UFW pravidlo - zakaz komunikacie von (block outgoing traffic)

[kvas]

Ahoj,

prosim o radu.
Mam na serveri (ubuntu) v hostingu nastavene nasledujuce pravidlo v UFW:

Kód: [Vybrat]

[ 3] X.Y.Z.0/24              DENY OUT    Anywhere                   (out)
avsak hosting ma z casu na cas upozornuje na to, ze z mojho servera bola zistena aktivita na IP adresu X.Y.Z.W a port 80
ja zijem v tom, ze to nie je mozne, pretoze to pravidlo (podla mna) funguje, vid napr:

Kód: [Vybrat]

$ ping X.Y.Z.W
PING X.Y.Z.W (X.Y.Z.W) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
^C
--- X.Y.Z.W ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 0ms


otazka znie:
mam to nastavene blbo? ak ano, ako to ma byt spravne?

ciel je zakazat akukolvek komunikaciu z mojho servera na celu mnozinu IP adries X.Y.Z.0 - X.Y.Z.255

dakujem

[Reklama]

[Nn]

Nie som si isty, ale operation not permitted nie je dosledok toho, ze je to zakazane na firewalle. Urcite to nie je dosledok drop pravidla, myslim, ze ani reject.

[Miroslav Šilhavý]

Nie som si isty, ale operation not permitted nie je dosledok toho, ze je to zakazane na firewalle. Urcite to nie je dosledok drop pravidla, myslim, ze ani reject.

Neumím se vyjádřit k dotazu o UFW, ale Operation not permitted je důsledek reject pravidla, resp. může to být důsledek i nějaké jiné chyby, ale reject se takto projevuje. Je jistě správnou praxí (i když ne často viděnou), že směrem z LAN (DMZ) mají být nastaveny REJECTY, zatímco z WAN mají být DROPY / TARPITY.

[Sten]

Vidím, že to pravidlo je až třetí, není tam nějaké jiné, které to povoluje? Co udělá telnet x.y.z.w 80?

Nie som si isty, ale operation not permitted nie je dosledok toho, ze je to zakazane na firewalle. Urcite to nie je dosledok drop pravidla, myslim, ze ani reject.

Kód: [Vybrat]

kink sten # iptables -I OUTPUT -j DROP
kink sten # ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
ping: sendmsg: Operace není povolena
ping: sendmsg: Operace není povolena
^C
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1005ms

kink sten # iptables -D OUTPUT -j DROP
kink sten # ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=59 time=6.94 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=59 time=8.15 ms
^C
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 6.946/7.550/8.155/0.610 ms

[kvas]

Kód: [Vybrat]

~$ telnet X.Y.Z.W 80
Trying X.Y.Z.W...

a nic sa nedeje. stoji zaseknuty az do CTRL+C

[Reklama]

[uf]

A nemáš tam třeba povolený nějaký forward se SNAT/maškarádou?
Nenastaví si někdo jiný v síti IPadresu serveru a nepokouší se pak dostat ven?

[uf]

A nemáš tam třeba povolený nějaký forward se SNAT/maškarádou?
Nenastaví si někdo jiný v síti IPadresu serveru a nepokouší se pak dostat ven?

Aha, v HOSTINGU! Tak to asi ne, leda s nějakým virtuálem.
Ale vlastně DNAT (z povolené na zakázanou IP) by to způsobit asi mohl.

[kvas]

nikto okrem mna tam nema ucet a ja som tam nic take nenastavoval.