Como adiciono uma regra de encaminhamento no UFW? [duplicado]

Navegue suas respostas
0

Eu configurei um servidor Ubuntu com 2 placas de rede como um roteador básico usando dnsmasq como o servidor DNS e DHCP e estou usando ufw para controlar iptables .

Tudo funciona e acho que tenho uma boa compreensão básica do que está acontecendo.

No entanto, para encaminhar pacotes, tenho que definir DEFAULT_FORWARD_POLICY="ACCEPT" em /etc/default/ufw . O arquivo de configuração afirma que eu provavelmente também quero ajustar minhas regras.

Eu ajustei /etc/ufw/before.rules e adicionei: 

*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 192.168.0.0/24 -o enp0s3 -j MASQUERADE

Então, minha pergunta é:

É ruim definir o padrão para "ACCEPT"? Não posso deixar a política padrão como "DROP" e adicionar uma regra de encaminhamento ao UFW?

Adicionei uma regra de encaminhamento, mas ela não encaminhou pacotes. 

sudo ufw route allow in on enp0s8 out on enp0s3 to 0.0.0.0/24 from 192.168.0.0/24
    
por hatterman 07.09.2017 / 17:47

1 resposta

2

Bem, eu tenho vários comentários:

  1. Você DEVE "ACEITAR" de acordo com "set DEFAULT_FORWARD_POLICY=" ACCEPT "para encaminhar o tráfego entre suas duas placas de rede. Se você usou iptables, em vez de UFW, poderia escrever regras mais específicas se assim o desejar.

  2. Por padrão, o que você quer dizer com "ACCEPT"? Se, por padrão, você aceitar todo o tráfego, será o mesmo que não executar um firewall. Você pode simplesmente desativar seu firewall.

Definir a política padrão como REJECT será bloqueada se você liberar suas regras.

IMO é melhor manter o padrão como ACCEPT, escreva todas as regras para o que aceitar e depois REJEITAR como regra final no iptables. Dessa forma, você não será bloqueado se liberar as regras.

  1. Não use DROP, use REJECT - Veja link

  2. Realmente não podemos dizer quais regras usar ou como escrevê-las sem mais informações.

Quais servidores você está executando? Qual tráfego você deseja encaminhar? Quais são suas regras atuais?

IMO se você estiver escrevendo regras extensas e complexas às vezes é mais fácil usar o iptables em relação ao UFW.

    
por Panther 07.09.2017 / 17:59
Usando o preseed, como seleciono o kernel do HWE? Uma abreviação para rIght-click… paste