Tham gia Đăng nhập
Điểm:0
Francisco avatar Server

Các gói UDP trên cổng 10000 và các gói TCP trên cổng 4443 không đến được máy chủ jitsi bên ngoài

lá cờ ca
Francisco

Tôi cần trợ giúp trong việc cấu hình tình huống sau: Trình duyệt web của một mạng tổ chức nhỏ được thực hiện thông qua một máy chủ proxy với xác thực được định cấu hình trong Debian dưới dạng proxy/tường lửa (sử dụng các quy tắc iptables) và được kết nối với một proxy gốc. Các máy khách của mạng LAN không thực hiện bất kỳ loại truy vấn DNS nào ra bên ngoài vì tất cả hoạt động duyệt web đều thông qua proxy và một số loại truy cập khác vào dịch vụ bên ngoài là không cần thiết. Bây giờ: chúng ta phải truy cập máy chủ jitsi tại địa chỉ IP cụ thể xxx.xxx.xxx.xxx.Việc truy cập web vào máy chủ jitsi đó là tốt theo nghĩa là proxy sẽ đảm nhận việc đó, nhưng các gói đến cổng UDP 10000 và TCP 4443 tương ứng, tôi đã không quản lý được chúng trong các quy tắc iptables.

Sơ đồ mạng như sau:

LAN trên eth0 (192.168.0.0/24) ---- (192.168.0.1 ens18)debian proxy/tường lửa(192.168.1.2 ens19) -- (192.168.1.1)MODEM ROUTER---->ISP

Các quy tắc iptables như sau:

 *lọc
    :GIẢM VỀ PHÍA TRƯỚC [0:0]
    :INPUT DROP [0:0]
    :OUTPUT DROP [0:0]
    # ##### Chuỗi INPUT ###### Chấp nhận các kết nối liên quan hoặc đã ổn định
    -A INPUT -m conntrack ! -i lo --ctstate LIÊN QUAN, ĐÃ THÀNH LẬP -j CHẤP NHẬN
    -A INPUT -p icmp -m icmp --icmp-type echo-request -j CHẤP NHẬN
    -A INPUT -p udp -m udp -m conntrack --dport 33434:33534 --ctstate MỚI -j TỪ CHỐI
    # Quy tắc chống giả mạo
    -ĐẦU VÀO! -s 192.168.0.0/24 -i ens18 -j LOG --log-prefix "SPOOFED PKT"
    -ĐẦU VÀO! -s 192.168.0.0/24 -i ens18 -j DROP
    # LAN ĐẾN PROXY ĐỊA PHƯƠNG
    -A INPUT -p tcp -m state -s 192.168.0.0/24 -i ens18 --dport 8080 --state MỚI -j CHẤP NHẬN
    # TRUY CẬP BÁO CÁO WEB
    -A INPUT -p tcp -m state -s 192.168.0.2/24 -i ens18 --dport 80 --state MỚI -j CHẤP NHẬN
    # TRUY CẬP SSH
    -A INPUT -p tcp -m state -s 192.168.0.2/24 -i ens18 --dport 22 --state MỚI -j CHẤP NHẬN
    # ĐỒNG BỘ THỜI GIAN CHO LAN
    -A INPUT -p udp -i ens18 -m state --sport 123 --state NEW -j CHẤP NHẬN
    # TRUY CẬP WEBMIN
    -A INPUT -p tcp -m state -s 192.168.0.2/24 -i ens18 --dport 10000 --state MỚI -j CHẤP NHẬN
    # LOG phần còn lại và thả theo chuỗi đầu vào mặc định
    -ĐẦU VÀO! -i lo -j LOG --log-prefix "DROP INPUT " --log-ip-options --log-tcp-options
    -A OUTPUT -m state --state INVALID -j LOG --log-prefix "DROP INVALID " --log-ip-options --log-tcp-options
    -A OUTPUT -m state --state INVALID -j DROP
    -A OUTPUT -m state --state THÀNH LẬP, LIÊN QUAN -j CHẤP NHẬN
    # ##### Chuỗi OUTPUT ###### ## CHẤP NHẬN quy tắc cho phép kết nối ra ngoài
    -A OUTPUT -p tcp -m state --dport 21 --state NEW -j CHẤP NHẬN
    -A OUTPUT -p tcp -m state --dport 80 --state NEW -j CHẤP NHẬN
    -A OUTPUT -p tcp -m state --dport 443 --state NEW -j CHẤP NHẬN
    -A OUTPUT -p udp -m state --dport 123 --state NEW -j CHẤP NHẬN 
    
     # máy chủ DNS bên ngoài (chỉ có thể truy cập, không kích hoạt đệ quy) 
    -A OUTPUT -p udp -m state -d XXX.XXX.XXY.131 --dport 53 --state NEW -j CHẤP NHẬN
    -A OUTPUT -p tcp -m state -d XXX.XXX.XXX.132 --dport 53 --state NEW -j CHẤP NHẬN
    
    -A OUTPUT -m state -d XXX.XXX.XXX.68 --state NEW -j CHẤP NHẬN
    **# THỬ ĐỂ TIẾP CẬN MÁY CHỦ JITSI
    -A OUTPUT -m state -d XXX.XXX.ZXX.XXX --state NEW -j ACCEPT**
    -A OUTPUT -p icmp --icmp-type echo-request -j CHẤP NHẬN
    # ##### FORWARD chain ###### Chấp nhận các kết nối liên quan hoặc đã ổn định
    -A FORWARD -m state --state INVALID -j LOG --log-prefix "DROP INVALID " --log-ip-options --log-tcp-options
    -A FORWARD -m state --state INVALID -j DROP
    -A FORWARD -m state --state THÀNH LẬP, LIÊN QUAN -j CHẤP NHẬN
    -MỘT CHUYỂN TIẾP ! -s 192.168.0.0/24 -i ens18 -j LOG --log-prefix "SPOOFED PKT"
    -MỘT CHUYỂN TIẾP ! -s 192.168.0.0/24 -i ens18 -j DROP
    
    # ngăn chuyển tiếp các gói cho các kết nối được khởi tạo từ bên ngoài (giả mạo)
    -A FORWARD -m state -i ens19 --state NEW -j DROP
    # ## quy tắc nhật ký mặc định
    -MỘT CHUYỂN TIẾP ! -i lo -j LOG --log-prefix "DROP FORWARD " --log-ip-options --log-tcp-options
    LÀM
    # Hoàn thành
    # Được tạo bởi webmin
    * mangle
    :CHẤP NHẬN ĐẦU RA [0:0]
    :INPUT CHẤP NHẬN [0:0]
    :CHẤP NHẬN VỀ PHÍA TRƯỚC [0:0]
    :CHẤP NHẬN TRƯỚC [0:0]
    :POSTROUTING CHẤP NHẬN [0:0]
    LÀM
    # Hoàn thành
    # Được tạo bởi webmin
    * tự nhiên
    :CHẤP NHẬN ĐẦU RA [0:0]
    :INPUT CHẤP NHẬN [0:0]
    :CHẤP NHẬN TRƯỚC [0:0]
    :POSTROUTING CHẤP NHẬN [0:0]
    
    # NAT NAT CHO MẠNG LAN BẬT
    -A POSTROUTING -o ens19 -j SNAT --to-source 192.168.1.2
    # MASQUERADE (ĐỐI VỚI ĐỊA CHỈ IP ĐỘNG TRONG TRƯỜNG HỢP MODEM DHCP)
    -A POSTROUTING -s 192.168.0.0/24 -o ens19 -j MASQUERADE
    
    LÀM
    # Hoàn thành

**** một điều thú vị với cùng các quy tắc tường lửa này: chúng tôi có thể truy cập vào hội nghị truyền hình trên máy chủ https://meet.jit.si không vấn đe. Quản trị viên máy chủ jitsi tại xxx.xxx.xxx.xxx lập luận rằng chỉ cần truy cập vào các cổng UDP 10000 và TCP 4443 như tôi đã giải thích, và tất nhiên là 443 (được xử lý bởi proxy mạng)

209
0 + 0
anx avatar
lá cờ fr
anx
Không chặn lưu lượng ICMP & ICMPv6 (nếu có, hãy chặn các loại thông báo cụ thể mà thiết bị LAN của bạn không xử lý theo cách chúng nên làm).
1
Hồi đáp
anx avatar
lá cờ fr
anx
Có vẻ như không rõ ràng những gì đang xảy ra, hãy chẩn đoán thêm. Bạn có thể sử dụng các quy tắc bổ sung trong cấu hình iptables của mình để kiểm tra bộ đếm gói của chúng, bạn có thể xem lưu lượng truy cập trên bộ định tuyến của mình, bạn có thể chạy một số dạng tcptraceroute, bạn có thể kiểm tra devtools của trình duyệt để xác nhận rằng phiên bản jitsi thực sự hoạt động thông qua tường lửa của bạn sử dụng các cổng tương tự như phiên bản bạn không thể hoạt động, ..
0
Hồi đáp
Francisco avatar
lá cờ ca
Francisco
@anx: OK, tôi sẽ mở lưu lượng truy cập icmp và lưu lượng truy cập vào các cổng 3478 UDP và 5349 TCP (lấy từ https://jitsi.github.io/handbook/docs/devops-guide/devops-guide-quickstart) chỉ trong trường hợp quản trị viên jitsi bên ngoài của tôi đã quên chi tiết đó
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.