Contenu | Rechercher | Menus

Annonce

Ubuntu-fr vend de superbes t-shirts et de belles clés USB 32Go
Rendez-vous sur la boutique En Vente Libre

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 04/02/2020, à 16:32

RidingAround

UFW bloque malgré règle ?

Bonjour à tous,

j'ai un serveur en 18.04 sur lequel j'install UFW.

Pour bien faire, j'ai fait:

sudo ufw default deny out

pour intensifier la politique générale.

Ensuite, j'ai ouvert une route sortante pour l'envoi de mail:

sudo ufw allow out 465

Puis

sudo ufw reload

Je teste ensuite l'envoi de mail ou bien avec un

telnet mail.xxx.net 465

sans aucune réponse. La route est donc fermée malgré la demande d'ouverture spécifique au port.

Je ne m'attendais pas à ce comportement. J'ai mal compris la politique du logiciel ?

Un log du --dry-run:

caine@caine-desktop:~$ sudo ufw default deny outgoing
La stratégie par défaut pour le sens « outgoing » a été remplacée par « deny »
(veillez à mettre à jour vos règles en conséquence)
caine@caine-desktop:~$ sudo ufw --dry-run allow out 465
*filter
:ufw-user-input - [0:0]
:ufw-user-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-logging-deny - [0:0]
:ufw-logging-allow - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
### RULES ###

### tuple ### allow any 465 0.0.0.0/0 any 0.0.0.0/0 out
-A ufw-user-output -p tcp --dport 465 -j ACCEPT
-A ufw-user-output -p udp --dport 465 -j ACCEPT

### END RULES ###

### LOGGING ###
-A ufw-after-logging-input -j LOG --log-prefix "[UFW BLOCK] " -m limit --limit 3/min --limit-burst 10
-A ufw-after-logging-output -j LOG --log-prefix "[UFW BLOCK] " -m limit --limit 3/min --limit-burst 10
-A ufw-after-logging-forward -j LOG --log-prefix "[UFW BLOCK] " -m limit --limit 3/min --limit-burst 10
-A ufw-logging-deny -m conntrack --ctstate INVALID -j LOG --log-prefix "[UFW AUDIT INVALID] " -m limit --limit 3/min --limit-burst 10
-A ufw-logging-deny -j LOG --log-prefix "[UFW BLOCK] " -m limit --limit 3/min --limit-burst 10
-A ufw-logging-allow -j LOG --log-prefix "[UFW ALLOW] " -m limit --limit 3/min --limit-burst 10
-I ufw-before-logging-input -j LOG --log-prefix "[UFW AUDIT] " -m conntrack --ctstate NEW -m limit --limit 3/min --limit-burst 10
-I ufw-before-logging-output -j LOG --log-prefix "[UFW AUDIT] " -m conntrack --ctstate NEW -m limit --limit 3/min --limit-burst 10
-I ufw-before-logging-forward -j LOG --log-prefix "[UFW AUDIT] " -m conntrack --ctstate NEW -m limit --limit 3/min --limit-burst 10
### END LOGGING ###

### RATE LIMITING ###
-A ufw-user-limit -m limit --limit 3/minute -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT
-A ufw-user-limit-accept -j ACCEPT
### END RATE LIMITING ###
COMMIT
*filter
:ufw6-user-input - [0:0]
:ufw6-user-output - [0:0]
:ufw6-user-forward - [0:0]
:ufw6-before-logging-input - [0:0]
:ufw6-before-logging-output - [0:0]
:ufw6-before-logging-forward - [0:0]
:ufw6-user-logging-input - [0:0]
:ufw6-user-logging-output - [0:0]
:ufw6-user-logging-forward - [0:0]
:ufw6-after-logging-input - [0:0]
:ufw6-after-logging-output - [0:0]
:ufw6-after-logging-forward - [0:0]
:ufw6-logging-deny - [0:0]
:ufw6-logging-allow - [0:0]
### RULES ###

### tuple ### allow any 465 ::/0 any ::/0 out
-A ufw6-user-output -p tcp --dport 465 -j ACCEPT
-A ufw6-user-output -p udp --dport 465 -j ACCEPT

### END RULES ###

### LOGGING ###
-A ufw6-after-logging-input -j LOG --log-prefix "[UFW BLOCK] " -m limit --limit 3/min --limit-burst 10
-A ufw6-after-logging-output -j LOG --log-prefix "[UFW BLOCK] " -m limit --limit 3/min --limit-burst 10
-A ufw6-after-logging-forward -j LOG --log-prefix "[UFW BLOCK] " -m limit --limit 3/min --limit-burst 10
-A ufw6-logging-deny -m conntrack --ctstate INVALID -j LOG --log-prefix "[UFW AUDIT INVALID] " -m limit --limit 3/min --limit-burst 10
-A ufw6-logging-deny -j LOG --log-prefix "[UFW BLOCK] " -m limit --limit 3/min --limit-burst 10
-A ufw6-logging-allow -j LOG --log-prefix "[UFW ALLOW] " -m limit --limit 3/min --limit-burst 10
-I ufw6-before-logging-input -j LOG --log-prefix "[UFW AUDIT] " -m conntrack --ctstate NEW -m limit --limit 3/min --limit-burst 10
-I ufw6-before-logging-output -j LOG --log-prefix "[UFW AUDIT] " -m conntrack --ctstate NEW -m limit --limit 3/min --limit-burst 10
-I ufw6-before-logging-forward -j LOG --log-prefix "[UFW AUDIT] " -m conntrack --ctstate NEW -m limit --limit 3/min --limit-burst 10
### END LOGGING ###
COMMIT
Les règles ont été mises à jour
Les règles ont été mises à jour (IPv6)
caine@caine-desktop:~$ 

Dernière modification par RidingAround (Le 04/02/2020, à 17:15)


19.10
Porter Ubuntu aux entreprises.

Hors ligne

#2 Le 05/02/2020, à 19:49

LukePerp

Re : UFW bloque malgré règle ?

Faut préciser le protocol pour les règles (tcp, udp...)


Desktop : Ubuntu Mate LTS - Intel i5 - 8 Go - Dual boot Windows 7 hors ligne pour jouer
Laptop : Ubuntu Mate LTS - Intel i5 - 4 Go
Mises à jour silencieuses : Script

Hors ligne

#3 Le 06/02/2020, à 18:23

RidingAround

Re : UFW bloque malgré règle ?

J'ai pas l'impression : les règles entrantes faites ainsi fonctionnent.

T'es sûr ?


19.10
Porter Ubuntu aux entreprises.

Hors ligne