Niedawno dodałem kilka zasad do GUFW, aby upewnić się, że tylko moje (osobiste) połączenie VPN może się wydostać, xxxx to mój adres IP, yyyy to adres IP mojej sieci VPN, z którym się łączę.
Do - Działanie - Od
rrrr ZEZWALAJ na xxxx
Gdziekolwiek odmawiasz xxxx
Do tej pory wszystko działało dobrze: nic nie mogło przejść, oprócz mojego połączenia VPN, które miałoby wtedy wszystko przez nie tunelowane. Internet, wszystko działa.
Chcę zeskanować hosta (tttt) w mojej sieci domowej, aby go zidentyfikować. Więc próbuję wykonać skanowanie Syn za pomocą nmap:
sudo nmap tttt -sS -v
Wydaje się jednak, że zapora blokuje sondy, gdy otrzymuję to:
sendto w send_ip_packet_sd: sendto (5, pakiet, 44, 0, tttt, 16) => Operacja niedozwolona
Więc dodałem tę zasadę:
xx0,0 / 16 ALLOW OUT xxxx
O dziwo, nadal otrzymuję ten sam błąd, nawet jeśli używam maski sieciowej / 24. Dezaktywacja zapory działa, ale szukam tam prawdziwego rozwiązania.
Wszelkie wskazówki na temat tego, co może być problemem? Dzięki.
ROZWIĄZANE : Kolejność reguł w iptables jest bardzo ważna. Ponieważ gufw jest uproszczeniem, musiałem zmienić kolejność reguł. Po pierwsze, zezwalasz interfejsowi na komunikację z podsiecią, a następnie odmawiasz interfejsu komunikacji z resztą świata. Mogę teraz pingować, skanować itp. Podsieć, a reszta Internetu jest zablokowana, jeśli nie korzystam z VPN: pingi, skanowanie ... nie mogę wyjść na zewnątrz.
Odpowiedzi:
Jak powiedziałem w mojej edycji, kolejność reguł jest bardzo ważna.
Nawet w przypadku GUFW musisz wziąć to pod uwagę. Więc rób to, co zamierzałem:
Najpierw Zezwalaj interfejsowi na komunikowanie się z podsiecią (xx0,0 / 16), a następnie ODRZUCAJ komunikację z resztą świata.
Odwróciłem kolejność, nie wiedząc, która zasada zostanie wzięta pod uwagę w pierwszej kolejności.
źródło