ufw bloqueando o apt

Navegue suas respostas
2

Eu tenho o mesmo problema descrito aqui, mas a solução fornecida não funciona para mim:

ufw bloqueando o apt e o dns

Quando eu adiciono a regra ufw deny out to any , e adiciono a porta 80, 443/tcp, ssh-port como exceções, e então adiciono iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT eu ainda não sou capaz de usar o apt-get update, ou coisas similares.

root @ iof304: ~ # status do ufw Status: ativo 

To                         Action      From
--                         ------      ----
22                         DENY        Anywhere
80                         ALLOW       Anywhere
(ssh)                      LIMIT       Anywhere
22                         DENY        Anywhere (v6)
80                         ALLOW       Anywhere (v6)
(ssh)                      ALLOW       Anywhere (v6)

(ssh)                      ALLOW OUT   Anywhere
Anywhere                   DENY OUT    Anywhere
80                         ALLOW OUT   Anywhere
443/tcp                    ALLOW OUT   Anywhere
(ssh)                      ALLOW OUT   Anywhere (v6)
Anywhere (v6)              DENY OUT    Anywhere (v6)
80                         ALLOW OUT   Anywhere (v6)
443/tcp                    ALLOW OUT   Anywhere (v6)

Agora, eu vou apagar o ufw deny out to any (com isso, tudo funciona bem) mas eu gostaria de restringir tudo da melhor maneira possível, então o que eu provavelmente precisaria saber são as portas usadas para apt-get - eles têm que ser portas OUT, pois somente deny out to any bloqueia tudo, mas apt-get parece não ter problema para baixar coisas com essa regra desabilitada (isso é um sinal de que as outras portas IN não estão bloqueadas?)

Obrigado antecipadamente

    
por Katai 14.01.2013 / 16:21

4 respostas

1

Eu encontrei a resposta:

A porta 53 precisa ser aberta, para o DNS

A porta 123 também parece ser uma boa ideia

Referência da porta: link

    
por 17.01.2013 / 11:52
3

Essas regras me ajudaram a obter com sucesso a limitação de taxa no SSH, permitir entrada / saída de http e https, habilitar git e ter o apt e o aptitude funcionando sem problemas: 

ufw default deny incoming
ufw default deny outgoing
ufw limit ssh
ufw allow svn
ufw allow git
ufw allow out http
ufw allow in http 
ufw allow out https
ufw allow in https
ufw allow out 53
ufw logging on
ufw enable

Nota: iniciei estas regras com ufw reset para começar de novo.

    
por 16.11.2015 / 19:18
1

da página de manual do ufw

Rule ordering is important and the first match wins. Therefore when adding rules, add the more specific rules first with more general rules later.

da saída que você postou parece que você está com negação, tudo é pego antes de você permitir regras

    
por 14.01.2013 / 16:36
0

Então, caso isso ajude alguém, eu tenho uma lista finalizada dos meus comandos ufw para um servidor que se destina a ser um servidor web que se conecta a uma solução de armazenamento back-end montada com fusível (a implementação do fusível se comunica com o serviço de armazenamento sobre http).

Método
Eu exaustivamente passei pela lista de portas padrão (não completamente exaustivamente apenas de forma justa ... então eu provavelmente adicionei mais do que o necessário e provavelmente faltou alguns). Eu utilizei / etc / server, bem como a lista de wikipedia de portas e vários outros artigos me levaram lá ...

Lista
Enfim aqui estão os comandos em ordem: 

ufw default deny incoming
ufw default deny outgoing
ufw limit 22/tcp
ufw allow 9418/tcp
ufw limit <your custom SSH port here if not 22>/tcp
ufw allow 80
ufw allow 443
ufw allow out 80
ufw allow out 443
ufw allow out 53
ufw allow out 37
ufw allow out 101
ufw allow out 161
ufw allow out 135
ufw allow out 427
ufw allow out 43
ufw allow out 115
ufw allow out 525
ufw allow out 123
ufw allow out 873
ufw allow out 989
ufw allow out 990
ufw allow out 530
ufw allow out 546
ufw allow out 547
ufw allow out 593
ufw enable


Justificação
No caminho de um pouco de explicação, Apache = porta 80, Apache Secure = 443, (e teve que colocá-lo entre aspas para o comando passar). A porta 9418 é para o git (embora possa usar vários protocolos), 530 & 546 são IPV6, 530 & 593 são ambos relacionados com rpc.
Também o SSH não passa por UDP (assim, o / tcp no segundo comando).
Mais uma vez espero que ajude alguém.

ATUALIZAÇÃO:
O acima anteriormente NÃO permitia totalmente que o apt-get funcionasse (achei que sim, mas quando fui fazer o apt-get update eu estava obtendo resultados estranhos se o progresso parecesse ficar preso).
De qualquer forma, eu também não percebi essa linha na página man:

ufw supports both ingress and egress filtering and users may optionally specify a direction of either in or out for either incoming or outgoing traffic. If no direction is supplied, the rule applies to incoming traffic. ...

(ênfase adicionada por mim, porque, bem precisa disso).
Acontece que, junto com a porta DNS (53), você precisa ter portas HTTP / HTTPS de saída ativadas para que o apt-get funcione corretamente (faz sentido ... e o wget certamente apreciará isso também & quaisquer serviços da web, & provavelmente muitos obtêm repositórios, etc ...).



Outros recursos
link link link

    
por 13.09.2016 / 00:56

Tags

Monte o EncFS na inicialização É possível abranger “infinitamente” em vários dispositivos Dell Equalogic?