Question ufw bloquant apt et dns


J'ai installé ufw sur mon système Debian comme suit:

# aptitude install ufw
# ufw limit 22
# ufw allow 80
# ufw allow 443
# ufw enable
# ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip

To                         Action      From
--                         ------      ----
20                         LIMIT       Anywhere
80                         ALLOW       Anywhere
443                        ALLOW       Anywhere

Un simple ping google.com échoue, même tout aptitude install va échouer. J'ai cherché serverfault pour des réponses. Une solution consistait à autoriser le port 53 pour DNS - cela n’a pas aidé. Ou ufw allow out 1024:65535/udp avec le port 53 - n'a pas aidé.

Ce qui a fonctionné a été de permettre à mon serveur DNS de ufw allow from [DNS IP]; mais ce n'est pas une solution si vous me demandez.

apt-get et aptitude sont tous bloqués par ufw. Impossible de trouver quoi que ce soit sur la façon de permettre l'installation de nouvelles choses. Un exemple d’entrée de journal ufw:

Aug 12 17:31:08 host kernel: [535454.665168] [UFW BLOCK] IN=eth0 OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:00:00 SRC=0.0.0.0 DST=0.0.0.0 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=0 DF PROTO=TCP SPT=80 DPT=41343 WINDOW=14480 RES=0x00 ACK SYN URGP=0

Des idées?


6
2017-08-12 16:04


origine


Est-il rejeté parce que la personne qui a voté ma question ne connaît pas la réponse? - Fleshgrinder
Je chercherais quelque chose comme ça, car il ne fait que s'interfacer avec iptables: iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT - nojak
@nojak Postez-le comme une réponse et je l'accepte comme étant la bonne. Ça fonctionne super bien! - Fleshgrinder
Content de l'entendre! - nojak
Quant au DNS, voir aussi UFW bloque le DNS. Cela pourrait aider. - rugk


Réponses:


Vous devez ajouter ce qui suit dans iptablescomme ufw juste des interfaces avec elle.

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


5
2017-08-22 15:34



Ceci est la première réponse après des heures de recherche pour résoudre le problème. Merci. - Razick


Ce qui a fonctionné pour moi, en utilisant Ubuntu ici (14.04 et 14.10 au moment d'écrire ces lignes), provient de l'article suivant: http://rene.bz/securing-your-web-server-blocking-outbound-connections/

iptables -A ufw-before-output -m owner --uid-owner root -p tcp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A ufw-before-output -m owner --uid-owner root -p udp --dport 53 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Ce n'est peut-être pas une solution idéale. Mais cela me permet d'autoriser des commandes apt par utilisateur.


0
2017-11-02 07:24





J'ai eu un problème avec pptpd + ufw - les requêtes au DNS ont été bloquées même si j'autorise le port 53. Avez-vous essayé d'ouvrir /etc/default/ufw et remplacez l'option "DROP" par "ACCEPTER" l'option "DEFAULT_FORWARD_POLICY"? Cela a fait l'affaire pour moi.


0
2018-02-01 23:48





Ces règles m'ont aidé à réussir à limiter les taux sur SSH, à autoriser les entrées / sorties http et https, à activer git et à faire fonctionner apt et aptitude sans problème:

ufw default deny incoming
ufw default deny outgoing
ufw limit ssh
ufw allow svn
ufw allow git
ufw allow out http
ufw allow in http 
ufw allow out https
ufw allow in https
ufw allow out 53
ufw logging on
ufw enable

Remarque: J'ai initié ces règles avec un ufw reset PREMIER afin de repartir à zéro.


0
2017-11-16 18:20