Pages : 1
#1 Le 27/10/2018, à 15:52
- routmoute
UFW bloque de temps en temps un port autorisé
Bonjour, je vous explique mon problème: nous avons des serveur de jeu sous FiveM avec pas mal de monde. point de vue sécurité, j'utilise UFW et fail2ban.
Dernièrement j'ai voulu créer une jail fail2ban ufw-scan-port afin de bloquer les ip qui sont bloqués par ufw et qui n'ont pas a accéder à ces port fermés.
A ce moment là je me suis rendu que la jail ban des ip de joueurs et je trouve ça dans les logs ufw:
Oct 27 16:46:20 ******** kernel: [243907.221509] [UFW BLOCK] IN=eno1 OUT= MAC=**:**:**:**:**:**:**:**:**:**:**:**:**:** SRC=***.***.***.*** DST=***.***.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=120 ID=1611 DF PROTO=TCP SPT=56491 DPT=30120 WINDOW=64240 RES=0x00 ACK URGP=0pourtant le port 30120 est bien allow:
22 ALLOW Anywhere
80 ALLOW Anywhere
443 ALLOW Anywhere
30120 ALLOW Anywhere
22 (v6) ALLOW Anywhere (v6)
80 (v6) ALLOW Anywhere (v6)
443 (v6) ALLOW Anywhere (v6)
30120 (v6) ALLOW Anywhere (v6)oui, il est autorisé, ça fonctionne mais de temps en temps j'ai des crash serveur dut a des données non-reçus (surement bloqué par ufw)
Pourquoi j'ai des UFW BLOCK sur le port 30120 (très très souvent) qu'alors il est autorisé ?
J'ai pas réussi à trouver la réponse à ma question.
Merci pour toute aide que vous pourriez m'apporter, bonne journée à tous.
Dernière modification par routmoute (Le 27/10/2018, à 16:11)
Hors ligne
#2 Le 28/10/2018, à 16:01
- bruno
Re : UFW bloque de temps en temps un port autorisé
Bonjour,
Déjà que j'ai un doute sur l'utilité de ton pare-feu (il faudrait préciser pourquoi tu en as besoin) cette phrase :
j'ai voulu créer une jail fail2ban ufw-scan-port afin de bloquer les ip qui sont bloqués par ufw et qui n'ont pas a accéder à ces port fermés.
me laisse très perplexe.
Je ne comprends pas ton objectif. À quoi cela sert-il de bloquer des IP qui tentent des connexions à des ports « fermés » ou dernière lesquels aucun service n'est en écoute (ce qui revient au même).
Est-tu sûr que tes lignes de logs indiquent un blocage en entrée sur le port 30120, j'ai plutôt l’impression que c'est en sortie.
#3 Le 28/10/2018, à 16:27
- routmoute
Re : UFW bloque de temps en temps un port autorisé
mon pare-feu (ufw) bloque tout les ports par défaut puis j'ouvre ceux que j'ai besoin (par exemple le port mysql 3306 n'as pas a être ouvert car j'en ai besoin uniquement en localhost).
Le but de ma jail était de bloqués les IP qui scan sans cesse les ports du serveur et qui n'ont donc aucun intérêt à aller sur les ports ouverts donc on bloque tout, comme ça les petits malins joueurs du serveur qui ont tenté de rentré sur le serveur ou de trouver une faille puisse carrément plus accéder aux services, comme ça ils viendront nous voir pour nous demander pourquoi il peut pas se connecter au serveur et par rapport à la jail où il y a son ip, on peut savoir pourquoi il a été bloqué.
dans ce log UFW (j'en ai sortie un dans mon message plus haut mais j'en ai beaucoup strictement similaire)
dans "SRC=" (source) il y a l'ip d'un joueur et dans "DST=" (destinataire) c'est l'ip du serveur, dans "SPT=" (source port) on a des ports qui peuvent être différents qui je pense sont ceux que le joueur utilise, dans "DPT=" (destination port) on a 30120 donc le port de mon serveur de jeu qui est ouvert donc pour moi ça me paraît logique que ce soit en entrée.
J'ai remarquer que ça sortait a peu près une dizaine de ces lignes à chaque fois qu'un joueur se connecte au serveur et certains joueurs ont du mal à se connecter, le jeu leur fait une erreur de connexion, ils recommence, ça passe.
j'ai donc l'impression que ces erreurs viennent de ce blocage intempestif...
peut-être je me trompe complètement mais pour moi je ne devrais pas avoir ces lignes avec DPT=30120 étant donné que c'est le port de communication entre les joueurs et le serveur de jeu.
Hors ligne
#4 Le 29/10/2018, à 08:48
- bruno
Re : UFW bloque de temps en temps un port autorisé
Ok donc si tu as des blocages de connexions vers un port alors que celui-ci est explicitement autorisé par ton pare-feu, c'est que ces blocages proviennent d'une autre règle que tu as mis en place. Par exemple, blocage en cas de tentatives de connexion trop nombreuses dans un délai trop court.
#5 Le 02/11/2018, à 04:33
- routmoute
Re : UFW bloque de temps en temps un port autorisé
j'ai aucune de ces règle qui a été ajouté et qui est affiché dans "ufw status". cependant, j'ai bien l'impression que c'est quelquechose comme ça ...
J'ai fait un "ufw reset", j'ai remis mes règles, on va voir si ça recommence.
Dernière modification par routmoute (Le 02/11/2018, à 04:55)
Hors ligne
#6 Le 02/11/2018, à 09:08
- bruno
Re : UFW bloque de temps en temps un port autorisé
Il faudrait regarder directement les règles iptables :
sudo iptables -L -net voir aussi si tu ne retrouves pas les IP concernées dans les les logs de fail2ban.
#7 Le 02/11/2018, à 22:00
- routmoute
Re : UFW bloque de temps en temps un port autorisé
Chain INPUT (policy DROP)
target prot opt source destination
ufw-before-logging-input all -- 0.0.0.0/0 0.0.0.0/0
ufw-before-input all -- 0.0.0.0/0 0.0.0.0/0
ufw-after-input all -- 0.0.0.0/0 0.0.0.0/0
ufw-after-logging-input all -- 0.0.0.0/0 0.0.0.0/0
ufw-reject-input all -- 0.0.0.0/0 0.0.0.0/0
ufw-track-input all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP)
target prot opt source destination
ufw-before-logging-forward all -- 0.0.0.0/0 0.0.0.0/0
ufw-before-forward all -- 0.0.0.0/0 0.0.0.0/0
ufw-after-forward all -- 0.0.0.0/0 0.0.0.0/0
ufw-after-logging-forward all -- 0.0.0.0/0 0.0.0.0/0
ufw-reject-forward all -- 0.0.0.0/0 0.0.0.0/0
ufw-track-forward all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ufw-before-logging-output all -- 0.0.0.0/0 0.0.0.0/0
ufw-before-output all -- 0.0.0.0/0 0.0.0.0/0
ufw-after-output all -- 0.0.0.0/0 0.0.0.0/0
ufw-after-logging-output all -- 0.0.0.0/0 0.0.0.0/0
ufw-reject-output all -- 0.0.0.0/0 0.0.0.0/0
ufw-track-output all -- 0.0.0.0/0 0.0.0.0/0
Chain ufw-after-forward (1 references)
target prot opt source destination
Chain ufw-after-input (1 references)
target prot opt source destination
ufw-skip-to-policy-input udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:137
ufw-skip-to-policy-input udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:138
ufw-skip-to-policy-input tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:139
ufw-skip-to-policy-input tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:445
ufw-skip-to-policy-input udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67
ufw-skip-to-policy-input udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:68
ufw-skip-to-policy-input all -- 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type BROADCAST
Chain ufw-after-logging-forward (1 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "
Chain ufw-after-logging-output (1 references)
target prot opt source destination
Chain ufw-after-output (1 references)
target prot opt source destination
Chain ufw-before-forward (1 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 3
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 4
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 11
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 12
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 8
ufw-user-forward all -- 0.0.0.0/0 0.0.0.0/0
Chain ufw-before-input (1 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
ufw-logging-deny all -- 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
DROP all -- 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 3
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 4
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 11
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 12
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmptype 8
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
ufw-not-local all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353
ACCEPT udp -- 0.0.0.0/0 239.255.255.250 udp dpt:1900
ufw-user-input all -- 0.0.0.0/0 0.0.0.0/0
Chain ufw-before-logging-forward (1 references)
target prot opt source destination
Chain ufw-before-logging-input (1 references)
target prot opt source destination
Chain ufw-before-logging-output (1 references)
target prot opt source destination
Chain ufw-before-output (1 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
ufw-user-output all -- 0.0.0.0/0 0.0.0.0/0
Chain ufw-logging-allow (0 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0 ctstate INVALID limit: avg 3/min burst 10
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "
Chain ufw-not-local (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type LOCAL
RETURN all -- 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type MULTICAST
RETURN all -- 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type BROADCAST
ufw-logging-deny all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10
DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain ufw-reject-forward (1 references)
target prot opt source destination
Chain ufw-reject-input (1 references)
target prot opt source destination
Chain ufw-reject-output (1 references)
target prot opt source destination
Chain ufw-skip-to-policy-forward (0 references)
target prot opt source destination
DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain ufw-skip-to-policy-input (7 references)
target prot opt source destination
DROP all -- 0.0.0.0/0 0.0.0.0/0
Chain ufw-skip-to-policy-output (0 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain ufw-track-forward (1 references)
target prot opt source destination
Chain ufw-track-input (1 references)
target prot opt source destination
Chain ufw-track-output (1 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 ctstate NEW
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 ctstate NEW
Chain ufw-user-forward (1 references)
target prot opt source destination
Chain ufw-user-input (1 references)
target prot opt source destination
DROP all -- 94.23.60.136 0.0.0.0/0
DROP all -- 138.68.31.105 0.0.0.0/0
DROP all -- 31.201.120.191 0.0.0.0/0
DROP all -- 37.59.250.161 0.0.0.0/0
DROP all -- 51.254.143.166 0.0.0.0/0
DROP all -- 148.240.49.191 0.0.0.0/0
DROP all -- 58.185.168.45 0.0.0.0/0
DROP all -- 91.121.221.131 0.0.0.0/0
DROP all -- 45.248.86.155 0.0.0.0/0
DROP all -- 94.23.55.228 0.0.0.0/0
DROP all -- 67.76.32.132 0.0.0.0/0
DROP all -- 212.210.124.235 0.0.0.0/0
DROP all -- 121.184.64.15 0.0.0.0/0
DROP all -- 51.68.231.147 0.0.0.0/0
DROP all -- 51.255.83.104 0.0.0.0/0
DROP all -- 92.153.75.208 0.0.0.0/0
DROP all -- 88.12.9.113 0.0.0.0/0
DROP all -- 45.55.233.213 0.0.0.0/0
DROP all -- 83.142.144.51 0.0.0.0/0
DROP all -- 181.28.191.54 0.0.0.0/0
DROP all -- 200.44.50.155 0.0.0.0/0
DROP all -- 90.177.236.221 0.0.0.0/0
DROP all -- 164.132.225.151 0.0.0.0/0
DROP all -- 173.24.177.61 0.0.0.0/0
DROP all -- 131.108.164.245 0.0.0.0/0
DROP all -- 103.28.45.242 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:80
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:443
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:30120
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:30120
Chain ufw-user-limit (0 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 0 level 4 prefix "[UFW LIMIT BLOCK] "
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain ufw-user-limit-accept (0 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain ufw-user-logging-forward (0 references)
target prot opt source destination
Chain ufw-user-logging-input (0 references)
target prot opt source destination
Chain ufw-user-logging-output (0 references)
target prot opt source destination
Chain ufw-user-output (1 references)
target prot opt source destinationNon elles ne font pas partis des ip bannis et il n'y a pas de trace non plus dans les logs de fail2ban
Hors ligne
#8 Le 02/11/2018, à 23:35
- bruno
Re : UFW bloque de temps en temps un port autorisé
Regarde bien tes règles iptables, notamment celles qui génèrent le préfixe [UFW BLOCK] dans les logs.
#9 Le 03/11/2018, à 19:37
- routmoute
Re : UFW bloque de temps en temps un port autorisé
Chain ufw-after-logging-forward (1 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "
Chain ufw-logging-deny (2 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0 ctstate INVALID limit: avg 3/min burst 10
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "je comprends pas tout, merci en tout cas Bruno pour toutes ces réponses.
il LOG juste ou il bloque vraiment ? quand il y a plus de 3 requêtes par minute si je comprend bien.
Comment je peux faire pour que cette règle ne s'applique pas sur un ou plusieurs ports mais qu'elle reste par défault (si la limite reste sur le port 80 par exemple, ça me dérange pas mais sur le 30120 j'en veux pas) ?
Merci
Hors ligne
#10 Le 03/11/2018, à 20:05
- bruno
Re : UFW bloque de temps en temps un port autorisé
C'est plutôt ces règles qui provoquent le blocage :
Chain ufw-user-limit (0 references)
target prot opt source destination
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 0 level 4 prefix "[UFW LIMIT BLOCK] "
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachableMais je ne connais pas assez ufw pour répondre à ta question. Le problème est qu'il utilise des jeux de règles prédéfinies ( voir sudo cat /lib/ufw/user.rules
pour celles qui semblent te poser problème) et je ne sais pas comment modifier cela.
Peut-être que :
sudo ufw logging off suffira
Si un spécialiste ufw/iptables passe par là, il pourra peut être t'en dire plus.
Pages : 1