Re: IP tables para
Hali! PÁSZTOR Györgyírta (2018. május 10. 22:59): > Hi, > > "Zoltán Gerendás" írta 2018-05-09 16:37-kor: >> Az iptables-save kimenetét ide tettem: >> https://pastebin.com/E3URP2KP >> > Ebben a kimenetben nem látom >> >> -A ufw-user-input -s 192.168.0.0/16 -p tcp -m tcp --dport 8080 -j ACCEPT >> >> -A ufw-user-input -s 192.168.0.0/16 -p udp -m udp --dport 8080 -j ACCEPT > > Ezt a két szabályt. > > Lehet ez a gond? :) > > Nem gondolkodtál még az ufw skippelésén? Amennyire látom eléggé karácsonyfa > rulesetet rak össze, és még csak nem is hatékony. > De itt-ott a logikát sem értem benne. > Pl. ilyen helyeken: > -A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny > -A ufw-before-input -m conntrack --ctstate INVALID -j DROP > és > -A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min > --limit-burst 10 -j RETURN > -A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG > --log-prefix "[UFW BLOCK] " > > Miért nem teszi akkor az ufw-logging-deny végére azt a DROP-ot?! > Így még a feldolgozásban végére ér az ufw-logging-deny láncnak, majd > return-öl az ufw-before-input láncra, újra kiértékeli azt a szabályt, amit > egyszer már kiértékelt, és csuda tudja mekkora lookup táblát kell egy > ctstate kikereséséhez megnéznie... > Maaajd ezután dobja el a csomagot. > > Könyörgöm, miért?! > > Értem én hogy script írta, de ekkora komplexitásnál biztos, hogy van még > értelme ezt a salátát használni, ahelyett, hogy összeraknál valamit > magadtól + esetleg ez, ahogy látom, tipikusan olyan use-case, amin még > sokat tudna lendíteni egy ipset. > De az is lehet, hogy nftables-el meg a logolás hatékonyságán tudnál > fejleszteni. Bármi, csak... imho, ne ezt a kriptaszökevény scriptet. > Eddig nem sok dolgom volt az ufw-vel, de ha ilyen módon szervezi a dolgait, > akkor ennek kifejezetten örülök! ;-) > > Üdv, > Gyu > _ > linux lista - linux@mlf.linux.rulez.org > http://mlf.linux.rulez.org/mailman/listinfo/linux -- Üdvözlettel: Gerendás Zoltán _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: IP tables para
Hali! Elnézést ez előző levélért! PÁSZTOR Györgyírta (2018. május 10. 22:59): > Hi, > > "Zoltán Gerendás" írta 2018-05-09 16:37-kor: >> Az iptables-save kimenetét ide tettem: >> https://pastebin.com/E3URP2KP >> > Ebben a kimenetben nem látom >> >> -A ufw-user-input -s 192.168.0.0/16 -p tcp -m tcp --dport 8080 -j ACCEPT >> >> -A ufw-user-input -s 192.168.0.0/16 -p udp -m udp --dport 8080 -j ACCEPT > > Ezt a két szabályt. > > Lehet ez a gond? :) > > Nem gondolkodtál még az ufw skippelésén? Amennyire látom eléggé karácsonyfa > rulesetet rak össze, és még csak nem is hatékony. > De itt-ott a logikát sem értem benne. > Pl. ilyen helyeken: > -A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny > -A ufw-before-input -m conntrack --ctstate INVALID -j DROP > és > -A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min > --limit-burst 10 -j RETURN > -A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG > --log-prefix "[UFW BLOCK] " > > Miért nem teszi akkor az ufw-logging-deny végére azt a DROP-ot?! > Így még a feldolgozásban végére ér az ufw-logging-deny láncnak, majd > return-öl az ufw-before-input láncra, újra kiértékeli azt a szabályt, amit > egyszer már kiértékelt, és csuda tudja mekkora lookup táblát kell egy > ctstate kikereséséhez megnéznie... > Maaajd ezután dobja el a csomagot. > > Könyörgöm, miért?! > > Értem én hogy script írta, de ekkora komplexitásnál biztos, hogy van még > értelme ezt a salátát használni, ahelyett, hogy összeraknál valamit > magadtól + esetleg ez, ahogy látom, tipikusan olyan use-case, amin még > sokat tudna lendíteni egy ipset. > De az is lehet, hogy nftables-el meg a logolás hatékonyságán tudnál > fejleszteni. Bármi, csak... imho, ne ezt a kriptaszökevény scriptet. > Eddig nem sok dolgom volt az ufw-vel, de ha ilyen módon szervezi a dolgait, > akkor ennek kifejezetten örülök! ;-) > > Üdv, > Gyu > _ > linux lista - linux@mlf.linux.rulez.org > http://mlf.linux.rulez.org/mailman/listinfo/linux -- Üdvözlettel: Gerendás Zoltán _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: IP tables para
Hi, "Zoltán Gerendás"írta 2018-05-09 16:37-kor: > Az iptables-save kimenetét ide tettem: > https://pastebin.com/E3URP2KP > Ebben a kimenetben nem látom > >> -A ufw-user-input -s 192.168.0.0/16 -p tcp -m tcp --dport 8080 -j ACCEPT > >> -A ufw-user-input -s 192.168.0.0/16 -p udp -m udp --dport 8080 -j ACCEPT Ezt a két szabályt. Lehet ez a gond? :) Nem gondolkodtál még az ufw skippelésén? Amennyire látom eléggé karácsonyfa rulesetet rak össze, és még csak nem is hatékony. De itt-ott a logikát sem értem benne. Pl. ilyen helyeken: -A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny -A ufw-before-input -m conntrack --ctstate INVALID -j DROP és -A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN -A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] " Miért nem teszi akkor az ufw-logging-deny végére azt a DROP-ot?! Így még a feldolgozásban végére ér az ufw-logging-deny láncnak, majd return-öl az ufw-before-input láncra, újra kiértékeli azt a szabályt, amit egyszer már kiértékelt, és csuda tudja mekkora lookup táblát kell egy ctstate kikereséséhez megnéznie... Maaajd ezután dobja el a csomagot. Könyörgöm, miért?! Értem én hogy script írta, de ekkora komplexitásnál biztos, hogy van még értelme ezt a salátát használni, ahelyett, hogy összeraknál valamit magadtól + esetleg ez, ahogy látom, tipikusan olyan use-case, amin még sokat tudna lendíteni egy ipset. De az is lehet, hogy nftables-el meg a logolás hatékonyságán tudnál fejleszteni. Bármi, csak... imho, ne ezt a kriptaszökevény scriptet. Eddig nem sok dolgom volt az ufw-vel, de ha ilyen módon szervezi a dolgait, akkor ennek kifejezetten örülök! ;-) Üdv, Gyu _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: IP tables para
Hello! Az iptables-save kimenetét ide tettem: https://pastebin.com/E3URP2KP Hátha ez segít. PÁSZTOR Györgyírta (2018. május 9. 14:16): > Hali, > > "Zoltán Gerendás" írta 2018-05-03 11:07-kor: >> Adott Ubuntu, 4.15.0-20-generic #21-Ubuntu SMP kernel. >> Fut egy proxy 8080-as porton. >> ufw a tűzfal generáló >> >> -A ufw-user-input -s 192.168.0.0/16 -p tcp -m tcp --dport 8080 -j ACCEPT >> -A ufw-user-input -s 192.168.0.0/16 -p udp -m udp --dport 8080 -j ACCEPT >> >> Megy is jól a proxy, de néha pár IP csomagot még is megfog >> >> IN=eth0 OUT= MAC=00:16:3e:00:01:f6:00:16:3e:01:00:6d:08 >> :00 SRC=192.168.2.2 DST=192.168.80.10 LEN=40 TOS=0x00 PREC=0x00 TTL=63 >> ID=25179 DF PROTO=TCP SPT=34032 DPT=8080 W$ >> (megy a 2.2 -es gépről a net!!) >> >> Hasonló egy másik gépen dnat -van (docker-be). >> Jól megy a docker elérése kívülről, de néha pár csomagot szintén >> blokkol az UFW szabály. >> >> Mi történhet itt? > > Úgy sokkal könnyebb ám, ha azt a szabályt is beidézed, ami a dropolást/ > logolást csinálja, nem csak azt, hogy szerinted melyik allow-nak kellett > volna átengednie! ;-) > Meg mondjuk azt, hogy melyik másik chain-ből van és milyen szabály alapján > meghívva ez az ufw-user-input lánc. Ha eldobta, akkor valószínűleg ezen > szabályig el sem jutott a vezérlés. Valószínűleg ez a logolt csomag nem > matchelt annak a szabálynak a feltételeire, ahol a -j ufw-user-input volt. > Vagy már korábban futott rá a log-drop -ra. > > Üdv, > Gyu > _ > linux lista - linux@mlf.linux.rulez.org > http://mlf.linux.rulez.org/mailman/listinfo/linux -- Üdvözlettel: Gerendás Zoltán _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: IP tables para
Hali, "Zoltán Gerendás"írta 2018-05-03 11:07-kor: > Adott Ubuntu, 4.15.0-20-generic #21-Ubuntu SMP kernel. > Fut egy proxy 8080-as porton. > ufw a tűzfal generáló > > -A ufw-user-input -s 192.168.0.0/16 -p tcp -m tcp --dport 8080 -j ACCEPT > -A ufw-user-input -s 192.168.0.0/16 -p udp -m udp --dport 8080 -j ACCEPT > > Megy is jól a proxy, de néha pár IP csomagot még is megfog > > IN=eth0 OUT= MAC=00:16:3e:00:01:f6:00:16:3e:01:00:6d:08 > :00 SRC=192.168.2.2 DST=192.168.80.10 LEN=40 TOS=0x00 PREC=0x00 TTL=63 > ID=25179 DF PROTO=TCP SPT=34032 DPT=8080 W$ > (megy a 2.2 -es gépről a net!!) > > Hasonló egy másik gépen dnat -van (docker-be). > Jól megy a docker elérése kívülről, de néha pár csomagot szintén > blokkol az UFW szabály. > > Mi történhet itt? Úgy sokkal könnyebb ám, ha azt a szabályt is beidézed, ami a dropolást/ logolást csinálja, nem csak azt, hogy szerinted melyik allow-nak kellett volna átengednie! ;-) Meg mondjuk azt, hogy melyik másik chain-ből van és milyen szabály alapján meghívva ez az ufw-user-input lánc. Ha eldobta, akkor valószínűleg ezen szabályig el sem jutott a vezérlés. Valószínűleg ez a logolt csomag nem matchelt annak a szabálynak a feltételeire, ahol a -j ufw-user-input volt. Vagy már korábban futott rá a log-drop -ra. Üdv, Gyu _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux