ufw virker ikke (efter hensigten)

Alle tekniske spørgsmål som ikke hører ind under de andre fora.
jabi27
Indlæg: 16
Tilmeldt: 19. apr 2013, 09:27

ufw virker ikke (efter hensigten)

Indlæg af jabi27 »

Hej,

(1) Jeg har en regel som åbner for hele nettet på port 80:

Kode: Vælg alt

# ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
80/tcp                     ALLOW IN    Anywhere
...
...


(2) Så har jeg en regel som begrænser åbningen:

Kode: Vælg alt

..
..
Anywhere                   DENY IN     82.118.237.107
..
..



Men alligevel kan port 80 tilgås fra det spærrede IP nummer.

Hvad gør jeg mon forkert?

Pft

/Jan
lath
Indlæg: 5095
Tilmeldt: 27. apr 2008, 02:16
IRC nickname: lars_t_h
Geografisk sted: Fyn

Re: ufw virker ikke (efter hensigten)

Indlæg af lath »

jabi27 skrev:Hej,

(1) Jeg har en regel som åbner for hele nettet på port 80:

Kode: Vælg alt

# ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
80/tcp                     ALLOW IN    Anywhere
...
...


(2) Så har jeg en regel som begrænser åbningen:

Kode: Vælg alt

..
..
Anywhere                   DENY IN     82.118.237.107
..
..



Men alligevel kan port 80 tilgås fra det spærrede IP nummer.

Hvad gør jeg mon forkert?

Pft

/Jan

Vi skal lige have en ting på plads. ufw er ikke en firewall, men et administationsprogram til den firewall der er i kernen(=Linux).
Kernen er sådan indrettet at hvis den møder en regel, som matcher en pakke, så er det den regel der bruges, og alle andre regler efter den regel der matchede pakken vil blive ignoreret.

Med andre ord : Du skal bare bytte om på de 2 regler. Det vil sige alle deny regler først, og så din allow regel til sidst.

Jeg vil lige fortælle dig at man normalt gør det modsatte: Tillader de ting man nu vil tillade, og til sidst sætter en forbyd alle regel op, så man har helt tjek på hvem der har adgang til hvad (1 sæt regler per service).
Metode med deny først, og så allow til sidst er dog også nyttig: Jeg bruger den til at null route trafik fra lande som prøver at hacke min SSH server på min VPS (FYI, så er trafik fra Kina er storeslem på det område.).

/Lars
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags
jabi27
Indlæg: 16
Tilmeldt: 19. apr 2013, 09:27

Re: ufw virker ikke (efter hensigten)

Indlæg af jabi27 »

Hej Lars

Jeg vil lige fortælle dig at man normalt gør det modsatte: Tillader de ting man nu vil tillade, og til sidst sætter en forbyd alle regel op, så man har helt tjek på hvem der har adgang til hvad (1 sæt regler per service).


Tusind tak for dit indlæg. Det er rart at have flere øjne på problemerne.

Det er vel præcist det jeg gør - altså allow'er for alle og så deny'er specifikke IP adresser ?

/Jan
AJenbo
Admin
Indlæg: 20878
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: ufw virker ikke (efter hensigten)

Indlæg af AJenbo »

Han mener du skal allowe smalt og deny bredet, det er der du gør det omvendte.
jabi27
Indlæg: 16
Tilmeldt: 19. apr 2013, 09:27

Re: ufw virker ikke (efter hensigten)

Indlæg af jabi27 »

Hej,

AJenbo skrev:Han mener du skal allowe smalt og deny bredet, det er der du gør det omvendte.


Tusind tak.

Jeg har åbnet for verden, men efterhånden som softwaren 'ser' forsøg på misbrug i logfilerne, lukkes de i firewall'en.

Jeg kan jo (desværre) ikke kende 'misbrug' på forhånd.

ufw er vel baseret på, ikke at være seriel, altså at indtastningerne kan komme vilkårligt? Sådan virker det på Redhat med iptables (forsøger at lære Ubuntu's måde at gøre det på).

/Jan
AJenbo
Admin
Indlæg: 20878
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: ufw virker ikke (efter hensigten)

Indlæg af AJenbo »

Du har også iptables i Ubuntu så hvis du er mere vand til den kan du jo bruge den. Begge konfigurere den samme del af kernen til at filteret pakker.
jabi27
Indlæg: 16
Tilmeldt: 19. apr 2013, 09:27

Re: ufw virker ikke (efter hensigten)

Indlæg af jabi27 »

Tak,

AJenbo skrev:Du har også iptables i Ubuntu så hvis du er mere vand til den kan du jo bruge den. Begge konfigurere den samme del af kernen til at filteret pakker.


Jo det er jeg klar over - det er iptables som ufw anvender. Jeg forstår bare ikke hvorfor det ikke virker :-)

Hvis andre - som jeg - tror det virker, og det viser sig ikke at virke som 'forventet' kan rigtig mange jo være udstillet mere end de forventer, med mange uheldige ting til følge.

Pft

/Jan
AJenbo
Admin
Indlæg: 20878
Tilmeldt: 15. nov 2009, 15:04
IRC nickname: AJenbo
Geografisk sted: Vanløse, København

Re: ufw virker ikke (efter hensigten)

Indlæg af AJenbo »

Det du har fortalt computeren er:

Alle må komme ind. Hvis de resterende (der er ingen for alle har allerede fået adgang) har IP 82.118.237.107 må de ikke komme ind.

Hver gang den så behandler firewallen er det første den støder på at de skal have adgang. Du skal have omskrvet det så det lyder.
Hvis nogen har IP 82.118.237.107 må de ikke komme ind. Resten må gerne komme ind.
jabi27
Indlæg: 16
Tilmeldt: 19. apr 2013, 09:27

Re: ufw virker ikke (efter hensigten)

Indlæg af jabi27 »

Hej,

Tusind tak,

AJenbo skrev:Det du har fortalt computeren er:

Alle må komme ind. Hvis de resterende (der er ingen for alle har allerede fået adgang) har IP 82.118.237.107 må de ikke komme ind.

Hver gang den så behandler firewallen er det første den støder på at de skal have adgang. Du skal have omskrvet det så det lyder.
Hvis nogen har IP 82.118.237.107 må de ikke komme ind. Resten må gerne komme ind.


Korrekt - men 82.118.237.107 får jo netop lov til at komme ind.

Det er det, jeg ikke forstår.

/Jan
jabi27
Indlæg: 16
Tilmeldt: 19. apr 2013, 09:27

Re: ufw virker ikke (efter hensigten)

Indlæg af jabi27 »

jabi27 skrev:Hej,
Det er det, jeg ikke forstår.


Hvis jeg nu gør følgende på mål systemet:

Kode: Vælg alt

# ufw deny from 91.100.100.160 port 80


Har jeg en forventning om, at IP 91.100.100.160 ikke kan tilgå port 80 ?

Her kan jeg se resultatet:


Kode: Vælg alt

# ufw show raw | grep 91.100.100.160

148  8880 ACCEPT     all  --  *      *       91.100.100.160       0.0.0.0/0           
0        0    DROP       tcp  --  *      *       91.100.100.160       0.0.0.0/0      tcp spt:80
0        0   DROP       udp  --  *      *       91.100.100.160      0.0.0.0/0     udp spt:80


Men jeg *kan* stadig tilgå mål systemets http server på port 80.

Kode: Vælg alt

# grep 91.100.100.160 access.log

91.100.100.160 - jb [17/Oct/2015:08:09:03 +0200] "GET / HTTP/1.1" 200 144889 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:41.0) Gecko/20100101 Firefox/41.0"


Mystisk, synes jeg :-)

/Jan
lath
Indlæg: 5095
Tilmeldt: 27. apr 2008, 02:16
IRC nickname: lars_t_h
Geografisk sted: Fyn

Re: ufw virker ikke (efter hensigten)

Indlæg af lath »

jabi27 skrev:
jabi27 skrev:Hej,
Det er det, jeg ikke forstår.


Hvis jeg nu gør følgende på mål systemet:

Kode: Vælg alt

# ufw deny from 91.100.100.160 port 80


Har jeg en forventning om, at IP 91.100.100.160 ikke kan tilgå port 80 ?

Her kan jeg se resultatet:


Kode: Vælg alt

# ufw show raw | grep 91.100.100.160

148  8880 ACCEPT     all  --  *      *       91.100.100.160       0.0.0.0/0           
0        0    DROP       tcp  --  *      *       91.100.100.160       0.0.0.0/0      tcp spt:80
0        0   DROP       udp  --  *      *       91.100.100.160      0.0.0.0/0     udp spt:80


Men jeg *kan* stadig tilgå mål systemets http server på port 80.

Kode: Vælg alt

# grep 91.100.100.160 access.log

91.100.100.160 - jb [17/Oct/2015:08:09:03 +0200] "GET / HTTP/1.1" 200 144889 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:41.0) Gecko/20100101 Firefox/41.0"


Mystisk, synes jeg :-)

/Jan

Det er slet ikke mystisk, da kernen møder denne regel først:
148 8880 ACCEPT all -- * * 91.100.100.160 0.0.0.0/0

.. og så lader kernen pakken slippe forbi, da den regel er det første der matcher den indkomne pakke.

Rækkefølgen af regler i en kæde (chain) er meget vigtig.

/Lars
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags
jabi27
Indlæg: 16
Tilmeldt: 19. apr 2013, 09:27

Re: ufw virker ikke (efter hensigten)

Indlæg af jabi27 »

148 8880 ACCEPT all -- * * 91.100.100.160 0.0.0.0/0

.. og så lader kernen pakken slippe forbi, da den regel er det første der matcher den indkomne pakke.

/Lars


Takker,

Prøver at ændre rækkefølgen :-) og kan vel så tolke, at "deny all" ting og sager, bør komme til sidst.
martin joergensen
Indlæg: 293
Tilmeldt: 12. maj 2014, 18:29
Geografisk sted: Kolding

Re: ufw virker ikke (efter hensigten)

Indlæg af martin joergensen »

Hej

deny all er standard i alle firewalls som den sidste regel
jabi27
Indlæg: 16
Tilmeldt: 19. apr 2013, 09:27

Re: ufw virker ikke (efter hensigten)

Indlæg af jabi27 »

martin joergensen skrev:Hej

deny all er standard i alle firewalls som den sidste regel


Jo det ser jeg nu og vil holde op med at bruge ufw (UncomplicatedFirewall) som jeg ikke synes lever op til navnet og i stedet bruge iptables.

Tusind tak til jer alle.

/Jan
lath
Indlæg: 5095
Tilmeldt: 27. apr 2008, 02:16
IRC nickname: lars_t_h
Geografisk sted: Fyn

Re: ufw virker ikke (efter hensigten)

Indlæg af lath »

jabi27 skrev:
martin joergensen skrev:Hej

deny all er standard i alle firewalls som den sidste regel


Jo det ser jeg nu og vil holde op med at bruge ufw (UncomplicatedFirewall) som jeg ikke synes lever op til navnet og i stedet bruge iptables.

Tusind tak til jer alle.

/Jan

Bemærk at de 2 programmer piller ved de samme steder i kernen.

Du kunne bruge en af de andre gode grafiske firewall programmer til at lave firewall regelerne på en desktop maskine - trække reglerne ud med en iptables kommando på desktop maskinen, og sætte dem ind i maskinen/maskinerne hvor de skal bruge - også med en iptables kommando.
Reglerne transporteres imellem maskinerne i en simpel tekst fil.

/Lars
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags