Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 27/10/2018, à 15:52

routmoute

UFW bloque de temps en temps un port autorisé

Bonjour, je vous explique mon problème: nous avons des serveur de jeu sous FiveM avec pas mal de monde. point de vue sécurité, j'utilise UFW et fail2ban.
Dernièrement j'ai voulu créer une jail fail2ban ufw-scan-port afin de bloquer les ip qui sont bloqués par ufw et qui n'ont pas a accéder à ces port fermés.
A ce moment là je me suis rendu que la jail ban des ip de joueurs et je trouve ça dans les logs ufw:

Oct 27 16:46:20 ******** kernel: [243907.221509] [UFW BLOCK] IN=eno1 OUT= MAC=**:**:**:**:**:**:**:**:**:**:**:**:**:** SRC=***.***.***.*** DST=***.***.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=120 ID=1611 DF PROTO=TCP SPT=56491 DPT=30120 WINDOW=64240 RES=0x00 ACK URGP=0

pourtant le port 30120 est bien allow:

22                         ALLOW       Anywhere
80                         ALLOW       Anywhere
443                        ALLOW       Anywhere
30120                      ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)
80 (v6)                    ALLOW       Anywhere (v6)
443 (v6)                   ALLOW       Anywhere (v6)
30120 (v6)                 ALLOW       Anywhere (v6)

oui, il est autorisé, ça fonctionne mais de temps en temps j'ai des crash serveur dut a des données non-reçus (surement bloqué par ufw)

Pourquoi j'ai des UFW BLOCK sur le port 30120 (très très souvent) qu'alors il est autorisé ?
J'ai pas réussi à trouver la réponse à ma question.

Merci pour toute aide que vous pourriez m'apporter, bonne journée à tous.

Dernière modification par routmoute (Le 27/10/2018, à 16:11)

Hors ligne

#2 Le 28/10/2018, à 16:01

bruno

Re : UFW bloque de temps en temps un port autorisé

Bonjour,

Déjà que j'ai un doute sur l'utilité de ton pare-feu (il faudrait préciser pourquoi tu en as besoin) cette phrase :

j'ai voulu créer une jail fail2ban ufw-scan-port afin de bloquer les ip qui sont bloqués par ufw et qui n'ont pas a accéder à ces port fermés.

me laisse très perplexe.
Je ne comprends pas ton objectif. À quoi cela sert-il de bloquer des IP qui tentent des connexions à des ports « fermés » ou dernière lesquels aucun service n'est en écoute (ce qui revient au même).

Est-tu sûr que tes lignes de logs indiquent un blocage en entrée sur le port 30120, j'ai plutôt l’impression que c'est en sortie.

#3 Le 28/10/2018, à 16:27

routmoute

Re : UFW bloque de temps en temps un port autorisé

mon pare-feu (ufw) bloque tout les ports par défaut puis j'ouvre ceux que j'ai besoin (par exemple le port mysql 3306 n'as pas a être ouvert car j'en ai besoin uniquement en localhost).
Le but de ma jail était de bloqués les IP qui scan sans cesse les ports du serveur et qui n'ont donc aucun intérêt à aller sur les ports ouverts donc on bloque tout, comme ça les petits malins joueurs du serveur qui ont tenté de rentré sur le serveur ou de trouver une faille puisse carrément plus accéder aux services, comme ça ils viendront nous voir pour nous demander pourquoi il peut pas se connecter au serveur et par rapport à la jail où il y a son ip, on peut savoir pourquoi il a été bloqué.

dans ce log UFW (j'en ai sortie un dans mon message plus haut mais j'en ai beaucoup strictement similaire)
dans "SRC=" (source) il y a l'ip d'un joueur et dans "DST=" (destinataire) c'est l'ip du serveur, dans "SPT=" (source port) on a des ports qui peuvent être différents qui je pense sont ceux que le joueur utilise, dans "DPT=" (destination port) on a 30120 donc le port de mon serveur de jeu qui est ouvert donc pour moi ça me paraît logique que ce soit en entrée.
J'ai remarquer que ça sortait a peu près une dizaine de ces lignes à chaque fois qu'un joueur se connecte au serveur et certains joueurs ont du mal à se connecter, le jeu leur fait une erreur de connexion, ils recommence, ça passe.
j'ai donc l'impression que ces erreurs viennent de ce blocage intempestif...

peut-être je me trompe complètement mais pour moi je ne devrais pas avoir ces lignes avec DPT=30120 étant donné que c'est le port de communication entre les joueurs et le serveur de jeu.

Hors ligne

#4 Le 29/10/2018, à 08:48

bruno

Re : UFW bloque de temps en temps un port autorisé

Ok donc si tu as des blocages de connexions vers un port alors que celui-ci est explicitement autorisé par ton pare-feu, c'est que ces blocages proviennent d'une autre règle que tu as mis en place. Par exemple, blocage en cas de tentatives de connexion trop nombreuses dans un délai trop court.

#5 Le 02/11/2018, à 04:33

routmoute

Re : UFW bloque de temps en temps un port autorisé

j'ai aucune de ces règle qui a été ajouté et qui est affiché dans "ufw status". cependant, j'ai bien l'impression que c'est quelquechose comme ça ...

J'ai fait un "ufw reset", j'ai remis mes règles, on va voir si ça recommence.

Dernière modification par routmoute (Le 02/11/2018, à 04:55)

Hors ligne

#6 Le 02/11/2018, à 09:08

bruno

Re : UFW bloque de temps en temps un port autorisé

Il faudrait regarder directement les règles iptables :

sudo iptables -L -n

et voir aussi si tu ne retrouves pas les IP concernées dans les les logs de fail2ban.

#7 Le 02/11/2018, à 22:00

routmoute

Re : UFW bloque de temps en temps un port autorisé

Chain INPUT (policy DROP)
target     prot opt source               destination
ufw-before-logging-input  all  --  0.0.0.0/0            0.0.0.0/0
ufw-before-input  all  --  0.0.0.0/0            0.0.0.0/0
ufw-after-input  all  --  0.0.0.0/0            0.0.0.0/0
ufw-after-logging-input  all  --  0.0.0.0/0            0.0.0.0/0
ufw-reject-input  all  --  0.0.0.0/0            0.0.0.0/0
ufw-track-input  all  --  0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy DROP)
target     prot opt source               destination
ufw-before-logging-forward  all  --  0.0.0.0/0            0.0.0.0/0
ufw-before-forward  all  --  0.0.0.0/0            0.0.0.0/0
ufw-after-forward  all  --  0.0.0.0/0            0.0.0.0/0
ufw-after-logging-forward  all  --  0.0.0.0/0            0.0.0.0/0
ufw-reject-forward  all  --  0.0.0.0/0            0.0.0.0/0
ufw-track-forward  all  --  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ufw-before-logging-output  all  --  0.0.0.0/0            0.0.0.0/0
ufw-before-output  all  --  0.0.0.0/0            0.0.0.0/0
ufw-after-output  all  --  0.0.0.0/0            0.0.0.0/0
ufw-after-logging-output  all  --  0.0.0.0/0            0.0.0.0/0
ufw-reject-output  all  --  0.0.0.0/0            0.0.0.0/0
ufw-track-output  all  --  0.0.0.0/0            0.0.0.0/0

Chain ufw-after-forward (1 references)
target     prot opt source               destination

Chain ufw-after-input (1 references)
target     prot opt source               destination
ufw-skip-to-policy-input  udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:137
ufw-skip-to-policy-input  udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:138
ufw-skip-to-policy-input  tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:139
ufw-skip-to-policy-input  tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:445
ufw-skip-to-policy-input  udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
ufw-skip-to-policy-input  udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:68
ufw-skip-to-policy-input  all  --  0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type BROADCAST

Chain ufw-after-logging-forward (1 references)
target     prot opt source               destination
LOG        all  --  0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "

Chain ufw-after-logging-input (1 references)
target     prot opt source               destination
LOG        all  --  0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "

Chain ufw-after-logging-output (1 references)
target     prot opt source               destination

Chain ufw-after-output (1 references)
target     prot opt source               destination

Chain ufw-before-forward (1 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 3
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 4
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 11
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 12
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 8
ufw-user-forward  all  --  0.0.0.0/0            0.0.0.0/0

Chain ufw-before-input (1 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
ufw-logging-deny  all  --  0.0.0.0/0            0.0.0.0/0            ctstate INVALID
DROP       all  --  0.0.0.0/0            0.0.0.0/0            ctstate INVALID
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 3
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 4
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 11
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 12
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 8
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp spt:67 dpt:68
ufw-not-local  all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     udp  --  0.0.0.0/0            224.0.0.251          udp dpt:5353
ACCEPT     udp  --  0.0.0.0/0            239.255.255.250      udp dpt:1900
ufw-user-input  all  --  0.0.0.0/0            0.0.0.0/0

Chain ufw-before-logging-forward (1 references)
target     prot opt source               destination

Chain ufw-before-logging-input (1 references)
target     prot opt source               destination

Chain ufw-before-logging-output (1 references)
target     prot opt source               destination

Chain ufw-before-output (1 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
ufw-user-output  all  --  0.0.0.0/0            0.0.0.0/0

Chain ufw-logging-allow (0 references)
target     prot opt source               destination
LOG        all  --  0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW ALLOW] "

Chain ufw-logging-deny (2 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0            ctstate INVALID limit: avg 3/min burst 10
LOG        all  --  0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "

Chain ufw-not-local (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type LOCAL
RETURN     all  --  0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type MULTICAST
RETURN     all  --  0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type BROADCAST
ufw-logging-deny  all  --  0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain ufw-reject-forward (1 references)
target     prot opt source               destination

Chain ufw-reject-input (1 references)
target     prot opt source               destination

Chain ufw-reject-output (1 references)
target     prot opt source               destination

Chain ufw-skip-to-policy-forward (0 references)
target     prot opt source               destination
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain ufw-skip-to-policy-input (7 references)
target     prot opt source               destination
DROP       all  --  0.0.0.0/0            0.0.0.0/0

Chain ufw-skip-to-policy-output (0 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

Chain ufw-track-forward (1 references)
target     prot opt source               destination

Chain ufw-track-input (1 references)
target     prot opt source               destination

Chain ufw-track-output (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            ctstate NEW
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            ctstate NEW

Chain ufw-user-forward (1 references)
target     prot opt source               destination

Chain ufw-user-input (1 references)
target     prot opt source               destination
DROP       all  --  94.23.60.136         0.0.0.0/0
DROP       all  --  138.68.31.105        0.0.0.0/0
DROP       all  --  31.201.120.191       0.0.0.0/0
DROP       all  --  37.59.250.161        0.0.0.0/0
DROP       all  --  51.254.143.166       0.0.0.0/0
DROP       all  --  148.240.49.191       0.0.0.0/0
DROP       all  --  58.185.168.45        0.0.0.0/0
DROP       all  --  91.121.221.131       0.0.0.0/0
DROP       all  --  45.248.86.155        0.0.0.0/0
DROP       all  --  94.23.55.228         0.0.0.0/0
DROP       all  --  67.76.32.132         0.0.0.0/0
DROP       all  --  212.210.124.235      0.0.0.0/0
DROP       all  --  121.184.64.15        0.0.0.0/0
DROP       all  --  51.68.231.147        0.0.0.0/0
DROP       all  --  51.255.83.104        0.0.0.0/0
DROP       all  --  92.153.75.208        0.0.0.0/0
DROP       all  --  88.12.9.113          0.0.0.0/0
DROP       all  --  45.55.233.213        0.0.0.0/0
DROP       all  --  83.142.144.51        0.0.0.0/0
DROP       all  --  181.28.191.54        0.0.0.0/0
DROP       all  --  200.44.50.155        0.0.0.0/0
DROP       all  --  90.177.236.221       0.0.0.0/0
DROP       all  --  164.132.225.151      0.0.0.0/0
DROP       all  --  173.24.177.61        0.0.0.0/0
DROP       all  --  131.108.164.245      0.0.0.0/0
DROP       all  --  103.28.45.242        0.0.0.0/0
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:80
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:443
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:443
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:30120
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:30120

Chain ufw-user-limit (0 references)
target     prot opt source               destination
LOG        all  --  0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 5 LOG flags 0 level 4 prefix "[UFW LIMIT BLOCK] "
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain ufw-user-limit-accept (0 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

Chain ufw-user-logging-forward (0 references)
target     prot opt source               destination

Chain ufw-user-logging-input (0 references)
target     prot opt source               destination

Chain ufw-user-logging-output (0 references)
target     prot opt source               destination

Chain ufw-user-output (1 references)
target     prot opt source               destination

Non elles ne font pas partis des ip bannis et il n'y a pas de trace non plus dans les logs de fail2ban

Hors ligne

#8 Le 02/11/2018, à 23:35

bruno

Re : UFW bloque de temps en temps un port autorisé

Regarde bien tes règles iptables, notamment celles qui génèrent le préfixe [UFW BLOCK] dans les logs.

#9 Le 03/11/2018, à 19:37

routmoute

Re : UFW bloque de temps en temps un port autorisé

Chain ufw-after-logging-forward (1 references)
target     prot opt source               destination
LOG        all  --  0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "

Chain ufw-after-logging-input (1 references)
target     prot opt source               destination
LOG        all  --  0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "

Chain ufw-logging-deny (2 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0            ctstate INVALID limit: avg 3/min burst 10
LOG        all  --  0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 10 LOG flags 0 level 4 prefix "[UFW BLOCK] "

je comprends pas tout, merci en tout cas Bruno pour toutes ces réponses.
il LOG juste ou il bloque vraiment ? quand il y a plus de 3 requêtes par minute si je comprend bien.
Comment je peux faire pour que cette règle ne s'applique pas sur un ou plusieurs ports mais qu'elle reste par défault (si la limite reste sur le port 80 par exemple, ça me dérange pas mais sur le 30120 j'en veux pas) ?

Merci

Hors ligne

#10 Le 03/11/2018, à 20:05

bruno

Re : UFW bloque de temps en temps un port autorisé

C'est plutôt ces règles qui provoquent le blocage :

Chain ufw-user-limit (0 references)
target     prot opt source               destination
LOG        all  --  0.0.0.0/0            0.0.0.0/0            limit: avg 3/min burst 5 LOG flags 0 level 4 prefix "[UFW LIMIT BLOCK] "
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Mais je ne connais pas assez ufw pour répondre à ta question. Le problème est qu'il utilise des jeux de règles prédéfinies ( voir sudo cat /lib/ufw/user.rules
pour celles qui semblent te poser problème) et je ne sais pas comment modifier cela.

Peut-être que :

sudo ufw logging off 

suffira

Si un spécialiste ufw/iptables passe par là, il pourra peut être t'en dire plus.