LittleNoMuc
Anmeldungsdatum: 26. Januar 2016
Beiträge: 195
|
Nach ein paar Tagen Einrichtungs-Arbeit an meinem Ubuntu-Server konnte ich mit SSH plötzlich keine Verbindung mehr aufbauen. Mit "ufw allow 22" gings sofort wieder, also hat ufw einfach den Port gesperrt. Die Frage ist aber: warum? Einen Tag vorher hatte ich zwar System-Updates installiert, aber unmittelbar nach der Update-Installation gings noch. Es muss also eigentlich was anderes gewesen sein. Ich finde es nicht schön das mich mein Server eigenmächtig aussperrt. Drum hat das schon ein nicht unerhebliches Gewicht zu wissen warum er das getan hat.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13894
|
LittleNoMuc schrieb: Drum hat das schon ein nicht unerhebliches Gewicht zu wissen warum er das getan hat.
Wie sind auf deinem Server, die Ausgaben von:
sudo iptables -nvx -L
?
|
LittleNoMuc
(Themenstarter)
Anmeldungsdatum: 26. Januar 2016
Beiträge: 195
|
Chain INPUT (policy DROP 1928 packets, 88292 bytes)
pkts bytes target prot opt in out source destination
160 10812 ACCEPT udp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
33 10952 ACCEPT udp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
0 0 ACCEPT tcp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
99938 7477307 ufw-before-logging-input all -- * * 0.0.0.0/0 0.0.0.0/0
99938 7477307 ufw-before-input all -- * * 0.0.0.0/0 0.0.0.0/0
11452 1678241 ufw-after-input all -- * * 0.0.0.0/0 0.0.0.0/0
1928 88292 ufw-after-logging-input all -- * * 0.0.0.0/0 0.0.0.0/0
1928 88292 ufw-reject-input all -- * * 0.0.0.0/0 0.0.0.0/0
1928 88292 ufw-track-input all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
14202 22071445 ACCEPT all -- * virbr0 0.0.0.0/0 192.168.122.0/24 ctstate RELATED,ESTABLISHED
11208 1214887 ACCEPT all -- virbr0 * 192.168.122.0/24 0.0.0.0/0
0 0 ACCEPT all -- virbr0 virbr0 0.0.0.0/0 0.0.0.0/0
0 0 REJECT all -- * virbr0 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- virbr0 * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 ufw-before-logging-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-before-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-after-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-after-logging-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-reject-forward all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ufw-track-forward all -- * * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 2 packets, 80 bytes)
pkts bytes target prot opt in out source destination
33 10911 ACCEPT udp -- * virbr0 0.0.0.0/0 0.0.0.0/0 udp dpt:68
61196 110152064 ufw-before-logging-output all -- * * 0.0.0.0/0 0.0.0.0/0
61196 110152064 ufw-before-output all -- * * 0.0.0.0/0 0.0.0.0/0
2471 378566 ufw-after-output all -- * * 0.0.0.0/0 0.0.0.0/0
2471 378566 ufw-after-logging-output all -- * * 0.0.0.0/0 0.0.0.0/0
2471 378566 ufw-reject-output all -- * * 0.0.0.0/0 0.0.0.0/0
2471 378566 ufw-track-output all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-after-forward (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-after-input (1 references)
pkts bytes target prot opt in out source destination
2442 195624 ufw-skip-to-policy-input udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:137
3032 678953 ufw-skip-to-policy-input udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:138
15 760 ufw-skip-to-policy-input tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:139
246 12464 ufw-skip-to-policy-input tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:445
264 87847 ufw-skip-to-policy-input udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
0 0 ufw-skip-to-policy-input udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:68
3525 614301 ufw-skip-to-policy-input all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type BROADCAST
Chain ufw-after-logging-forward (1 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
pkts bytes target prot opt in out source destination
1928 88292 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "
Chain ufw-after-logging-output (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-after-output (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-before-forward (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 4
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 12
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8
0 0 ufw-user-forward all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-before-input (1 references)
pkts bytes target prot opt in out source destination
224 16704 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
85999 4868840 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 ufw-logging-deny all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 4
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 12
31 1860 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmptype 8
9 5184 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
13675 2584719 ufw-not-local all -- * * 0.0.0.0/0 0.0.0.0/0
2212 905822 ACCEPT udp -- * * 0.0.0.0/0 224.0.0.251 udp dpt:5353
0 0 ACCEPT udp -- * * 0.0.0.0/0 239.255.255.250 udp dpt:1900
11463 1678897 ufw-user-input all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-before-logging-forward (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-before-logging-input (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-before-logging-output (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-before-output (1 references)
pkts bytes target prot opt in out source destination
464 48624 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
58261 109724874 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
2471 378566 ufw-user-output all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-logging-allow (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID limit: avg 3/min burst 10
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "
Chain ufw-not-local (1 references)
pkts bytes target prot opt in out source destination
1307 75918 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type LOCAL
3198 939330 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type MULTICAST
9170 1569471 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type BROADCAST
0 0 ufw-logging-deny all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-reject-forward (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-reject-input (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-reject-output (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-skip-to-policy-forward (0 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-skip-to-policy-input (7 references)
pkts bytes target prot opt in out source destination
9524 1589949 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-skip-to-policy-output (0 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-track-forward (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-track-input (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-track-output (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW
2467 378406 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW
Chain ufw-user-forward (1 references)
pkts bytes target prot opt in out source destination
Chain ufw-user-input (1 references)
pkts bytes target prot opt in out source destination
11 656 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5901
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5901
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:22
Chain ufw-user-limit (0 references)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 0 level 4 prefix "[UFW LIMIT BLOCK] "
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain ufw-user-limit-accept (0 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain ufw-user-logging-forward (0 references)
pkts bytes target prot opt in out source destination
Chain ufw-user-logging-input (0 references)
pkts bytes target prot opt in out source destination
Chain ufw-user-logging-output (0 references)
pkts bytes target prot opt in out source destination
Chain ufw-user-output (1 references)
pkts bytes target prot opt in out source destination
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13894
|
LittleNoMuc schrieb: Chain ufw-user-input (1 references)
pkts bytes target prot opt in out source destination
11 656 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5901
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5901
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:22
Hast Du kurz vor dem posten, rebootet? ... denn der Zähler zeigt für diese Regel (siehe gelbe Markierung) keinen Traffic an. Ich denke nicht, dass diese Regel die Ursache bzw. der Grund dafür ist, dass es jetzt wieder funktioniert.
|
LittleNoMuc
(Themenstarter)
Anmeldungsdatum: 26. Januar 2016
Beiträge: 195
|
nein und die Ausgabe habe ich auch über eine SSH-Konsole gemacht. Traffic ist da also definitiv.
|
ratknight
Anmeldungsdatum: 9. März 2017
Beiträge: Zähle...
|
lubux schrieb: LittleNoMuc schrieb: Chain ufw-user-input (1 references)
pkts bytes target prot opt in out source destination
11 656 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5901
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5901
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:22
Hast Du kurz vor dem posten, rebootet? ... denn der Zähler zeigt für diese Regel (siehe gelbe Markierung) keinen Traffic an. Ich denke nicht, dass diese Regel die Ursache bzw. der Grund dafür ist, dass es jetzt wieder funktioniert.
Ähm... Chain INPUT (policy DROP...) Du brauchst doch explizit eine Regel, die es erlaubt, da sonst gedropt wird. Oder habe ich das zu schnell überflogen...
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13894
|
ratknight schrieb: lubux schrieb: LittleNoMuc schrieb: Chain ufw-user-input (1 references)
pkts bytes target prot opt in out source destination
11 656 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5901
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5901
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:22
Hast Du kurz vor dem posten, rebootet? ... denn der Zähler zeigt für diese Regel (siehe gelbe Markierung) keinen Traffic an. Ich denke nicht, dass diese Regel die Ursache bzw. der Grund dafür ist, dass es jetzt wieder funktioniert.
Ähm... Chain INPUT (policy DROP...) Du brauchst doch explizit eine Regel, die es erlaubt, da sonst gedropt wird. Oder habe ich das zu schnell überflogen...
Ja, und das hat er doch. Wenn die default policy auf DROP ist und man in der chain eine Regel mit dem target ACCEPT (an der richtigen Stelle/Reihenfolge) hat, dann ist das doch erlaubt.
|
ratknight
Anmeldungsdatum: 9. März 2017
Beiträge: 9
|
Er hat doch gesagt, dass es mit der Regel geht. Also war das sperren vorher völlig legitim.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13894
|
ratknight schrieb: Er hat doch gesagt, dass es mit der Regel geht.
So genau verstehe ich nicht was Du meinst, aber wo bzw. in welchem Zusammenhang hat er das gesagt? ratknight schrieb: Also war das sperren vorher völlig legitim.
Habe ich irgendwo geschrieben, dass (wenn man weiß was man tut) die default policy einer chain, nicht auf DROP setzen soll?
|