Ich habe vor kurzem einige Regeln zu GUFW hinzugefügt, um sicherzustellen, dass nur meine (persönliche) VPN-Verbindung ausfällt, wobei xxxx meine IP und yyyy die IP meines VPN ist, mit dem ich mich verbinde.
Zu - Aktion - Von
yyyy ALLOW OUT xxxx
Überall DENY OUT xxxx
Bisher hat alles gut geklappt: Es konnte nichts passieren, außer meine VPN-Verbindung, über die dann alles getunnelt würde. Internet, alles funktioniert.
Ich möchte einen Host (tttt) in meinem Heimnetzwerk scannen, um ihn zu identifizieren. Also versuche ich mit nmap einen Syn-Scan durchzuführen:
sudo nmap tttt -sS -v
Es scheint jedoch, dass die Firewall die Tests blockiert, während ich dies erhalte:
sendto in send_ip_packet_sd: sendto (5, packet, 44, 0, tttt, 16) => Operation nicht erlaubt
Also habe ich diese Regel hinzugefügt:
xx0.0 / 16 ALLOW OUT xxxx
Seltsamerweise bekomme ich immer noch den gleichen Fehler, auch wenn ich eine / 24-Netzmaske benutze. Das Deaktivieren der Firewall ist der Trick, aber ich suche dort eine echte Lösung.
Gibt es einen Hinweis darauf, wo das Problem liegen könnte? Vielen Dank.
Gelöst : Die Reihenfolge der Regeln von Iptables ist sehr wichtig. Da es sich bei gufw um eine Vereinfachung handelt, musste ich die Reihenfolge der Regeln ändern. ZUERST ERLAUBEN SIE, dass die Schnittstelle mit dem Subnetz kommuniziert, DANN VERWEIGERN Sie der Schnittstelle die Kommunikation mit dem Rest der Welt. Ich kann jetzt pingen, scannen usw. Das Subnetz ist gesperrt, und der Rest des Internets ist gesperrt, wenn ich kein VPN verwende: pingen, scannen ... kann nicht nach draußen gehen.
Antworten:
Wie ich in meiner Bearbeitung sagte, ist die Reihenfolge der Regeln sehr wichtig.
Auch für gufw muss man das berücksichtigen. Also, um zu tun, was ich vorhatte:
Sie ERLAUBEN, dass die Schnittstelle mit dem Subnetz (xx0.0 / 16) kommuniziert, und VERWEIGERN dann die Kommunikation mit dem Rest der Welt.
Ich hatte die Reihenfolge umgekehrt und war mir nicht sicher, welche Regel zuerst berücksichtigt werden würde.
quelle