问题标签 [ufw]

用python编写的程序，它选择可用于TCP和UDP通信的随机端口。如果我通过运行启用 Linux 防火墙（ufw）sudo ufw enable。我们可以通过给它来允许任何端口 sudo ufw allow port_number。由于程序可以在运行时使用任何随机端口，因此不能告诉 ufw 允许任何特定端口。有什么方法可以告诉 ufw 允许 prog 通过向 ufw 提供程序名称来访问任何随机端口，就像在 windows 中一样。在 windows 防火墙中，我们可以提供以下命令来允许 myprog 访问所有端口

有什么方法可以让我的自定义程序使用 ufw 访问 udp/tcp 与 ufw enable 通信？

提前感谢大家。

我在数字海洋中遇到了有关 ufw ubuntu 防火墙规则的问题，我已经允许从任何地方进入该端口，但仍然无法使用我允许的端口访问我的应用程序。如何以安全的方式为我的应用程序启用 ufw 防火墙规则。谢谢你。

问题是，我无法通过公共 IP 134.238.123.131:3000 访问我的 MERN 堆栈应用程序，问题是，在我能够访问它之前。它显示无法访问站点，如下所示：

ufw防火墙规则状态

我正在使用 Bitnami 认证的 Django 在 Google Cloud Platform 上部署一个新项目，该项目预装了 Debian 9、Apache、MySQL、Python。我的最终目标是构建一个 Web 应用程序，但还没有接近生产，我仍然在分配给 VM 实例的临时外部 IP 地址上运行。所以我的问题是，是否建议安装 ufw（简单防火墙）？

我的网站（Django/nginx/gunicorn/mysql）托管在远程机器上，运行良好，直到我出于某种原因决定重新启动远程机器。所以重新启动后，在远程框中我说它curl -IL -H -GET my.web.address工作正常。但是，当我从外部尝试相同的命令时，它会报告curl: (35) OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to my.web.address.

任何帮助表示赞赏。请在下面找到我检查过的相关内容。

我使用的是 CentOS 7 系统。我主要使用本教程

nginx 正在监听正确的端口

防火墙（见 ufw 结果）允许我的端口

状态

SELinux status: disabled

nmap检查端口状态的输出

的内容nginx.conf

我的服务器块nginx.conf

我检查了我的 sock 文件权限，它们由各自的用户正确启动。文件权限设置正确。

gunicorn.service文件内容

同时，为了确保我的问题与 Lets 加密服务器证书无关，我对我的问题进行了更改nginx.conf以仅使用 HTTP。

以下是curl -IL -GET my.domain.name我在远程机器上运行它时的输出：

在使用 IP 地址运行时，我得到与上面相同的输出。

当我从笔记本电脑运行 curl 时，我得到了curl: (52) Empty reply from server包含域名和 IP 地址的响应。

我从笔记本电脑 ping 服务器（都使用 IP 和域名），它们发送/接收数据包。域名与IP正确映射。我还使用验证了它nslookup

由于我禁用了 HTTPS，TLS 版本并不重要，不是吗？

此外，我使用 ufw 禁用了防火墙。的，我查了iptables -L规则。我是这个领域的新手，但对我来说，远程服务器的结果似乎旨在接受任何传入的连接。

我正在尝试在我的服务器（Debian 10）上安装一个 kubernetes 集群。在我的服务器上，我使用 ufw 作为防火墙。在创建集群之前，我在 ufw 上允许了这些端口：

179/tcp, 4789/udp, 5473/tcp, 443/tcp, 6443/tcp, 2379/tcp, 4149/tcp, 10250/tcp, 10255/tcp, 10256/tcp, 9099/tcp, 6443/tcp

正如 calico doc 建议的那样（https://docs.projectcalico.org/getting-started/kubernetes/requirements）和这个关于 kubernetes 安全性的 git repo（https://github.com/freach/kubernetes-security-best-practice） .

但是当我想创建集群时，calico/node pod 无法启动，因为 Felix 不在线（我在 ufw 上允许 9099/tcp）：

Liveness probe failed: calico/node is not ready: Felix is not live: Get http://localhost:9099/liveness : dial tcp [::1]:9099: connect: connection denied

如果我禁用 ufw，则会创建集群并且没有错误。

所以我想知道我应该如何配置 ufw 以使 kubernetes 工作。如果有人可以帮助我，那就太好了，谢谢！

编辑：我的 ufw 状态

抱歉，我的 ufw 规则有点乱，我尝试了太多东西来让 kubernetes 正常工作。

我有启用了 ufw 的 Debian 公共服务器。这是utw的现行规则：

允许端口 8080 没有任何规则。但是。尽管如此，这个端口实际上可以通过普通的 http 浏览器请求访问，比如http://abcd:8080 Ufw 默认配置文件 (/etc/default/ufw) 尚未编辑，因此默认输入策略必须删除任何未明确允许的请求，据我所知对，它有：

如果我为 8080 端口添加显式拒绝规则：ufw deny 8080/tcp 那么像http://abcd:8080这样的请求会被阻止，正如预期的那样。

我的问题是为什么默认不阻止8080端口？我是否应该通过“utw deny all”之类的明确规则明确阻止我服务器上的所有端口？

我正在尝试编写一个 Bash 脚本来自动化在 Ubuntu Server 18.04 中修改 /etc/ufw/before.rules 的过程

基本上我想在某些行中将 ACCEPT 替换为 DROP 。

我试图做的是将原始字符串分配给一个变量，然后将其替换为具有所需输出的第二个变量。

我失败得很惨，所以我在这里寻求帮助:)

这是我写的，它完全没有任何作用，但我希望你能明白：

我正在制作一个添加 UFW 规则的 Ansible 任务。有时要添加很多规则，并且它们是按顺序添加的（当然这是预期的行为）。

但我不关心规则的顺序，因为它们不重叠（它们更像是从拒绝输入、拒绝输出、拒绝转发默认值中列入白名单）。

所以我考虑使用 Ansible 的async/poll 特性来使循环执行异步，就像在这个stackexchange devops thread中一样。

但是似乎使用这种异步不适用于循环，或者至少对我的循环不起作用。如果我将 poll 设置为 0，规则会像以前一样按顺序添加，而不是更快。如果我将 poll 设置为正数，它的运行速度会比以前慢。

添加规则的代码片段：

结果是我的循环逐项运行，而不是更快。

关于我的配置：

1. Ansible 配置为流水线，并通过 ssh 多路复用连接到远程主机。
2. Ansible --版本2.5.1

我可以生成一个 ufw 规则文件或 iptables，但我一开始的目标是通过 ansible API 与 UFW 交互。

我有带有设计和重新验证宝石的 Rails 6。服务器在 nginx + 乘客上。该项目在生产模式下工作。

我已启用 recaptcha 进行注册：

它工作正常，但只有在防火墙（ufw）被禁用时。当我启用它并尝试注册时，我收到我没有填写验证码的消息。允许使用 DNS、http 和 https 端口。我的ufw状态：

我也没有在 Rails 日志中看到任何内容：

正如我所说，当我禁用防火墙时，一切正常。

我正在使用 Ubuntu 20.x（Ubuntu 桌面全新安装）并且想要阻止防火墙（ufw）中的应用程序。我能够阻止端口和协议，但不能阻止特定的应用程序。一个应用程序使用 UDP 端口，一个应用程序使用 TCP 端口，它们正在使用动态端口。我无法在 UFW 中专门阻止此应用程序。

任何帮助。Ubuntu阻止应用程序的文档似乎不起作用