UFW enable durumunda Network Bağlantım kesiliyor

Başlatan deox, 08 Şubat 2012 - 15:32:02

« önceki - sonraki »

0 Üyeler ve 4 Ziyaretçi konuyu incelemekte.

deox

Arkadaşlar merhaba,

"sudo ufw enable" komutu ile bütün bağlantılarım kesiliyor. İnternete de çıkamıyorum. Bunun sebebi nedir ?

Teşekkürler...


heartsmagic

Hani bu güne kadar Linux üzerinde hiç güvenlik duvarı ihtiyacı hissedip kullanmadım ancak acaba UFW'yi açınca öntanımlı olarak her şeyi engelliyor olmasın? 80. porta izin vermeyi denedin mi?
Hayattan çıkarı olmayanların, ölümden de çıkarı olmayacaktır.
Hayatlarıyla yanlış olanların ölümleriyle doğru olmalarına imkân var mıdır?


Böylece yalan, dünyanın düzenine dönüştürülüyor.

if

@deox, sudo ufw status ile güvenlik duvarının neyi engelleyip engellemediğini görebiliriz. Yukarıda geçtiğiniz komutu vermeden önce sudo ufw default allow komutunu uygulamanız önerilmiş1.

1 https://help.ubuntu.com/community/UFW

deox

#3
Alıntı yapılan: heartsmagic - 08 Şubat 2012 - 16:53:21
Hani bu güne kadar Linux üzerinde hiç güvenlik duvarı ihtiyacı hissedip kullanmadım ancak acaba UFW'yi açınca öntanımlı olarak her şeyi engelliyor olmasın? 80. porta izin vermeyi denedin mi?

Doğru söze ne denilir ki....80 portunu unutmusum :) Firewall denemeleri yapıyorum sistem üzerinde. Aslında iptables'da ki kurallarım aşağıdaki gibi.  Bu kurallar aktifken sistem ssh yapamıyor hiçbir yere...Nerede hata var acaba ?

sudo iptables -A INPUT -s 92.0.0.0/8 -j ACCEPT
sudo iptables -A INPUT -s 194.0.0.0/8 -j ACCEPT
sudo iptables -A OUTPUT -s 194.0.0.0/8 -j ACCEPT
sudo iptables -A OUTPUT -s 92.0.0.0/8 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 20 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -s 0.0.0.0/0 -j DROP
sudo iptables -A INPUT -s 0.0.0.0/0 -j REJECT
sudo iptables -A OUTPUT -s 0.0.0.0/0 -j ACCEPT
sudo iptables-save

bytan

Umut en büyük kötülüktür; işkenceyi uzatır. - F.N.


Bir şey ne ise odur, bu kadar. Öyleyse, iki şey arasında bağdaşıklık varsa, bu aralarında iletişim kuruyorlar demek değildir.
"... kavrayışını bilgi ile derinleştir ..."
PF @ ST

deox

Alıntı yapılan: bytan - 09 Şubat 2012 - 17:58:54
Ne döndürüyor?

sudo iptables -L


Ayrıca:

https://help.ubuntu.com/community/IptablesHowTo


Selam Bytan,

Aşağıda iptables -L çıktısını bulabilirsin ......

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         



ACCEPT     all  --  92.0.0.0/8           anywhere           
ACCEPT     all  --  194.0.0.0/8          anywhere           
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp-data
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
DROP       all  --  anywhere             anywhere           
REJECT     all  --  anywhere             anywhere            reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  194.0.0.0/8          anywhere           
ACCEPT     all  --  92.0.0.0/8           anywhere           
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp-data
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     all  --  anywhere             anywhere           

Chain ufw-after-forward (0 references)
target     prot opt source               destination         

Chain ufw-after-input (0 references)
target     prot opt source               destination         

Chain ufw-after-logging-forward (0 references)
target     prot opt source               destination         

Chain ufw-after-logging-input (0 references)
target     prot opt source               destination         

Chain ufw-after-logging-output (0 references)
target     prot opt source               destination         

Chain ufw-after-output (0 references)
target     prot opt source               destination         

Chain ufw-before-forward (0 references)
target     prot opt source               destination         

Chain ufw-before-input (0 references)
target     prot opt source               destination         

Chain ufw-before-logging-forward (0 references)
target     prot opt source               destination         

Chain ufw-before-logging-input (0 references)
target     prot opt source               destination         

Chain ufw-before-logging-output (0 references)
target     prot opt source               destination         

Chain ufw-before-output (0 references)
target     prot opt source               destination         

Chain ufw-reject-forward (0 references)
target     prot opt source               destination         

Chain ufw-reject-input (0 references)
target     prot opt source               destination         

Chain ufw-reject-output (0 references)
target     prot opt source               destination         

Chain ufw-track-input (0 references)
target     prot opt source               destination         

Chain ufw-track-output (0 references)
target     prot opt source               destination

ebubekirs

Sistem ssh'a da, 22 portuna da izin veriyor gibi duruyor. ssh 22'den farklı bir porttan mı çalışıyor ?

cat /etc/services | grep ssh
Dünyaya gelen de benim, dünyadan giden de benim

deox

Alıntı yapılan: ebubekirs - 14 Şubat 2012 - 18:02:16
Sistem ssh'a da, 22 portuna da izin veriyor gibi duruyor. ssh 22'den farklı bir porttan mı çalışıyor ?

cat /etc/services | grep ssh

SSH 22 portundan çalışıyor...

ssh             22/tcp                          # SSH Remote Login Protocol
ssh             22/udp



Aşağıdaki kuralları çıkarınca sorun olmuyor ancak o zaman da benim yapmak istediğim olmuyor...

sudo iptables -A INPUT -s 0.0.0.0/0 -j DROP
sudo iptables -A INPUT -s 0.0.0.0/0 -j REJECT
sudo iptables -A OUTPUT -s 0.0.0.0/0 -j ACCEPT

altintasi

Ben güvenlik duvarı kullanıyorum. Fakat açık durumundayken hiçbir kesinti olmuyor ağda.
Bilemiyorum Altan, bilemiyorum...

heartsmagic

Sen tam olarak ne yapmak istiyorsun? Bu gibi işlerde önce her şey kapatılır, ardından alt tarafta izin verileceklere izin verilir diye biliyorum.
Hayattan çıkarı olmayanların, ölümden de çıkarı olmayacaktır.
Hayatlarıyla yanlış olanların ölümleriyle doğru olmalarına imkân var mıdır?


Böylece yalan, dünyanın düzenine dönüştürülüyor.

deox

Alıntı yapılan: heartsmagic - 15 Şubat 2012 - 16:31:56
Sen tam olarak ne yapmak istiyorsun? Bu gibi işlerde önce her şey kapatılır, ardından alt tarafta izin verileceklere izin verilir diye biliyorum.

Yapmak istediğim,

ssh,ftp,www ve belirleyeceğim portlara izin verip Public alanda  sadece 92.0.0.0 ve 194.0.0.0 IP bloklarından sisteme gelenleri kabul edip izin vermek. Dışarıdan hiçbir IP'den giriş kabul etmesini istemiyorum.

Portlara ve IP'ye izin vermek için şu komutları ;

sudo iptables -A INPUT -s 92.0.0.0/8 -j ACCEPT
sudo iptables -A INPUT -s 194.0.0.0/8 -j ACCEPT
sudo iptables -A OUTPUT -s 194.0.0.0/8 -j ACCEPT
sudo iptables -A OUTPUT -s 92.0.0.0/8 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 20 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT


Dış dünyadan gelenleri kapatmak için aşağıdaki komutları kullanıyorum

sudo iptables -A INPUT -s 0.0.0.0/0 -j DROP
sudo iptables -A INPUT -s 0.0.0.0/0 -j REJECT
sudo iptables -A OUTPUT -s 0.0.0.0/0 -j ACCEPT


Ancak bu komutları yazdığımda sunucudan ssh, internet çıkışım kesiliyor... Kısaca bunları yapmak istiyorum....

heartsmagic

İşte, önce neyi kapatmak istiyorsan tamamen kapat. Kurallarının başında bu olsun, ardından izin vereceklerine izin ver. En son her şeyi kapatırsan haliyle sınırlamış olursun her tarafı.
Hayattan çıkarı olmayanların, ölümden de çıkarı olmayacaktır.
Hayatlarıyla yanlış olanların ölümleriyle doğru olmalarına imkân var mıdır?


Böylece yalan, dünyanın düzenine dönüştürülüyor.

deox

Alıntı yapılan: heartsmagic - 16 Şubat 2012 - 12:28:25
İşte, önce neyi kapatmak istiyorsan tamamen kapat. Kurallarının başında bu olsun, ardından izin vereceklerine izin ver. En son her şeyi kapatırsan haliyle sınırlamış olursun her tarafı.

Senin dediğinden komutların sırasının önemini anlıyorum . Ancak aşağıdaki komut zincirini kullanınca da bir şey değişmiyor.....
Yanlışsam lütfen düzelt...

#!/bin/bash
sudo iptables -F
sudo iptables -A INPUT -s 0.0.0.0/0 -j DROP
sudo iptables -A INPUT -s 0.0.0.0/0 -j REJECT
sudo iptables -P OUTPUT ACCEPT
sudo iptables -A INPUT -s 92.0.0.0/8 -j ACCEPT
sudo iptables -A INPUT -s 194.0.0.0/8 -j ACCEPT
sudo iptables -A OUTPUT -s 194.0.0.0/8 -j ACCEPT
sudo iptables -A OUTPUT -s 92.0.0.0/8 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 20 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 21 -j ACCEPT
sudo iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT
sudo iptables-save

heartsmagic

Biraz iptables kurcalamak gerekli sanırım.

http://www.thegeekstuff.com/2011/03/iptables-inbound-and-outbound-rules/

Bu bağlantıdaki gibi bir örnek üzerinden yola çıkalım önce. Şimdilik belirli IP aralıkları için deneme, tüm IP aralıkları için uygula bu kuralı. Önce bir bunun çalıştığını onayalım, ardından diğer konuya bakarız.
Hayattan çıkarı olmayanların, ölümden de çıkarı olmayacaktır.
Hayatlarıyla yanlış olanların ölümleriyle doğru olmalarına imkân var mıdır?


Böylece yalan, dünyanın düzenine dönüştürülüyor.

cagatayak

dostum internete bağlanamamanın sebebi 53. porta yani dns portuna izin vermemiş olman.
----

Linux 3.3.6