UFW permite que as regras não funcionem?

Navegue suas respostas
0

Eu tenho uma configuração de cluster com uma máquina que funciona como um gateway (chame-a de master ) e várias máquinas que possuem apenas endereços IP privados (chame-as de s01 to s09 ).

Instalei recentemente ufw on master e observei que as máquinas por trás do Gateway não podiam mais acessar a Internet externa ( wget google.com falha).

Eu olhei nos meus registros e vi linhas que pareciam com isso. 

 [609940.531858] [UFW BLOCK] IN=eth1 OUT=eth0 MAC=00:25:90:0c:e0:5b:00:25:90:32:3c:9e:08:00 SRC=192.168.0.178 DST=172.217.6.78 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=58107 DF PROTO=TCP SPT=59584 DPT=80 WINDOW=29200 RES=0x00 SYN URGP=0 MARK=0x9

Eu adicionei a seguinte regra a ufw . 

ufw allow from 192.168.0.178
ufw reload

Aqui está a saída de ufw status. 

Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
Anywhere                   ALLOW       192.168.0.178
22                         ALLOW       Anywhere (v6)

Infelizmente, wget ainda falha, e ainda vejo mais UFW BLOCK linhas como as acima em meus registros.

Como configurar corretamente o ufw para permitir o tráfego de saída dos hosts por trás do meu gateway?

    
por merlin2011 23.09.2018 / 03:10

1 resposta

1

Após algumas investigações, verifica-se que o padrão UFW rejeita solicitações de encaminhamento. Uma solução potencial era editar /etc/default/ufw e definir DEFAULT_FORWARD_POLICY="ACCEPT" , mas isso parecia inseguro.

Em vez disso, adicionei as seguintes regras a /etc/ufw/before.rules . 

# Eth0 is public, Eth1 is private.
-A FORWARD -i eth1 -o eth0 -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
    
por 23.09.2018 / 03:52

Tags

Permissão de upload do contêiner do Docker Alpine VM não salva após a reinicialização