise [UFW BLOCK] SPT=45000 DPT=1563...

Ce que je veux: seulement les ports ouverts ssh, http et vont de 1500 à 1600 tcp et udp ...

Comment je l'ai configuré

Mes commandes de configuration du pare-feu pour autoriser les connexions entrantes et sortantes

ufw allow 22
ufw allow 80
ufw allow 1500:1600/tcp
ufw allow 1500:1600/udp

Statut du pare-feu avec ufw

root@u19312139:~# ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
80                         ALLOW       Anywhere
1500:1600/tcp            ALLOW       Anywhere
1500:1600/udp            ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)
80 (v6)                    ALLOW       Anywhere (v6)
1500:1600/tcp (v6)       ALLOW       Anywhere (v6)
1500:1600/udp (v6)       ALLOW       Anywhere (v6)



journal syslog

remarque: commande pour voir en temps réel uniquement les lignes syslog qui ont "UFW"

tail -f /var/log/syslog | grep "UFW"

Ma sortie

[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=189.173.30.x DST=xx:xx:xx:xx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=52308 DF PROTO=TCP SPT=52572 DPT=1557 WINDOW=1445 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=189.173.30.x DST=xx:xx:xx:xx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=52309 DF PROTO=TCP SPT=52572 DPT=1557 WINDOW=1445 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=189.173.30.x DST=xx:xx:xx:xx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=12518 DF PROTO=TCP SPT=62545 DPT=80 WINDOW=1445 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=189.173.30.x DST=xx:xx:xx:xx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=52310 DF PROTO=TCP SPT=52572 DPT=1557 WINDOW=1445 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=189.173.30.x DST=xx:xx:xx:xx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=12519 DF PROTO=TCP SPT=62545 DPT=80 WINDOW=1445 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=189.173.30.x DST=xx:xx:xx:xx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=52311 DF PROTO=TCP SPT=52572 DPT=1557 WINDOW=1445 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=189.173.30.x DST=xx:xx:xx:xx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=12520 DF PROTO=TCP SPT=62545 DPT=80 WINDOW=1445 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=189.173.30.x DST=xx:xx:xx:xx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=52312 DF PROTO=TCP SPT=52572 DPT=1557 WINDOW=1445 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=187.237.167.x DST=xx:xx:xx:xx LEN=40 TOS=0x00 PREC=0x00 TTL=115 ID=2280 DF PROTO=TCP SPT=42542 DPT=1563 WINDOW=10880 RES=0x00 ACK URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=189.173.30.x DST=xx:xx:xx:xx LEN=52 TOS=0x00 PREC=0x00 TTL=53 ID=12521 DF PROTO=TCP SPT=62545 DPT=80 WINDOW=1445 RES=0x00 ACK FIN URGP=0
[UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=187.210.142.x DST=xx:xx:xx:xx LEN=40 TOS=0x00 PREC=0x00 TTL=117 ID=6018 PROTO=TCP SPT=48744 DPT=1563 WINDOW=8160 RES=0x00 ACK URGP=0

Notes:

  • SPT = is port source ?.
  • DPT est le port, non?, Mais il est dans la plage 15xx, et je mets dans le pare-feu autoriser 1500 à 1600.
  • Que puis-je faire pour résoudre ce problème, je pense que je le fais bien, mais le [UFW BLOCK] indique que la connexion de blocage ufw depuis quelques ips ...
14.04networkingiptablesufwsyslog
1
DarckBlezzer

Pour le service informatique qui utilise le suivi GPS iptables, j’ai résolu mon problème, permettant aux ports de fonctionner avec cette solution ....

Certains rapports de suivi gps sur le serveur beaucoup, dans une courte période de temps ... et il va générer un paquet invalide, nous voulons les autoriser tous ...

exemple:

avant d'ajouter des règles dans le fichier before.rules i supprime les ports de plage autorisés avec ufw

ufw delete allow 1500:1600/tcp
ufw delete allow 1500:1600/udp

puis éditez /etc/ufw/before.rules avant drop INBALID Packets ajoutez les ports autoriser que vous voulez ...

# quickly process packets for which we already have a connection
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# these ports sometimes generate invalid packets, just accept everything for now
-A ufw-before-input -p tcp -m multiport --dports 1500:1600 -j ACCEPT
-A ufw-before-input -p udp -m multiport --dports 1500:1600 -j ACCEPT

# drop INVALID packets (logs these in loglevel medium and higher)
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP

J'ajoute le code pour autoriser la plage d'ips avec le protocole TCP/UDP après cela faire un

ufw reload

et voir si cela prend des changements ... voir iptables -S et iptables -L

note: autoriser des ports spécifiques que vous avez des problèmes,

exemple: si je veux autoriser une plage de ports oa ports spécifiques mais qu'un port xx me montre les balises UFW BLOCK dans syslog, tail -f /var/logs/syslog | grep "UFW BLOCK" vous devez ajouter ce port dans /etc/ufw/before.rules et dans /etc/ufw/before6.rules

ajoutez seulement que vous avez des problèmes ... pas tous ...

Pour ceux qui ont des balises comme UFW BLOCK avec ACK FIN et RST

Comportement étrange UFW. Bloque certaines requêtes du port 80 lorsqu'on lui dit de ne pas le faire.

Pourquoi ufw enregistre-t-il les messages 'BLOCK' concernant un port pour lequel ufw est configuré pour les connexions 'ALLOW'?

0
DarckBlezzer

Examiner vos règles et les comparer à votre journal soulève quelques questions. On dirait que vous essayez de contrôler tout le trafic depuis et vers votre interface. Le problème ici est que si vous comparez le paquet bloqué à votre liste de pare-feu, vous devez trouver la règle selon laquelle le paquet correspond. Tous les paquets que vous avez bloqués ont des ports de destination figurant sur votre liste, mais des ports sources non. Si mon ordinateur initie la communication avec un serveur Web http standard sur votre ordinateur, ma destination est le port 80 et ma source est un nombre aléatoire, probablement dans la plage des 50 000+. Disons simplement que le mien est 62545. Lorsque votre serveur Web essaie de me répondre, il doit être autorisé à sortir de votre interface sur le port 80 destiné à mon 62545. Où sur votre liste d'autorisations est-il permis d'avoir un paquet à 62545 ? S'il n'y a pas de correspondance, le paquet sera bloqué. Si vous regardez la deuxième à la dernière entrée du journal affichée, c’est exactement le scénario que je viens d’expliquer. Nulle part sur votre liste cela ne permet à un paquet d'aller à 62545.

Cela laisse deux choses à considérer. Premièrement, le pare-feu a une signification particulière si vous initiez une communication de votre interface vers un port de destination, disons 80, le paquet de retour sera autorisé. Le même paquet ne peut pas entrer dans votre interface de l'extérieur s'il n'a pas été d'abord lancé de l'intérieur. Je pense que vous essayez peut-être de contrôler trop votre trafic sortant. En second lieu, vous contrôlez le routage entre les interfaces. Si tel est le cas, la configuration de la règle nécessite davantage d'informations dans votre syntaxe (tapez: 'man ufw' dans la ligne de commande pour plus de détails). En règle générale, je saisis des règles détaillées, comme je l’ai déjà montré, mais uniquement du côté entrant, car je ne fais pas de routage entre les interfaces. La règle détaillée facilite la réévaluation ultérieure des règles en cas de doute sur la configuration de UFW. Essayez de supprimer les règles si vous ne routez pas et voyez si le problème est résolu. Je peux me tromper, mais c’est ainsi que j’interprète UFW et l’utilise avec succès. Bonne chance. J'espère que cela t'aides.

0
EnterUserNameHere