LINUX.ORG.RU

Нужна помощь с ufw на deb10

 ,


0

1

Добрый день! Не могу понять, где ошибка. На виртуалке(ESXi 6.5) установлен deb10+asterisk+freepbx Для автопровизинга тел. аппаратов yealink дополнительно установил isc-dhcp+bind9+tftpd-hpa Всё отрабатывает как надо. Теперь пришла пора закрыть АТС файрволлом.


root@debian-test:~# iptables -L

Chain INPUT (policy ACCEPT) target prot opt source destination

Chain FORWARD (policy ACCEPT) target prot opt source destination

Chain OUTPUT (policy ACCEPT) target prot opt source destination


root@debian-test:~# apt install ufw


root@debian-test:~# ufw enable

Command may disrupt existing ssh connections. Proceed with operation (y|n)? y

Firewall is active and enabled on system startup


root@debian-test:~# ufw status verbose

Status: active Logging: on (low) Default: deny (incoming), allow (outgoing), disabled (routed) New profiles: skip


Но отрабатывает ufw странно:

  1. Тел. аппараты продолжают спокойно подключаться по sip+rtp
  2. freepbx(http 80 порт) закрылся файрволлом.
  3. bind9(53 порт) закрылся файрволлом.
  4. ssh закрылся только после перезагрузки всей системы.
  5. Правила запретов(например полностью закрыть asterisk для одиночного хоста) не работают.
  6. isc-dhcp продолжает как ни в чём не бывало раздавать адреса.

Куда копать?

Копай в просмотр действующих правил.

anonymous ()

ufw - это не магия, которая защитит все за тебя, а настройка над iptables, для тех кому лень изучать синтаксис.
Копать? Ну начать с iptables-save и посмотреть что ufw там насоздавал, потом ручками вносить правки в ufw.

Kolins ★★ ()

dhcp игнорирует файрволл

про остальное не знаю, но кажется ufw не нужен, настраивай iptables

firkax ★★ ()
Ответ на: комментарий от anonymous

Ну, не вдавался в детали, но по крайней мере во фре он работает через bpf, принимая и отправляя напрямую ethernet-фреймы, и не используя штатный сетевой стек. Поскольку в линуксе сетевой стек без настроенного ip-адреса тоже работать не будет, а dhcp как раз эту настройку и обеспечивает - видимо работает так же. Может есть ещё какие-то фильтры, уровня интерфейса, а не tcp/ip, но обычно про них не говорят.

firkax ★★ ()
Ответ на: комментарий от firkax

Поскольку в линуксе сетевой стек без настроенного ip-адреса тоже работать не будет

У тебя забавные представления о сетевом стеке.

Может есть ещё какие-то фильтры, уровня интерфейса, а не tcp/ip, но обычно про них не говорят.

Уровня 2, ты хотел сказать, конечно же. И нормально о них говорят.

а не tcp/ip

Я даже не уверен, что на TCP приходится большая часть трафика в интернете :)

Учи матчасть, как говорится.

anonymous ()
Ответ на: комментарий от anonymous

Нет ты. Автор настраивает фильтрацию tcp/ip и удивляется что dhcp не зафильтровался. А ты (или другой аноним) лезешь со своими теоретизированиями которые тут не в тему.

firkax ★★ ()
Ответ на: комментарий от firkax

Странная ситуация, я поднял ubuntu20.4+ufw, там тоже самое. Похоже, что действительно ufw работает только с tcp. firewalld на centos7 работает не так. Я не один буду админить deb10, хотелось более простого и наглядного инструмента управления(ufw) для iptables. Всем спасибо, тема закрыта!

fildenis ()
Ограничение на отправку комментариев: только для зарегистрированных пользователей