Você precisa adicionar o seguinte em iptables
, já que ufw
apenas faz interface com ele.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Eu instalei o ufw no meu sistema Debian da seguinte forma:
# aptitude install ufw
# ufw limit 22
# ufw allow 80
# ufw allow 443
# ufw enable
# ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
To Action From
-- ------ ----
20 LIMIT Anywhere
80 ALLOW Anywhere
443 ALLOW Anywhere
Um ping google.com
simples falha, e também aptitude install
falhará. Eu procurei no serverfault por respostas. Uma solução foi permitir a porta 53 para o DNS - não ajudou. Ou ufw allow out 1024:65535/udp
junto com a porta 53 - não ajudou.
O que funcionou foi permitir o meu servidor DNS como ufw allow from [DNS IP]
; mas isso não é solução se você me perguntar.
apt-get e aptitude são todos bloqueados pelo ufw. Não foi possível encontrar nada sobre como permitir a instalação de coisas novas. Um exemplo de entrada de log do ufw:
Aug 12 17:31:08 host kernel: [535454.665168] [UFW BLOCK] IN=eth0 OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:00:00 SRC=0.0.0.0 DST=0.0.0.0 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=0 DF PROTO=TCP SPT=80 DPT=41343 WINDOW=14480 RES=0x00 ACK SYN URGP=0
Alguma idéia?
O que funcionou para mim, usando o Ubuntu aqui (14.04 e 14.10 no momento da redação deste texto), vem do seguinte artigo: link
iptables -A ufw-before-output -m owner --uid-owner root -p tcp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A ufw-before-output -m owner --uid-owner root -p udp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Pode não ser uma solução ideal. Mas me permite autorizar apt comandos por usuário.
Eu tive um problema com pptpd + ufw - as solicitações para o DNS foram bloqueadas mesmo se eu permitir 53 portas. Você tentou abrir /etc/default/ufw
e alterar a opção "DEFAULT_FORWARD_POLICY" de "DROP" para "ACCEPT"? Fez o truque para mim.
Essas regras me ajudaram a obter com sucesso a limitação de taxa no SSH, permitir entrada / saída de http e https, habilitar git e ter o apt e o aptitude funcionando sem problemas:
ufw default deny incoming
ufw default deny outgoing
ufw limit ssh
ufw allow svn
ufw allow git
ufw allow out http
ufw allow in http
ufw allow out https
ufw allow in https
ufw allow out 53
ufw logging on
ufw enable
Nota: iniciei estas regras com ufw reset
FIRST para começar de novo.