Recentemente, adicionei algumas regras ao GUFW para garantir que apenas minha conexão VPN (pessoal) seja permitida, x.x.x.x sendo meu ip, y.y.y.y sendo o IP da minha VPN ao qual me conecto.
Para - Ação - De
y.y.y.y ALLOW OUT x.x.x.x
Anywhere DENY OUT x.x.x.x
Até agora, tudo funcionou bem: nada poderia passar, exceto a minha conexão VPN, que teria tudo que fosse feito através dele. Internet, tudo funciona.
Eu quero digitalizar um host (t.t.t.t) na minha rede doméstica para identificá-lo. Então eu tento fazer uma varredura Syn usando o nmap:
sudo nmap t.t.t.t -sS -v
No entanto, parece que o firewall está bloqueando os probes, já que estou recebendo isso:
sendto in send_ip_packet_sd: sendto(5, packet, 44, 0, t.t.t.t, 16) => Operation not permitted
Então, adicionei esta regra:
x.x.0.0/16 ALLOW OUT x.x.x.x
Estranhamente, ainda recebo o mesmo erro, mesmo que eu use uma máscara de rede / 24. Desativar o firewall faz o truque, mas estou procurando uma solução real lá.
Qualquer pista sobre o que pode ser o problema? Obrigado.
RESOLVIDO : A ordem das regras do iptables é muito importante. Como gufw é uma simplificação, tive que mudar a ordem das regras. PRIMEIRO, você PERMITE que a interface se comunique com a sub-rede, ENTÃO você DENY a interface a comunicação para o resto do mundo. Eu posso pingar, escanear, etc, a sub-rede agora, e o resto da internet é bloqueado se eu não estiver usando a VPN: pings, scan ... não posso ir para fora.
Como eu disse na minha edição, a ordem das regras é muito importante.
Mesmo para o gufw, você precisa levar isso em conta. Então, para fazer o que pretendia fazer:
Primeiro, você PERMITE que a interface comunique-se com a sub-rede (x.x.0.0 / 16) e, em seguida, NEGA a comunicação com o resto do mundo.
Eu inverti a ordem, sem saber qual regra seria levada em consideração primeiro.
Tags networking vpn firewall nmap linux