Смоленск 1.5 UFW (Uncomplicated Firewall)

_Denis_

New member
Сообщения
72
#1
Кто-нибудь разбирался с этим интерфейсом iptables?
Суть проблемы:
Имеются машины под управлением Astra Linux 1.5 SE. Хочу ограничить подключение по сети с использованием ssh (подключение возможно только с определенного IP-адреса)
На машине с IP-адресом 192.168.1.2 делаю следующее:

ufw reset # сброс всех правил
# Установка политики по умолчанию: сброс всех входящих и пропуск всех исходящих
ufw default deny incoming
ufw default allow outgoing
ufw allow from 192.168.1.1 to any port 22 proto tcp # разрешение подключения по ssh
ufw enable # включение МСЭ

Команда ufw status отображает ранее введенное правило ограничения подключения по ssh.
Произвожу перезагрузку системы (192.168.1.2).
К настроенной машине пытаюсь подключиться с неразрешенной машины (192.168.1.3). Если подключаться под обычным пользователем (ssh user1@192.168.1.2), то соединение разрывается под предлогом "ssh: connect to host 192.168.1.2 port 22: Connection refused". Аналогично происходит и для другого непривилегированного пользователя (ssh user2@192.168.1.2). Однако при попытке подключиться через root (ssh root@192.168.1.2) соединение устанавливается, пароль принимается, доступ обеспечивается. После этого можно подключаться и через user1 и через user2 без проблем .
Я что-то ни так делаю? Почему соединение всё таки устанавливается?

P.S. То, что root должен быть заблокированным я знаю. Использую его на этапе тестирования.
 
Последнее редактирование:

Fd1501h

Moderator
Сообщения
666
#2
Кто-нибудь разбирался с этим интерфейсом iptables?
Суть проблемы:
Имеются машины под управлением Astra Linux 1.5 SE. Хочу ограничить подключение по сети с использованием ssh (подключение возможно только с определенного IP-адреса)
На машине с IP-адресом 192.168.1.2 делаю следующее:

ufw reset # сброс всех правил
# Установка политики по умолчанию: сброс всех входящих и пропуск всех исходящих
ufw default deny incoming
ufw default allow outgoing
ufw allow from 192.168.1.1 to any port 22 proto tcp # разрешение подключения по ssh
ufw enable # включение МСЭ

Команда ufw status отображает ранее введенное правило ограничения подключения по ssh.
Произвожу перезагрузку системы (192.168.1.2).
К настроенной машине пытаюсь подключиться с неразрешенной машины (192.168.1.3). Если подключаться под обычным пользователем (ssh user1@192.168.1.2), то соединение разрывается под предлогом "ssh: connect to host 192.168.1.2 port 22: Connection refused". Аналогично происходит и для другого непривилегированного пользователя (ssh user2@192.168.1.2). Однако при попытке подключиться через root (ssh root@192.168.1.2) соединение устанавливается, пароль принимается, доступ обеспечивается. После этого можно подключаться и через user1 и через user2 без проблем .
Я что-то ни так делаю? Почему соединение всё таки устанавливается?

P.S. То, что root должен быть заблокированным я знаю. Использую его на этапе тестирования.
После настройки и перезагрузки проверьте статус ufw и проверьте список привил iptables
 

_Denis_

New member
Сообщения
72
#3
Я понял в чем дело.
В описании своих действий я не указал команду ufw limit ssh, которую вводил предпоследней перед активацией ufw . Данная команда ограничивает количество подключений к указанному порту с одного IP-адреса, но при этом не учитывается первое правило ufw allow from 192.168.1.1 to any port 22 proto tcp. Получается, что ограничение применяется только по количеству подключений, без учета IP подключаемого хоста.

Есть возможность заставить работать два правила вместе?
 
Последнее редактирование:

rkislov

New member
Сообщения
157
#4
Напишите ваши правила, или команды которые вы вводили
 

_Denis_

New member
Сообщения
72
#5
Напишите ваши правила, или команды которые вы вводили
ufw disable # отключение МСЭ
ufw reset # cброс настроек МСЭ
# Установка политики по умолчанию: сброс всех входящих и пропуск всех исходящих
ufw default deny incoming
ufw default allow outgoing
ufw allow from 192.168.1.1 to any port 22 proto tcp # разрешение подключения по ssh
ufw limit ssh # ограничение подключений по ssh
ufw enable # включение МСЭ
 

rkislov

New member
Сообщения
157
#6
правило ufw limit ssh добавляет следующие строчки в iptables:
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
соответственно можно заходить с любого ip адреса, но скорее всего до limita не доходит. Вы можете включить на своей машине с астрой:
sudo ufw logging on
sudo ufw logging medium
после этого включиться логированние, лог лежит /var/log/ufw
посмотрите с какого ip адреса приходят соединения, некоторые маршрутизаторы маскарадят адреса даже внутрисети (например mikrotik) и получается что ты обращался с машины 192.168.1.3 к машине 192.168.1.2, а соединения прилетают с 192.168.1.1
 

_Denis_

New member
Сообщения
72
#7
Я так и подумал, что правило ufw limit ssh срабатывает быстрей чем ufw allow from 192.168.1.1... потому второе и не срабатывает.
Спасибо за разъяснение!
Уже начал iptables изучать, ну его этот ufw.