ufw virker ikke (efter hensigten)

[jabi27]

Hej,

(1) Jeg har en regel som åbner for hele nettet på port 80:

Kode: Vælg alt

# ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
80/tcp                     ALLOW IN    Anywhere
...
...


(2) Så har jeg en regel som begrænser åbningen:

Kode: Vælg alt

..
..
Anywhere                   DENY IN     82.118.237.107
..
..



Men alligevel kan port 80 tilgås fra det spærrede IP nummer.

Hvad gør jeg mon forkert?

Pft

/Jan

[lath]

Hej,

(1) Jeg har en regel som åbner for hele nettet på port 80:

Kode: Vælg alt

# ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
80/tcp                     ALLOW IN    Anywhere
...
...


(2) Så har jeg en regel som begrænser åbningen:

Kode: Vælg alt

..
..
Anywhere                   DENY IN     82.118.237.107
..
..



Men alligevel kan port 80 tilgås fra det spærrede IP nummer.

Hvad gør jeg mon forkert?

Pft

/Jan

Vi skal lige have en ting på plads. ufw er ikke en firewall, men et administationsprogram til den firewall der er i kernen(=Linux).
Kernen er sådan indrettet at hvis den møder en regel, som matcher en pakke, så er det den regel der bruges, og alle andre regler efter den regel der matchede pakken vil blive ignoreret.

Med andre ord : Du skal bare bytte om på de 2 regler. Det vil sige alle deny regler først, og så din allow regel til sidst.

Jeg vil lige fortælle dig at man normalt gør det modsatte: Tillader de ting man nu vil tillade, og til sidst sætter en forbyd alle regel op, så man har helt tjek på hvem der har adgang til hvad (1 sæt regler per service).
Metode med deny først, og så allow til sidst er dog også nyttig: Jeg bruger den til at null route trafik fra lande som prøver at hacke min SSH server på min VPS (FYI, så er trafik fra Kina er storeslem på det område.).

/Lars

[jabi27]

Hej Lars

Jeg vil lige fortælle dig at man normalt gør det modsatte: Tillader de ting man nu vil tillade, og til sidst sætter en forbyd alle regel op, så man har helt tjek på hvem der har adgang til hvad (1 sæt regler per service).

Tusind tak for dit indlæg. Det er rart at have flere øjne på problemerne.

Det er vel præcist det jeg gør - altså allow'er for alle og så deny'er specifikke IP adresser ?

/Jan

[AJenbo]

Han mener du skal allowe smalt og deny bredet, det er der du gør det omvendte.

[jabi27]

Hej,

Han mener du skal allowe smalt og deny bredet, det er der du gør det omvendte.

Tusind tak.

Jeg har åbnet for verden, men efterhånden som softwaren 'ser' forsøg på misbrug i logfilerne, lukkes de i firewall'en.

Jeg kan jo (desværre) ikke kende 'misbrug' på forhånd.

ufw er vel baseret på, ikke at være seriel, altså at indtastningerne kan komme vilkårligt? Sådan virker det på Redhat med iptables (forsøger at lære Ubuntu's måde at gøre det på).

/Jan

[AJenbo]

Du har også iptables i Ubuntu så hvis du er mere vand til den kan du jo bruge den. Begge konfigurere den samme del af kernen til at filteret pakker.

[jabi27]

Tak,

Du har også iptables i Ubuntu så hvis du er mere vand til den kan du jo bruge den. Begge konfigurere den samme del af kernen til at filteret pakker.

Jo det er jeg klar over - det er iptables som ufw anvender. Jeg forstår bare ikke hvorfor det ikke virker

Hvis andre - som jeg - tror det virker, og det viser sig ikke at virke som 'forventet' kan rigtig mange jo være udstillet mere end de forventer, med mange uheldige ting til følge.

Pft

/Jan

[AJenbo]

Det du har fortalt computeren er:

Alle må komme ind. Hvis de resterende (der er ingen for alle har allerede fået adgang) har IP 82.118.237.107 må de ikke komme ind.

Hver gang den så behandler firewallen er det første den støder på at de skal have adgang. Du skal have omskrvet det så det lyder.
Hvis nogen har IP 82.118.237.107 må de ikke komme ind. Resten må gerne komme ind.

[jabi27]

Hej,

Tusind tak,

Det du har fortalt computeren er:

Alle må komme ind. Hvis de resterende (der er ingen for alle har allerede fået adgang) har IP 82.118.237.107 må de ikke komme ind.

Hver gang den så behandler firewallen er det første den støder på at de skal have adgang. Du skal have omskrvet det så det lyder.
Hvis nogen har IP 82.118.237.107 må de ikke komme ind. Resten må gerne komme ind.

Korrekt - men 82.118.237.107 får jo netop lov til at komme ind.

Det er det, jeg ikke forstår.

/Jan

[jabi27]

Hej,
Det er det, jeg ikke forstår.

Hvis jeg nu gør følgende på mål systemet:

Kode: Vælg alt

# ufw deny from 91.100.100.160 port 80

Har jeg en forventning om, at IP 91.100.100.160 ikke kan tilgå port 80 ?

Her kan jeg se resultatet:

Kode: Vælg alt

# ufw show raw | grep 91.100.100.160

148  8880 ACCEPT     all  --  *      *       91.100.100.160       0.0.0.0/0           
0        0    DROP       tcp  --  *      *       91.100.100.160       0.0.0.0/0      tcp spt:80
0        0   DROP       udp  --  *      *       91.100.100.160      0.0.0.0/0     udp spt:80


Men jeg *kan* stadig tilgå mål systemets http server på port 80.

Kode: Vælg alt

# grep 91.100.100.160 access.log

91.100.100.160 - jb [17/Oct/2015:08:09:03 +0200] "GET / HTTP/1.1" 200 144889 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:41.0) Gecko/20100101 Firefox/41.0"


Mystisk, synes jeg

/Jan

[lath]

Hej,
Det er det, jeg ikke forstår.

Hvis jeg nu gør følgende på mål systemet:

Kode: Vælg alt

# ufw deny from 91.100.100.160 port 80

Har jeg en forventning om, at IP 91.100.100.160 ikke kan tilgå port 80 ?

Her kan jeg se resultatet:

Kode: Vælg alt

# ufw show raw | grep 91.100.100.160

148  8880 ACCEPT     all  --  *      *       91.100.100.160       0.0.0.0/0           
0        0    DROP       tcp  --  *      *       91.100.100.160       0.0.0.0/0      tcp spt:80
0        0   DROP       udp  --  *      *       91.100.100.160      0.0.0.0/0     udp spt:80


Men jeg *kan* stadig tilgå mål systemets http server på port 80.

Kode: Vælg alt

# grep 91.100.100.160 access.log

91.100.100.160 - jb [17/Oct/2015:08:09:03 +0200] "GET / HTTP/1.1" 200 144889 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:41.0) Gecko/20100101 Firefox/41.0"


Mystisk, synes jeg

/Jan

Det er slet ikke mystisk, da kernen møder denne regel først:

148 8880 ACCEPT all -- * * 91.100.100.160 0.0.0.0/0

.. og så lader kernen pakken slippe forbi, da den regel er det første der matcher den indkomne pakke.

Rækkefølgen af regler i en kæde (chain) er meget vigtig.

/Lars

[jabi27]

148 8880 ACCEPT all -- * * 91.100.100.160 0.0.0.0/0

.. og så lader kernen pakken slippe forbi, da den regel er det første der matcher den indkomne pakke.

/Lars

Takker,

Prøver at ændre rækkefølgen og kan vel så tolke, at "deny all" ting og sager, bør komme til sidst.

[martin joergensen]

Hej

deny all er standard i alle firewalls som den sidste regel

[jabi27]

Hej

deny all er standard i alle firewalls som den sidste regel

Jo det ser jeg nu og vil holde op med at bruge ufw (UncomplicatedFirewall) som jeg ikke synes lever op til navnet og i stedet bruge iptables.

Tusind tak til jer alle.

/Jan

[lath]

Hej

deny all er standard i alle firewalls som den sidste regel

Jo det ser jeg nu og vil holde op med at bruge ufw (UncomplicatedFirewall) som jeg ikke synes lever op til navnet og i stedet bruge iptables.

Tusind tak til jer alle.

/Jan

Bemærk at de 2 programmer piller ved de samme steder i kernen.

Du kunne bruge en af de andre gode grafiske firewall programmer til at lave firewall regelerne på en desktop maskine - trække reglerne ud med en iptables kommando på desktop maskinen, og sætte dem ind i maskinen/maskinerne hvor de skal bruge - også med en iptables kommando.
Reglerne transporteres imellem maskinerne i en simpel tekst fil.

/Lars