问题标签 [ufw]

上周我问了这个关于安全溢出的问题，但是没有回复，所以我希望你能在这里提供帮助。问题如下：

因此，我正忙于在 VM 上设置一个 knockd 服务，以便在使用 knockd 和 ufw “敲入”正确的端口序列时启用 SSH 登录。

The issue that I am currently having is that when the correct sequence of ports are selected, the user.rules for ufw is not able to write the new rule to a file.

我尝试在 /etc/ufw 中的所有文件上使用 chmod 777 作为测试，但是该文件仍然不可写。

/etc/ufw/user.rules 的输出如下：

knockd 文件如下面的代码块所示：

/etc/default/knockd 的输出如下所示：

任何建议将不胜感激。

我编写了以下 bash 脚本，该脚本旨在在服务器上更改 UFW 规则时创建文件。然后将使用 Zabbix 检查此文件的存在。

我发现有时文件不会在应该创建或删除的时候被创建或删除，但是如果我第二次或第三次运行命令而没有任何进一步的更改，它确实会。

请帮忙。

谢谢

我在上提供了一个NodeJs应用程序。我正在尝试使用via保护此站点。包括 diffie hellman 参数在内的所有证书都已正确生成。此应用程序正在通过 VPN 连接提供服务，因此我感觉问题与防火墙和/或网络设置有关。nginxubuntu 14.04sslletsencrypt

nginx

ufw

笔记

我还注意到 nodejs 应用程序的奇怪行为。每当我这样做sudo ufw enable（加上规则）时，服务器将在几秒钟后停止工作。但在我这样做之后，sudo ufw disable它会再次起作用。

好的，这是原始代码，它工作正常。

但是，我想在 Ubuntu 16.04 中使用 ufw 来禁止 ip，而不只是打印错误。但是，我不太熟悉这种类型的编码来获得正确的语法来做到这一点。任何帮助，将不胜感激。它是用 .go 编写的

我想拒绝从我的服务器（不是本地主机）到端口9200（elasticsearch）的所有请求。使用UFW我添加这些规则：

然后重新启动，UFW但现在当我检查“my_server_ip_adress:9200”时，我得到了这个：

我怎样才能关闭从外面到这个端口的所有访问？

描述

几天前我安装了 GitLab，它似乎工作得很好，但是当我今天尝试连接时，它打印了一个 502 错误（加载时间很长）。

！！正如我上面所说，它在禁用防火墙的情况下工作得非常好:)

代码：

输出：

已经尝试过

在尝试和研究之后，我发现它在禁用防火墙的情况下工作得非常好，所以我查找了所需的端口并允许它们通过

这是我现在的开放端口：

输出：

我现在尝试了一些东西，但我不知道为什么它不起作用。

工作得很好（已经有 10 次了）。

我还多次重启了服务器（我每次都可以连接到 gitlab，但只能在禁用 ufw 的情况下）

输出：

我的配置

代码：

输出：

ufw的奇怪行为

可能很重要，不知道

当我安装 openvpn 时，我必须向 /etc/ufw/before.rules 添加东西

代码：

输出（仅相关的东西）：

当我做

输出：

但是当我跑步时

就在它之后，它可以工作，并且防火墙在那之后是活动的

因为这是我在 stackoverflow 上问过的第一个问题（是的，我知道如何使用谷歌搜索，而且我自己从来不需要启动线程；））我希望我提供了足够的信息（如果不只是告诉我的话）并且有人能找到时间来帮助我，

先感谢您，

保罗

编辑：当我在 before.rules 中注释掉 OpenVPN 规则时它会起作用

我制作了 2 个 webapps（我正在学习 web 开发基础知识）。一个使用 ruby​​-on-rails，另一个使用 apache2。

我的笔记本电脑的本地 IP 是192.168.122.1.

以下 2 个 url 在我的机器上运行：1) ROR webapp -> http://192.168.122.1:3000 2) Apache2 App ->http://192.168.122.1

但是，当我在 LAN 上的另一台设备/机器上键入相同的 URL 时，我得到 ERR_CONNECTION_REFUSED。

当我在终端中输入以下内容时：sudo nc -v 192.168.122.1 3000，我收到了消息Connection to 192.168.122.1 3000 port [tcp/*] succeeded!。

我认为这不是 rails 或 apache2 的问题，而是 Ubuntu OS 中的错误，或者有一些关于打开端口的问题，我不明白。我尝试使用 ufw 打开必要的端口 80 和 3000，但没有得到预期的结果。我尝试通过键入完全禁用防火墙（当然不是一个好习惯）sudo ufw disable。但是，它没有任何效果。我仍然面临同样的问题。

我正在使用 Ubuntu 16.04。大约 4 年前，我在 Ubuntu 12.04 上开发了一个基本的 Web 应用程序，从来没有遇到过这样的问题。

iptables：

如果配置：

监听端口列表（使用 netstat）：

如何在没有 root 访问权限的情况下在 amazon vps 上安装 ufw。我以 ubuntu@ip 身份登录。我收到错误：“请以用户“ubuntu”而不是用户“root”身份登录。” 尝试以 root 身份登录时。我读到我可以打开对root的访问权限。但是，我可以不这样做就更改防火墙的设置吗？我需要将我家用笔记本电脑的 if 添加到防火墙。当我尝试启用 ufw 时，也会出现错误“你需要成为 root”

为了设置上下文，我们有一个遗留服务器，它为来自大量客户端的连接提供服务。连接是 tcp 并使用二进制协议。最近随着客户端的增加，服务器似乎无法处理所有进入的连接，尤其是在服务器重新启动时。在这种情况下，服务器会进入一些不一致的状态，并在 CLOSE_WAIT 中丢失连接。

如果客户端连接请求交错，服务器最终会承担负载。我们通过在 docker 中模拟客户端来验证这一点。

由于服务器没有内置速率限制，我决定尝试 iptables 看看是否可以使用 iptables 中的速率限制功能来错开传入的连接请求。连接可以来自相同的 ip 或不同的 ip。

速率限制不应影响任何已建立的连接，而只会影响较新的连接（3 次握手）。由于客户端具有重试逻辑，因此它们最终会重新连接。因此，不想通过 ip 进行速率限制，因为即使来自同一源 ip 的所有连接最终都应该在不干扰已建立连接的情况下连接。

这是我正在使用的 iptables 规则。这是正确的方法吗？

我对 iptables 不熟悉，目前在 Ubuntu 14.04 上使用 ufw 包装器。上述想法来自此链接https://www.cyberciti.biz/tips/howto-limit-linux-syn-attacks.html。

目的是防止 SYN 泛滥但最终变慢并允许所有客户端建立连接。

问题

在本地网络的Ubuntu 16.04中为kurento-media-server（版本 6.7.0）配置 UFW 时，我有非常奇怪的经历。我的节点应用程序和 KMS 都安装在同一台服务器上，运行在不同的端口上。禁用 UFW 后，该应用程序运行良好，并且节点应用程序与 KMS 一起运行良好。现在，我激活 ufw 并将其配置为

• 允许进出 kurento-media-server 监听端口（8888）
• 允许通过所有UDP端口进出连接，
• 允许通过节点应用程序的监听端口，
• 允许路由，
• 其他常见的 ufw 规则，如 ufw 允许80、443、53等

该应用程序将无法连接到 KMS。似乎 WebSocket 握手卡在某种缓冲区中。

配置完成后，KMS 将不会连接到应用程序。此外，据我所知，ufw 不会干扰本地主机连接。但是与的连接ws://localhost:8888/kurento只是卡在环回中。

安装源码链接

配置文件 ( /etc/kurento/kurento.conf.json)

UFW 实验：

1. 启用ufw后，所有三个，传入，传出，路由都被允许不受任何限制，然后kms也不会连接。
2. 为了找出根本原因，我使用Simple WebSocket Clientws_uri检查了连接。即使这样也给出了相同的结果；禁用 ufw 时连接成功，启用 ufw 时未连接并在超时后收到警报。undefined

知识管理系统问题

在每次连接失败后，无论是使用 Node App（基本上是节点包kurento-client）还是 Simple WebSocket Client，我都不能简单地禁用 UFW 并完成所有事情。我必须重新启动系统，禁用防火墙（ufw）并启动 kurento-media-server-6.0。甚至sudo service kurento-media-server-6.0 restart没有帮助。

tcpdump 输出：

tcpdump -vv -i lo port 8888 and '(tcp-syn|tcp-ack)!=0'

成功时

失败时