Fórum Root.cz

Hlavní témata => Server => Téma založeno: kvas 11. 10. 2017, 14:09:03

Název: UFW pravidlo - zakaz komunikacie von (block outgoing traffic)
Přispěvatel: kvas 11. 10. 2017, 14:09:03

Ahoj,

prosim o radu.
Mam na serveri (ubuntu) v hostingu nastavene nasledujuce pravidlo v UFW:

Kód: [Vybrat]

[ 3] X.Y.Z.0/24              DENY OUT    Anywhere                   (out)
avsak hosting ma z casu na cas upozornuje na to, ze z mojho servera bola zistena aktivita na IP adresu X.Y.Z.W a port 80
ja zijem v tom, ze to nie je mozne, pretoze to pravidlo (podla mna) funguje, vid napr:

Kód: [Vybrat]

$ ping X.Y.Z.W
PING X.Y.Z.W (X.Y.Z.W) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
^C
--- X.Y.Z.W ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 0ms


otazka znie:
mam to nastavene blbo? ak ano, ako to ma byt spravne?

ciel je zakazat akukolvek komunikaciu z mojho servera na celu mnozinu IP adries X.Y.Z.0 - X.Y.Z.255

dakujem

Název: Re:UFW pravidlo - zakaz komunikacie von (block outgoing traffic)
Přispěvatel: Nn 11. 10. 2017, 15:45:26

Nie som si isty, ale operation not permitted nie je dosledok toho, ze je to zakazane na firewalle. Urcite to nie je dosledok drop pravidla, myslim, ze ani reject.

Název: Re:UFW pravidlo - zakaz komunikacie von (block outgoing traffic)
Přispěvatel: Miroslav Šilhavý 11. 10. 2017, 21:44:03

Citace: Nn  11. 10. 2017, 15:45:26

Nie som si isty, ale operation not permitted nie je dosledok toho, ze je to zakazane na firewalle. Urcite to nie je dosledok drop pravidla, myslim, ze ani reject.

Neumím se vyjádřit k dotazu o UFW, ale Operation not permitted je důsledek reject pravidla, resp. může to být důsledek i nějaké jiné chyby, ale reject se takto projevuje. Je jistě správnou praxí (i když ne často viděnou), že směrem z LAN (DMZ) mají být nastaveny REJECTY, zatímco z WAN mají být DROPY / TARPITY.

Název: Re:UFW pravidlo - zakaz komunikacie von (block outgoing traffic)
Přispěvatel: Sten 12. 10. 2017, 06:12:27

Vidím, že to pravidlo je až třetí, není tam nějaké jiné, které to povoluje? Co udělá telnet x.y.z.w 80?

Citace: Nn  11. 10. 2017, 15:45:26

Nie som si isty, ale operation not permitted nie je dosledok toho, ze je to zakazane na firewalle. Urcite to nie je dosledok drop pravidla, myslim, ze ani reject.

Kód: [Vybrat]

kink sten # iptables -I OUTPUT -j DROP
kink sten # ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
ping: sendmsg: Operace není povolena
ping: sendmsg: Operace není povolena
^C
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1005ms

kink sten # iptables -D OUTPUT -j DROP
kink sten # ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=59 time=6.94 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=59 time=8.15 ms
^C
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 6.946/7.550/8.155/0.610 ms

Název: Re:UFW pravidlo - zakaz komunikacie von (block outgoing traffic)
Přispěvatel: kvas 12. 10. 2017, 08:57:36

Kód: [Vybrat]

~$ telnet X.Y.Z.W 80
Trying X.Y.Z.W...

a nic sa nedeje. stoji zaseknuty az do CTRL+C

Název: Re:UFW pravidlo - zakaz komunikacie von (block outgoing traffic)
Přispěvatel: uf 12. 10. 2017, 09:30:48

A nemáš tam třeba povolený nějaký forward se SNAT/maškarádou?
Nenastaví si někdo jiný v síti IPadresu serveru a nepokouší se pak dostat ven?

Název: Re:UFW pravidlo - zakaz komunikacie von (block outgoing traffic)
Přispěvatel: uf 12. 10. 2017, 09:39:04

Citace: uf  12. 10. 2017, 09:30:48

A nemáš tam třeba povolený nějaký forward se SNAT/maškarádou?
Nenastaví si někdo jiný v síti IPadresu serveru a nepokouší se pak dostat ven?

Aha, v HOSTINGU! Tak to asi ne, leda s nějakým virtuálem.
Ale vlastně DNAT (z povolené na zakázanou IP) by to způsobit asi mohl.

Název: Re:UFW pravidlo - zakaz komunikacie von (block outgoing traffic)
Přispěvatel: kvas 12. 10. 2017, 13:05:26

nikto okrem mna tam nema ucet a ja som tam nic take nenastavoval.