আইপি ফরওয়ার্ডিংকে অনুমতি দেওয়ার জন্য কীভাবে ইউএফডাব্লু কনফিগার করবেন?


18

আমার হোম সার্ভারে আমি ইউএফডাব্লু, ওপেনভিপিএন এবং ভার্চুয়ালবক্স ইনস্টল করেছি। আমার ভার্চুয়াল মেশিন অতিথিদের জন্য কেবলমাত্র হোস্ট-নেটওয়ার্ক রয়েছে (vboxnet0) আইপি পরিসীমা 10.0.1.0 সেট আপ করেছে এবং ওপেনভিপিএন সংযোগের অন্য প্রান্তে কনফিগার করা 10.0.0.0 এর অন্য একটি আইপি পরিসীমা রয়েছে।

আইপি ফরোয়ার্ডিং হোস্টে কনফিগার করা আছে, তাই যখন ইউএফডাব্লু অক্ষম থাকে তারা কোনও সমস্যা ছাড়াই একে অপরের সাথে কথা বলতে পারে। তবে, আমি ইউএফডাব্লুটি চালাতে চাই কারণ এই হোস্টটি ওয়েব অ্যাক্সেসযোগ্য হবে এবং আমি কিছু অ্যাক্সেস নিয়ন্ত্রণ চাই।

এই ধরণের ট্র্যাফিকের অনুমতি দেওয়ার জন্য আমি কীভাবে ইউএফডাব্লু কনফিগার করব?

আমি এর বিভিন্ন সমন্বয় চেষ্টা করেছি: ufw allow allow in|out on vboxnet0|tun0কোনও সাফল্য ছাড়াই।

আমার ইউএফডাব্লু বিধিগুলি হ'ল:

root@gimli:~# ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
Anywhere                   ALLOW       10.0.0.0/16
Anywhere on vboxnet0       ALLOW       Anywhere
Anywhere on tun0           ALLOW       Anywhere

Anywhere                   ALLOW OUT   Anywhere on vboxnet0
Anywhere                   ALLOW OUT   Anywhere on tun0

কোন সাহায্যের ব্যাপকভাবে প্রশংসা হবে।

উত্তর:


20

আমি এটি বের করেছিলাম।

সম্পাদনা করুন /etc/default/ufwএবং সেট DEFAULT_FORWARD_POLICYকরার গ্রহণ :

DEFAULT_FORWARD_POLICY="ACCEPT"

10
সবকিছুকে এসিসিপিটি সেট করে না রেখে কেবলমাত্র নির্দিষ্ট বন্দরগুলি ফরওয়ার্ড করার অনুমতি দেওয়ার কোনও উপায় আছে কি?
মারকাস ডাউনিং

1
আমি অনুমান করি ফাইলটি সম্পাদনার পরে আপনাকে ufw পুনঃসূচনা করতে হবে:service ufw restart
মিন দানহ

10

এটি এখন সম্ভব - ufw ম্যান পৃষ্ঠা থেকে:

হোস্টের জন্য নিজেই নিয়ন্ত্রিত ট্র্যাফিকের বিধি নয় বরং পরিবর্তে ফায়ারওয়ালের মাধ্যমে রাস্তায় / ফরোয়ার্ড হওয়া ট্র্যাফিকের জন্য নিয়মের আগে রুট কীওয়ার্ড নির্দিষ্ট করা উচিত (রাউটিং বিধিগুলি পিএফ সিনট্যাক্স থেকে স্বতন্ত্রভাবে পৃথক হয়ে তার পরিবর্তে ফরওয়ার্ড চেইন কনভেনশনগুলিতে অ্যাকাউন্ট নেওয়া উচিত) । উদাহরণ স্বরূপ:

     ufw route allow in on eth1 out on eth2

এটি সমস্ত ট্র্যাফিক এথ 2 তে চালিত এবং এথ 1 এ আগত ফায়ারওয়ালকে অতিক্রম করতে অনুমতি দেবে।

     ufw route allow in on eth0 out on eth1 to 12.34.45.67 port 80 proto tcp

এই নিয়মটি ইথ 0 এ আসা যে কোনও প্যাকেটগুলি ইথ 1 এ ফায়ারওয়ালটি 12.34.45.67 এ 80 টিসিপি পোর্ট 80 এ যেতে পারে।

রাউটিং বিধি এবং নীতি ছাড়াও, আপনাকে অবশ্যই আইপি ফরওয়ার্ডিং সেটআপ করতে হবে। এটি /etc/ufw/sysctl.conf এ নিম্নলিখিতটি স্থাপন করে করা যেতে পারে:

     net/ipv4/ip_forward=1
     net/ipv6/conf/default/forwarding=1
     net/ipv6/conf/all/forwarding=1

তারপরে ফায়ারওয়াল পুনরায় চালু করুন:

     ufw disable
     ufw enable

সচেতন থাকুন যে কার্নেল টুনাবলগুলি সেটিং অপারেটিং সিস্টেমের জন্য নির্দিষ্ট এবং ufw sysctl সেটিংস ওভাররাইড হতে পারে। বিশদ জন্য সিস্কটেল ম্যানুয়াল পৃষ্ঠা দেখুন।


1
আমরা যারা ওপেনভিপিএন সার্ভারে ওপেনভিপিএন ক্লায়েন্টগুলির মধ্যে টিসিপি ট্র্যাফিকের অনুমতি দিতে চাইছি তাদের জন্য এটি কাজ করে। উদাহরণস্বরূপ: ufw যাত্রাপথে tun0 আউট tun0 সালে অনুমতি
logion

রেকর্ডটির ufw routeজন্য 0.34 সংস্করণ থেকে উপস্থিত রয়েছে
জোরিল

7

যদি আপনি / ইত্যাদি / ডিফল্ট / ufw ফায়ারওয়ালকে ACCEPT এ DEFAULT_FORWARD_POLICY সেট করেন তবে ব্যবহারকারী ইন্টারফেসের সেটিংস নির্বিশেষে সমস্ত প্যাকেট ফরোয়ার্ড করবে।

আমি মনে করি যে ইউজার ইন্টারফেসটি কেবল সহজ ইন / আউট ফিল্টারিংয়ের জন্য বোঝানো হয়। ফরওয়ার্ড করার জন্য আপনাকে এখানে /etc/ufw/before.rules এ iptables বিধি যুক্ত করতে হবে:

-A ufw-before-forward -i eth1 -p tcp -d 192.168.1.11 --dport 22 -j ACCEPT

আপনার সম্ভবত ইতিমধ্যে একটি নিয়ম রয়েছে যা অভ্যন্তর থেকে সংযোগ দেয় এবং অন্যটি যা সম্পর্কিত এবং প্রতিষ্ঠিত টিসিপি সেশনগুলির প্যাকেটগুলিকে ফিরে যেতে দেয়।

আমি কোনও iptables বিশেষজ্ঞ নই, এটি নির্ণয় করতে আমার অনেক সময় লেগেছে (ip6tables সহ, ​​তবে এটি একই রকম হওয়া উচিত)। সম্ভবত এটি আপনার ক্ষেত্রে এটি লাগে না।

সেরা শুভেচ্ছা


4

এই ufw কমান্ডটি আমার পক্ষে সুন্দরভাবে কাজ করেছে: sudo ufw default allow FORWARD

পরিবর্তনটি প্রয়োগ হয়েছে তা নিশ্চিত হওয়ার জন্য: sudo service ufw restart


এটি একটি "অবৈধ সিনট্যাক্স" ত্রুটি দেয়। দস্তাবেজগুলি বলে যে "DIRECTION ইনকামিং, আউটগোয়িং বা রাউটেডগুলির মধ্যে একটি"।
কলিনম

@ কলিনম এটি আমার জন্য জুবুন্টু 16.04.5 এলটিএস-এ কাজ করেছেন
ব্যাপটেক্স

FORWARDroutedউবুন্টুতে
আলিফের
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.