Eu encontrei a resposta:
A porta 53 precisa ser aberta, para o DNS
A porta 123 também parece ser uma boa ideia
Referência da porta: link
Eu tenho o mesmo problema descrito aqui, mas a solução fornecida não funciona para mim:
Quando eu adiciono a regra ufw deny out to any
, e adiciono a porta 80, 443/tcp, ssh-port
como exceções, e então adiciono iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
eu ainda não sou capaz de usar o apt-get update, ou coisas similares.
root @ iof304: ~ # status do ufw Status: ativo
To Action From
-- ------ ----
22 DENY Anywhere
80 ALLOW Anywhere
(ssh) LIMIT Anywhere
22 DENY Anywhere (v6)
80 ALLOW Anywhere (v6)
(ssh) ALLOW Anywhere (v6)
(ssh) ALLOW OUT Anywhere
Anywhere DENY OUT Anywhere
80 ALLOW OUT Anywhere
443/tcp ALLOW OUT Anywhere
(ssh) ALLOW OUT Anywhere (v6)
Anywhere (v6) DENY OUT Anywhere (v6)
80 ALLOW OUT Anywhere (v6)
443/tcp ALLOW OUT Anywhere (v6)
Agora, eu vou apagar o ufw deny out to any
(com isso, tudo funciona bem) mas eu gostaria de restringir tudo da melhor maneira possível, então o que eu provavelmente precisaria saber são as portas usadas para apt-get
- eles têm que ser portas OUT, pois somente deny out to any
bloqueia tudo, mas apt-get
parece não ter problema para baixar coisas com essa regra desabilitada (isso é um sinal de que as outras portas IN não estão bloqueadas?)
Obrigado antecipadamente
Eu encontrei a resposta:
A porta 53 precisa ser aberta, para o DNS
A porta 123 também parece ser uma boa ideia
Referência da porta: link
Essas regras me ajudaram a obter com sucesso a limitação de taxa no SSH, permitir entrada / saída de http e https, habilitar git e ter o apt e o aptitude funcionando sem problemas:
ufw default deny incoming
ufw default deny outgoing
ufw limit ssh
ufw allow svn
ufw allow git
ufw allow out http
ufw allow in http
ufw allow out https
ufw allow in https
ufw allow out 53
ufw logging on
ufw enable
Nota: iniciei estas regras com ufw reset
para começar de novo.
Rule ordering is important and the first match wins. Therefore when adding rules, add the more specific rules first with more general rules later.
da saída que você postou parece que você está com negação, tudo é pego antes de você permitir regras
Então, caso isso ajude alguém, eu tenho uma lista finalizada dos meus comandos ufw para um servidor que se destina a ser um servidor web que se conecta a uma solução de armazenamento back-end montada com fusível (a implementação do fusível se comunica com o serviço de armazenamento sobre http).
Método
Eu exaustivamente passei pela lista de portas padrão (não completamente exaustivamente apenas de forma justa ... então eu provavelmente adicionei mais do que o necessário e provavelmente faltou alguns).
Eu utilizei / etc / server, bem como a lista de wikipedia de portas e vários outros artigos me levaram lá ...
Lista
Enfim aqui estão os comandos em ordem:
ufw default deny incoming
ufw default deny outgoing
ufw limit 22/tcp
ufw allow 9418/tcp
ufw limit <your custom SSH port here if not 22>/tcp
ufw allow 80
ufw allow 443
ufw allow out 80
ufw allow out 443
ufw allow out 53
ufw allow out 37
ufw allow out 101
ufw allow out 161
ufw allow out 135
ufw allow out 427
ufw allow out 43
ufw allow out 115
ufw allow out 525
ufw allow out 123
ufw allow out 873
ufw allow out 989
ufw allow out 990
ufw allow out 530
ufw allow out 546
ufw allow out 547
ufw allow out 593
ufw enable
Justificação
No caminho de um pouco de explicação, Apache = porta 80, Apache Secure = 443, (e teve que colocá-lo entre aspas para o comando passar).
A porta 9418 é para o git (embora possa usar vários protocolos), 530 & 546 são IPV6, 530 & 593 são ambos relacionados com rpc.
Também o SSH não passa por UDP (assim, o / tcp no segundo comando).
Mais uma vez espero que ajude alguém.
ATUALIZAÇÃO:
O acima anteriormente NÃO permitia totalmente que o apt-get funcionasse (achei que sim, mas quando fui fazer o apt-get update eu estava obtendo resultados estranhos se o progresso parecesse ficar preso).
De qualquer forma, eu também não percebi essa linha na página man:
ufw supports both ingress and egress filtering and users may optionally specify a direction of either in or out for either incoming or outgoing traffic. If no direction is supplied, the rule applies to incoming traffic. ...
(ênfase adicionada por mim, porque, bem precisa disso).
Acontece que, junto com a porta DNS (53), você precisa ter portas HTTP / HTTPS de saída ativadas para que o apt-get funcione corretamente (faz sentido ... e o wget certamente apreciará isso também & quaisquer serviços da web, & provavelmente muitos obtêm repositórios, etc ...).