UFW, permitir de wlan para eth

Question

UFW, permitir de wlan para eth

#1 resposta do linux-newbie (1 votos)

1

Eu gostaria de usar meu notebook Ubuntu 12.04 como um hotsport wifi para o meu smatphone. Tudo está indo bem, usando dnsmasq e hostapd e permitindo as portas 68 e 53 no UFW. Mas para acessar a web o UFW deve estar desabilitado. A conexão está ok (wifi está conectado, IP foi recebido corretamente, consulta de DNS foi encaminhada ...) No log completo do UFW eu vejo:

Oct  3 17:09:41 ccd-7840l kernel: [28302.397796] [UFW AUDIT] IN=wlan1 OUT=eth8 MAC=8c:...:00 SRC=192.168.0.59 DST=74.125.234.196 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=22391 DF PROTO=TCP SPT=46279 DPT=443 WINDOW=14600 RES=0x00 SYN URGP=0 
Oct  3 17:09:41 ccd-7840l kernel: [28302.397841] [UFW BLOCK] IN=wlan1 OUT=eth8 MAC=8c:...:00 SRC=192.168.0.59 DST=74.125.234.196 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=22391 DF PROTO=TCP SPT=46279 DPT=443 WINDOW=14600 RES=0x00 SYN URGP=0

Em seguida, adicionei as seguintes regras:

sudo ufw allow from 192.168.0.59
sudo ufw allow in on wlan1 from  192.168.0.48/28

Mas ainda está bloqueando. Eu não sei o que procurar no Google para corrigir isso:)

por gabriel_agm 03.10.2013 / 22:16

1 resposta

Spotty wireless no Acer C7 com 13.04 Não é possível atualizar o software

score 1 · Accepted Answer

Esta solução funcionou para mim.

Primeiro, o encaminhamento de pacotes precisa ser ativado no ufw. Dois arquivos de configuração precisarão ser ajustados, em / etc / default / ufw altere o DEFAULT_FORWARD_POLICY para “ACCEPT”:

% bl0ck_qu0te%

Em seguida, edite /etc/ufw/sysctl.conf e descomente: (Eu acho que o seu script para iniciar o hotspot virtual já definiu o IP Forwarding. Portanto, você pode pular esta etapa ou pode querer remover a linha de encaminhamento de IP do seu script. )

net/ipv4/ip_forward=1

Da mesma forma, para o comentário de encaminhamento IPv6:

net/ipv6/conf/default/forwarding=1

Agora vamos adicionar regras ao arquivo /etc/ufw/before.rules. As regras padrão apenas configuram a tabela de filtros e, para ativar o mascaramento, a tabela nat precisará ser configurada. Adicione o seguinte ao topo do arquivo logo após os comentários do cabeçalho: (Novamente, se você tiver um script que você usa para iniciar seu hotspot, você pode, ou provavelmente deve, remover qualquer linha relacionada ao masqueradaing de lá.)

># nat Table rules
>*nat
>:POSTROUTING ACCEPT [0:0]

># Forward traffic through eth8.
>-A POSTROUTING -s 192.168.0.0/24 -o eth8 -j MASQUERADE

># don't delete the 'COMMIT' line or these nat table rules won't be processed
>COMMIT

Os comentários não são estritamente necessários, mas é considerado uma boa prática documentar sua configuração. Além disso, ao modificar qualquer um dos arquivos de regras em / etc / ufw, certifique-se de que essas linhas sejam a última linha de cada tabela modificada:

# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT

Para cada Tabela, é necessária uma instrução COMMIT correspondente. Nesses exemplos, apenas as tabelas nat e filter são mostradas, mas você também pode adicionar regras para as tabelas raw e mangle. [Nota]

No exemplo acima, substitua eth8 e 192.168.0.0/24 pelas interfaces e pelo intervalo de IP apropriados para sua rede.

Finalmente, desative e reative o ufw para aplicar as alterações:

sudo ufw disable && sudo ufw enable

O

IP Masquerading agora deve estar ativado. Você também pode adicionar quaisquer regras FORWARD adicionais ao /etc/ufw/before.rules. Recomenda-se que essas regras adicionais sejam adicionadas à cadeia ufw-before-forward.