ufw virker ikke (efter hensigten)
-
- Indlæg: 16
- Tilmeldt: 19. apr 2013, 09:27
ufw virker ikke (efter hensigten)
Hej,
(1) Jeg har en regel som åbner for hele nettet på port 80:
(2) Så har jeg en regel som begrænser åbningen:
Men alligevel kan port 80 tilgås fra det spærrede IP nummer.
Hvad gør jeg mon forkert?
Pft
/Jan
(1) Jeg har en regel som åbner for hele nettet på port 80:
Kode: Vælg alt
# ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
80/tcp ALLOW IN Anywhere
...
...
(2) Så har jeg en regel som begrænser åbningen:
Kode: Vælg alt
..
..
Anywhere DENY IN 82.118.237.107
..
..
Men alligevel kan port 80 tilgås fra det spærrede IP nummer.
Hvad gør jeg mon forkert?
Pft
/Jan
-
- Indlæg: 5095
- Tilmeldt: 27. apr 2008, 02:16
- IRC nickname: lars_t_h
- Geografisk sted: Fyn
Re: ufw virker ikke (efter hensigten)
jabi27 skrev:Hej,
(1) Jeg har en regel som åbner for hele nettet på port 80:Kode: Vælg alt
# ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
80/tcp ALLOW IN Anywhere
...
...
(2) Så har jeg en regel som begrænser åbningen:Kode: Vælg alt
..
..
Anywhere DENY IN 82.118.237.107
..
..
Men alligevel kan port 80 tilgås fra det spærrede IP nummer.
Hvad gør jeg mon forkert?
Pft
/Jan
Vi skal lige have en ting på plads. ufw er ikke en firewall, men et administationsprogram til den firewall der er i kernen(=Linux).
Kernen er sådan indrettet at hvis den møder en regel, som matcher en pakke, så er det den regel der bruges, og alle andre regler efter den regel der matchede pakken vil blive ignoreret.
Med andre ord : Du skal bare bytte om på de 2 regler. Det vil sige alle deny regler først, og så din allow regel til sidst.
Jeg vil lige fortælle dig at man normalt gør det modsatte: Tillader de ting man nu vil tillade, og til sidst sætter en forbyd alle regel op, så man har helt tjek på hvem der har adgang til hvad (1 sæt regler per service).
Metode med deny først, og så allow til sidst er dog også nyttig: Jeg bruger den til at null route trafik fra lande som prøver at hacke min SSH server på min VPS (FYI, så er trafik fra Kina er storeslem på det område.).
/Lars
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags
-
- Indlæg: 16
- Tilmeldt: 19. apr 2013, 09:27
Re: ufw virker ikke (efter hensigten)
Hej Lars
Tusind tak for dit indlæg. Det er rart at have flere øjne på problemerne.
Det er vel præcist det jeg gør - altså allow'er for alle og så deny'er specifikke IP adresser ?
/Jan
Jeg vil lige fortælle dig at man normalt gør det modsatte: Tillader de ting man nu vil tillade, og til sidst sætter en forbyd alle regel op, så man har helt tjek på hvem der har adgang til hvad (1 sæt regler per service).
Tusind tak for dit indlæg. Det er rart at have flere øjne på problemerne.
Det er vel præcist det jeg gør - altså allow'er for alle og så deny'er specifikke IP adresser ?
/Jan
-
- Admin
- Indlæg: 20839
- Tilmeldt: 15. nov 2009, 15:04
- IRC nickname: AJenbo
- Geografisk sted: Vanløse, København
Re: ufw virker ikke (efter hensigten)
Han mener du skal allowe smalt og deny bredet, det er der du gør det omvendte.
-
- Indlæg: 16
- Tilmeldt: 19. apr 2013, 09:27
Re: ufw virker ikke (efter hensigten)
Hej,
Tusind tak.
Jeg har åbnet for verden, men efterhånden som softwaren 'ser' forsøg på misbrug i logfilerne, lukkes de i firewall'en.
Jeg kan jo (desværre) ikke kende 'misbrug' på forhånd.
ufw er vel baseret på, ikke at være seriel, altså at indtastningerne kan komme vilkårligt? Sådan virker det på Redhat med iptables (forsøger at lære Ubuntu's måde at gøre det på).
/Jan
AJenbo skrev:Han mener du skal allowe smalt og deny bredet, det er der du gør det omvendte.
Tusind tak.
Jeg har åbnet for verden, men efterhånden som softwaren 'ser' forsøg på misbrug i logfilerne, lukkes de i firewall'en.
Jeg kan jo (desværre) ikke kende 'misbrug' på forhånd.
ufw er vel baseret på, ikke at være seriel, altså at indtastningerne kan komme vilkårligt? Sådan virker det på Redhat med iptables (forsøger at lære Ubuntu's måde at gøre det på).
/Jan
-
- Admin
- Indlæg: 20839
- Tilmeldt: 15. nov 2009, 15:04
- IRC nickname: AJenbo
- Geografisk sted: Vanløse, København
Re: ufw virker ikke (efter hensigten)
Du har også iptables i Ubuntu så hvis du er mere vand til den kan du jo bruge den. Begge konfigurere den samme del af kernen til at filteret pakker.
-
- Indlæg: 16
- Tilmeldt: 19. apr 2013, 09:27
Re: ufw virker ikke (efter hensigten)
Tak,
Jo det er jeg klar over - det er iptables som ufw anvender. Jeg forstår bare ikke hvorfor det ikke virker
Hvis andre - som jeg - tror det virker, og det viser sig ikke at virke som 'forventet' kan rigtig mange jo være udstillet mere end de forventer, med mange uheldige ting til følge.
Pft
/Jan
AJenbo skrev:Du har også iptables i Ubuntu så hvis du er mere vand til den kan du jo bruge den. Begge konfigurere den samme del af kernen til at filteret pakker.
Jo det er jeg klar over - det er iptables som ufw anvender. Jeg forstår bare ikke hvorfor det ikke virker

Hvis andre - som jeg - tror det virker, og det viser sig ikke at virke som 'forventet' kan rigtig mange jo være udstillet mere end de forventer, med mange uheldige ting til følge.
Pft
/Jan
-
- Admin
- Indlæg: 20839
- Tilmeldt: 15. nov 2009, 15:04
- IRC nickname: AJenbo
- Geografisk sted: Vanløse, København
Re: ufw virker ikke (efter hensigten)
Det du har fortalt computeren er:
Alle må komme ind. Hvis de resterende (der er ingen for alle har allerede fået adgang) har IP 82.118.237.107 må de ikke komme ind.
Hver gang den så behandler firewallen er det første den støder på at de skal have adgang. Du skal have omskrvet det så det lyder.
Hvis nogen har IP 82.118.237.107 må de ikke komme ind. Resten må gerne komme ind.
Alle må komme ind. Hvis de resterende (der er ingen for alle har allerede fået adgang) har IP 82.118.237.107 må de ikke komme ind.
Hver gang den så behandler firewallen er det første den støder på at de skal have adgang. Du skal have omskrvet det så det lyder.
Hvis nogen har IP 82.118.237.107 må de ikke komme ind. Resten må gerne komme ind.
-
- Indlæg: 16
- Tilmeldt: 19. apr 2013, 09:27
Re: ufw virker ikke (efter hensigten)
Hej,
Tusind tak,
Korrekt - men 82.118.237.107 får jo netop lov til at komme ind.
Det er det, jeg ikke forstår.
/Jan
Tusind tak,
AJenbo skrev:Det du har fortalt computeren er:
Alle må komme ind. Hvis de resterende (der er ingen for alle har allerede fået adgang) har IP 82.118.237.107 må de ikke komme ind.
Hver gang den så behandler firewallen er det første den støder på at de skal have adgang. Du skal have omskrvet det så det lyder.
Hvis nogen har IP 82.118.237.107 må de ikke komme ind. Resten må gerne komme ind.
Korrekt - men 82.118.237.107 får jo netop lov til at komme ind.
Det er det, jeg ikke forstår.
/Jan
-
- Indlæg: 16
- Tilmeldt: 19. apr 2013, 09:27
Re: ufw virker ikke (efter hensigten)
jabi27 skrev:Hej,
Det er det, jeg ikke forstår.
Hvis jeg nu gør følgende på mål systemet:
Kode: Vælg alt
# ufw deny from 91.100.100.160 port 80
Har jeg en forventning om, at IP 91.100.100.160 ikke kan tilgå port 80 ?
Her kan jeg se resultatet:
Kode: Vælg alt
# ufw show raw | grep 91.100.100.160
148 8880 ACCEPT all -- * * 91.100.100.160 0.0.0.0/0
0 0 DROP tcp -- * * 91.100.100.160 0.0.0.0/0 tcp spt:80
0 0 DROP udp -- * * 91.100.100.160 0.0.0.0/0 udp spt:80
Men jeg *kan* stadig tilgå mål systemets http server på port 80.
Kode: Vælg alt
# grep 91.100.100.160 access.log
91.100.100.160 - jb [17/Oct/2015:08:09:03 +0200] "GET / HTTP/1.1" 200 144889 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:41.0) Gecko/20100101 Firefox/41.0"
Mystisk, synes jeg

/Jan
-
- Indlæg: 5095
- Tilmeldt: 27. apr 2008, 02:16
- IRC nickname: lars_t_h
- Geografisk sted: Fyn
Re: ufw virker ikke (efter hensigten)
jabi27 skrev:jabi27 skrev:Hej,
Det er det, jeg ikke forstår.
Hvis jeg nu gør følgende på mål systemet:Kode: Vælg alt
# ufw deny from 91.100.100.160 port 80
Har jeg en forventning om, at IP 91.100.100.160 ikke kan tilgå port 80 ?
Her kan jeg se resultatet:Kode: Vælg alt
# ufw show raw | grep 91.100.100.160
148 8880 ACCEPT all -- * * 91.100.100.160 0.0.0.0/0
0 0 DROP tcp -- * * 91.100.100.160 0.0.0.0/0 tcp spt:80
0 0 DROP udp -- * * 91.100.100.160 0.0.0.0/0 udp spt:80
Men jeg *kan* stadig tilgå mål systemets http server på port 80.Kode: Vælg alt
# grep 91.100.100.160 access.log
91.100.100.160 - jb [17/Oct/2015:08:09:03 +0200] "GET / HTTP/1.1" 200 144889 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:41.0) Gecko/20100101 Firefox/41.0"
Mystisk, synes jeg
/Jan
Det er slet ikke mystisk, da kernen møder denne regel først:
148 8880 ACCEPT all -- * * 91.100.100.160 0.0.0.0/0
.. og så lader kernen pakken slippe forbi, da den regel er det første der matcher den indkomne pakke.
Rækkefølgen af regler i en kæde (chain) er meget vigtig.
/Lars
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags
-
- Indlæg: 16
- Tilmeldt: 19. apr 2013, 09:27
Re: ufw virker ikke (efter hensigten)
148 8880 ACCEPT all -- * * 91.100.100.160 0.0.0.0/0
.. og så lader kernen pakken slippe forbi, da den regel er det første der matcher den indkomne pakke.
/Lars
Takker,
Prøver at ændre rækkefølgen

-
- Indlæg: 293
- Tilmeldt: 12. maj 2014, 18:29
- Geografisk sted: Kolding
Re: ufw virker ikke (efter hensigten)
Hej
deny all er standard i alle firewalls som den sidste regel
deny all er standard i alle firewalls som den sidste regel
-
- Indlæg: 16
- Tilmeldt: 19. apr 2013, 09:27
Re: ufw virker ikke (efter hensigten)
martin joergensen skrev:Hej
deny all er standard i alle firewalls som den sidste regel
Jo det ser jeg nu og vil holde op med at bruge ufw (UncomplicatedFirewall) som jeg ikke synes lever op til navnet og i stedet bruge iptables.
Tusind tak til jer alle.
/Jan
-
- Indlæg: 5095
- Tilmeldt: 27. apr 2008, 02:16
- IRC nickname: lars_t_h
- Geografisk sted: Fyn
Re: ufw virker ikke (efter hensigten)
jabi27 skrev:martin joergensen skrev:Hej
deny all er standard i alle firewalls som den sidste regel
Jo det ser jeg nu og vil holde op med at bruge ufw (UncomplicatedFirewall) som jeg ikke synes lever op til navnet og i stedet bruge iptables.
Tusind tak til jer alle.
/Jan
Bemærk at de 2 programmer piller ved de samme steder i kernen.
Du kunne bruge en af de andre gode grafiske firewall programmer til at lave firewall regelerne på en desktop maskine - trække reglerne ud med en iptables kommando på desktop maskinen, og sætte dem ind i maskinen/maskinerne hvor de skal bruge - også med en iptables kommando.
Reglerne transporteres imellem maskinerne i en simpel tekst fil.
/Lars
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags
Tilbage til "Tekniske spørgsmål generelt"
Hvem er online
Brugere der læser dette forum: [Crawler] og 1 gæst