Tham gia Đăng nhập
Điểm:1
avatar Ubuntu

Tại sao ufw không chặn lưu lượng từ 169.254.169.254:179?

lá cờ jp
divB

Của tôi uww được bật và chỉ cho phép ssh và wireguard:

# tình trạng ufw
Trạng thái: Đang hoạt động

Đến hành động từ
-- ------ ----
22/tcp CHO PHÉP mọi nơi                  
51820/udp CHO PHÉP mọi nơi             
22/tcp (v6) CHO PHÉP mọi nơi (v6)             
51820/udp (v6) CHO PHÉP Mọi nơi (v6)             

#

Tôi cũng giao tiếp qua máy chủ 169.254.169.254 trên BGP (Cổng 179). Giao tiếp này hoạt động mặc dù tôi làm không phải cho phép nó. Tại sao??

Có phải vì 169.254.169.254 là một địa chỉ liên kết cục bộ? (Điều thú vị là giao diện không không phải có một địa chỉ liên kết cục bộ được xác định. Giao tiếp đi qua cổng mặc định. Đây là setup trên hosting Vultr).

Tôi đã xem xét iptables nhưng tôi không thấy các gói này sẽ được chấp nhận như thế nào: Chuỗi ufw-không cục bộ có tham chiếu đến các địa chỉ ĐỊA PHƯƠNG:

# iptables -v -L ufw-not-local
Chuỗi ufw-not-local (1 tài liệu tham khảo)
 pkts byte đích prot chọn không tham gia đích nguồn         
  508 30944 TRẢ LẠI tất cả -- bất kỳ ở bất kỳ đâu ở bất kỳ đâu ADDRTYPE khớp với loại dst ĐỊA PHƯƠNG
    0 0 RETURN all -- bất kỳ ở bất kỳ đâu ở bất kỳ đâu ADDRTYPE khớp với loại dst MULTICAST
  125 6739 TRẢ LẠI tất cả -- bất kỳ ở bất kỳ đâu ở bất kỳ đâu ADDRTYPE khớp với loại dst BROADCAST
    0 0 ufw-logging-deny all -- bất kỳ bất kỳ đâu bất kỳ giới hạn nào: avg 3/min bùng nổ 10
    0 0 DROP all -- bất kỳ bất kỳ nơi nào bất kỳ nơi nào      
#

Tuy nhiên, đó là TRẢ LẠI chứ không phải là CHẤP NHẬN! ufw-not-local được gọi bởi ufw-before-input sẽ quay trở lại INPUT. Và INPUT có chính sách DROP.

CHỈNH SỬA: Đầy iptables -xvnL đầu ra:

Chuỗi INPUT (chính sách DROP 8 gói, 885 byte)
    pkts byte đích prot chọn không tham gia đích nguồn         
       0 0 CHẤP NHẬN tcp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
       0 0 CHẤP NHẬN udp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
       0 0 CHẤP NHẬN tcp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
     750 227375 CHẤP NHẬN udp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
  362606 147280078 ufw-trước-đăng-nhập-tất cả -- * * 0.0.0.0/0 0.0.0.0/0           
  362606 147280078 ufw trước khi nhập tất cả -- * * 0.0.0.0/0 0.0.0.0/0           
  333869 128555765 ufw-after-input all -- * * 0.0.0.0/0 0.0.0.0/0           
  333212 128523819 ufw-after-log-input all -- * * 0.0.0.0/0 0.0.0.0/0           
  333212 128523819 ufw-reject-input all -- * * 0.0.0.0/0 0.0.0.0/0           
  333212 128523819 ufw-theo dõi-đầu vào tất cả -- * * 0.0.0.0/0 0.0.0.0/0           

Chuỗi FORWARD (chính sách DROP 216 gói, 10004 byte)
    pkts byte đích prot chọn không tham gia đích nguồn         
   22278 14578660 CHẤP NHẬN tất cả -- * lxcbr0 0.0.0.0/0 0.0.0.0/0           
    4853 256884 CHẤP NHẬN tất cả -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0           
 1080537 59537850 ufw-trước-đăng nhập-chuyển tiếp tất cả -- * * 0.0.0.0/0 0.0.0.0/0           
 1080537 59537850 ufw-trước-chuyển tiếp tất cả -- * * 0.0.0.0/0 0.0.0.0/0           
 1079360 59452755 ufw-sau-chuyển tiếp tất cả -- * * 0.0.0.0/0 0.0.0.0/0           
 1079360 59452755 ufw-sau-đăng nhập-chuyển tiếp tất cả -- * * 0.0.0.0/0 0.0.0.0/0           
 1079360 59452755 ufw-từ chối-chuyển tiếp tất cả -- * * 0.0.0.0/0 0.0.0.0/0           
 1079360 59452755 ufw-theo dõi-chuyển tiếp tất cả -- * * 0.0.0.0/0 0.0.0.0/0           

ĐẦU RA chuỗi (chính sách CHẤP NHẬN 1 gói, 52 byte)
    pkts byte đích prot chọn không tham gia đích nguồn         
  424797 45621305 ufw-trước-đăng nhập-xuất tất cả -- * * 0.0.0.0/0 0.0.0.0/0           
  424797 45621305 ufw-trước-đầu ra tất cả -- * * 0.0.0.0/0 0.0.0.0/0           
  399178 42100854 ufw-after-output all -- * * 0.0.0.0/0 0.0.0.0/0           
  399178 42100854 ufw-after-log-output all -- * * 0.0.0.0/0 0.0.0.0/0           
  399178 42100854 ufw-reject-output all -- * * 0.0.0.0/0 0.0.0.0/0           
  399178 42100854 ufw-theo dõi-đầu ra tất cả -- * * 0.0.0.0/0 0.0.0.0/0           

Chuỗi ufw-trước-đăng nhập-đầu vào (1 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-trước-đăng-xuất (1 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-trước-đăng nhập-chuyển tiếp (1 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-trước-đầu vào (1 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         
       0 0 CHẤP NHẬN tất cả -- lo * 0.0.0.0/0 0.0.0.0/0           
     142 17992 CHẤP NHẬN tất cả -- * * 0.0.0.0/0 0.0.0.0/0 ctstate LIÊN QUAN, THÀNH LẬP
       0 0 ufw-log-deny all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate KHÔNG HỢP LỆ
       0 0 DROP tất cả -- * * 0.0.0.0/0 0.0.0.0/0 ctstate KHÔNG HỢP LỆ
       0 0 CHẤP NHẬN icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 3
       0 0 CHẤP NHẬN icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 11
       0 0 CHẤP NHẬN icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 12
       0 0 CHẤP NHẬN icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8
       0 0 CHẤP NHẬN udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
      16 1305 ufw-not-local tất cả -- * * 0.0.0.0/0 0.0.0.0/0           
       0 0 CHẤP NHẬN udp -- * * 0.0.0.0/0 224.0.0.251 udp dpt:5353
       0 0 CHẤP NHẬN udp -- * * 0.0.0.0/0 239.255.255.250 udp dpt:1900
      16 1305 ufw-user-input all -- * * 0.0.0.0/0 0.0.0.0/0           

Chuỗi ufw-trước-đầu ra (1 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         
       0 0 CHẤP NHẬN tất cả -- * lo 0.0.0.0/0 0.0.0.0/0           
     150 18656 CHẤP NHẬN tất cả -- * * 0.0.0.0/0 0.0.0.0/0 ctstate LIÊN QUAN, THÀNH LẬP
       1 52 ufw-user-output all -- * * 0.0.0.0/0 0.0.0.0/0           

Chuỗi ufw-trước-chuyển tiếp (1 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         
      11 1232 CHẤP NHẬN tất cả -- * * 0.0.0.0/0 0.0.0.0/0 ctstate LIÊN QUAN, THÀNH LẬP
       0 0 CHẤP NHẬN icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 3
       0 0 CHẤP NHẬN icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 11
       0 0 CHẤP NHẬN icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 12
      13 1092 CHẤP NHẬN icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8
     214 9920 ufw-người dùng chuyển tiếp tất cả -- * * 0.0.0.0/0 0.0.0.0/0           

Chuỗi ufw-after-input (1 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         
       0 0 ufw-skip-to-policy-input udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:137
       0 0 ufw-skip-to-policy-input udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:138
       0 0 ufw-skip-to-policy-input tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:139
       0 0 ufw-skip-to-policy-input tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:445
       0 0 ufw-skip-to-policy-input udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
       0 0 ufw-skip-to-policy-input udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:68
       3 120 ufw-skip-to-policy-input all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match loại dst BROADCAST

Chuỗi ufw-after-output (1 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-after-forward (1 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-after-log-input (1 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         
       7 845 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 giới hạn: avg 3/min burst 10 cờ LOG 0 tiền tố mức 4 "[UFW BLOCK] "

Chuỗi ufw-sau-đăng-xuất (1 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-sau-đăng nhập-chuyển tiếp (1 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         
      10 464 LOG tất cả -- * * 0.0.0.0/0 0.0.0.0/0 giới hạn: tốc độ trung bình 3 lần/phút 10 cờ LOG 0 tiền tố mức 4 "[UFW BLOCK]"

Chuỗi ufw-reject-input (1 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-từ chối-đầu ra (1 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-từ chối-chuyển tiếp (1 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-theo dõi-đầu vào (1 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-theo dõi-đầu ra (1 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         
       0 0 CHẤP NHẬN tcp -- * * 0.0.0.0/0 0.0.0.0/0 ctstate MỚI
       0 0 CHẤP NHẬN udp -- * * 0.0.0.0/0 0.0.0.0/0 ctstate MỚI

Chuỗi ufw-theo dõi-chuyển tiếp (1 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-log-deny (2 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         
       0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate Giới hạn KHÔNG HỢP LỆ: avg 3/min burst 10
       0 0 LOG tất cả -- * * 0.0.0.0/0 0.0.0.0/0 giới hạn: tốc độ trung bình 3 lần/phút 10 cờ LOG 0 tiền tố mức 4 "[UFW BLOCK]"

Chuỗi ufw-log-allow (0 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         
       0 0 LOG tất cả -- * * 0.0.0.0/0 0.0.0.0/0 giới hạn: tốc độ trung bình 3 lần/phút 10 cờ LOG 0 tiền tố mức 4 "[UFW ALLOW]"

Chuỗi ufw-skip-to-policy-input (7 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         
       3 120 THẢ tất cả -- * * 0.0.0.0/0 0.0.0.0/0           

Chuỗi ufw-skip-to-policy-output (0 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         
       0 0 CHẤP NHẬN tất cả -- * * 0.0.0.0/0 0.0.0.0/0           

Chuỗi ufw-skip-to-policy-forward (0 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         
       0 0 THẢ tất cả -- * * 0.0.0.0/0 0.0.0.0/0           

Chuỗi ufw-not-local (1 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         
      12 1125 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE khớp kiểu dst LOCAL
       0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match loại dst MULTICAST
       4 180 TRẢ LẠI tất cả -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE phù hợp với kiểu dst BROADCAST
       0 0 ufw-logging-deny all -- * * 0.0.0.0/0 0.0.0.0/0 giới hạn: bùng nổ trung bình 3/phút 10
       0 0 THẢ tất cả -- * * 0.0.0.0/0 0.0.0.0/0           

Chuỗi ufw-user-input (1 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         
       5 300 CHẤP NHẬN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
       0 0 CHẤP NHẬN udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:51820      

Chuỗi ufw-user-output (1 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-người dùng chuyển tiếp (1 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-user-log-input (0 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-user-log-output (0 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-người dùng-đăng nhập-chuyển tiếp (0 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         

Chuỗi ufw-giới hạn người dùng (0 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         
       0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 giới hạn: avg 3/min burst 5 LOG cờ 0 tiền tố mức 4 "[UFW LIMIT BLOCK] "
       0 0 TỪ CHỐI tất cả -- * * 0.0.0.0/0 0.0.0.0/0 từ chối với icmp-port-không thể truy cập

Chuỗi ufw-người dùng-giới hạn-chấp nhận (0 tài liệu tham khảo)
    pkts byte đích prot chọn không tham gia đích nguồn         
       0 0 CHẤP NHẬN tất cả -- * * 0.0.0.0/0 0.0.0.0/0
80
0 + 0
Doug Smythies avatar
lá cờ gn
Doug Smythies
Chúng tôi không thể trả lời nếu không có toàn bộ bộ quy tắc iptables (mặc dù bộ quy tắc do ufw tạo ra rất khó tuân theo). Vui lòng chỉnh sửa câu hỏi của bạn khi thêm đầu ra từ `Sudo iptables -xvnL`
0
Hồi đáp
Doug Smythies avatar
lá cờ gn
Doug Smythies
Giao thức cổng biên giới (BGP) có thể thực hiện một số chuyển hướng và thay đổi cổng giữa các bộ định tuyến liên quan. Tôi không biết chi tiết, chúng cũng không thực sự liên quan đến Ubuntu.
0
Hồi đáp
lá cờ jp
divB
@DougSmythies Đã thêm đầu ra đầy đủ. Tôi không nghĩ BGP thực hiện bất kỳ thay đổi kỳ lạ nào ở đây. Tôi thấy nó trong tcpdump trên cổng 179. Bất chấp điều đó, thật bất ngờ khi lưu lượng truy cập này đi qua mặc dù không được phép rõ ràng, do đó có liên quan đến ufw/Ubuntu.
0
Hồi đáp
Doug Smythies avatar
lá cờ gn
Doug Smythies
Tôi không nhận ra rằng bạn có một số máy ảo chạy qua lxcbr0, vì vậy chúng tôi cũng có thể cần xem `sudo iptables -t nat -xvnL`.tcpdump đã chạy ở đâu? trên máy tính cục bộ của bạn hoặc máy tính được lưu trữ trên Vultr hoặc VM? Ngoài ra, đối với các quy tắc ufw, chúng đang chạy trên máy tính cục bộ của bạn hay máy tính được lưu trữ trên Vultr? Tìm đường dẫn CHẤP NHẬN đến thông qua LIÊN QUAN, THÀNH LẬP mà bạn đã tạo thông qua đường dẫn OUTPUT.
0
Hồi đáp
lá cờ jp
divB
@DougSmythies Tôi đã khởi động lại máy (sẽ phá hủy LIÊN QUAN, ĐÃ THÀNH LẬP) và các gói VẪN đi qua! Trong khi đó, tôi phát hiện ra rằng ipip (gói giao thức Ip) cũng đi qua. Vì vậy, câu hỏi của tôi vẫn là: TẠI SAO ufw chấp nhận các gói mà tôi không chấp nhận chúng một cách rõ ràng? Tôi đã xem qua các quy tắc của iptables nhưng não tôi như nổ tung. Tôi không phải là chuyên gia về iptables để tìm ra nơi gói sẽ được chấp nhận. Nhưng niềm tin của tôi vào ufw hiện đang cực kỳ thấp.
0
Hồi đáp
Doug Smythies avatar
lá cờ gn
Doug Smythies
Tôi không biết làm thế nào để cố gắng giúp bạn mà không có thêm thông tin chi tiết.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.