Несколько дней назад я установил CSF на моем хосте Ubuntu через SSH. Казалось, все работает нормально, и у меня была возможность поиграть с ним в течение нескольких часов. Выяснение того, как я закрываю и открываю порты. Казалось, все работает нормально.Удаление порта из TCP_IN не закрывает его из-за внешнего трафика на CSF
Сегодня я попытался сделать ограничение для своего порта 3306 mysql и разрешить доступ только для определенного IP-адреса. Я сделал это, проверив, что он удален из строк TCP_IN и TCP_OUT на csf.conf и вставляет его на csf.allow.
Этот шов не работает, поскольку порт был открыт при сканировании с помощью nmap. После дальнейшей отладки я понял, что любое изменение, которое я теперь делал в файлах csf.conf и csf.allow, не повлияло на доступность портов.
У меня есть исследование и выяснилось, что между брандмауэром ufw, iptables и csf могут возникнуть некоторые проблемы, поэтому я остановил брандмауэр ufw и удалил все мои правила iptables и установил их по умолчанию.
:~$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
:~$ sudo service ufw status
ufw stop/waiting
И теперь я просто покраснел, остановился и начал КСФ брандмауэр: КСФ -f СМЖ -x СМЖ -e
После перезагрузки он кажется как Судо Iptables -L будет выводить огромный список правил с источником как в любом месте, так и в любом месте назначения. У меня нет предыдущего опыта в этом, поэтому я не совсем уверен, могу ли я извлечь правильную конфиденциальную информацию, но, прочитав об этом, я предположил, что это неправильно для моей ситуации.
С другой стороны, csf -L имеет другой выход. С большинством исходных и целевых IP-адресов равными 0.0.0.0/0. То, что я мог извлечь из вывода csf -L, это то, что существует цепочка INVALID.
Chain INVALID (2 references)
num pkts bytes target prot opt in out source destination
1 0 0 INVDROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
2 0 0 INVDROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00
3 0 0 INVDROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x3F
4 0 0 INVDROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x03/0x03
5 0 0 INVDROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x06
6 0 0 INVDROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x05/0x05
7 0 0 INVDROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x11/0x01
8 0 0 INVDROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x18/0x08
9 0 0 INVDROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x30/0x20
10 0 0 INVDROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 ctstate NEW
и
Chain ALLOWIN (1 references)
num pkts bytes target prot opt in out source destination
1 210 10680 ACCEPT all -- !lo * [mysship] 0.0.0.0/0
Chain ALLOWOUT (1 references)
num pkts bytes target prot opt in out source destination
1 295 41404 ACCEPT all -- * !lo 0.0.0.0/0 [mysship]
MYSSHIP является IP, с которого я связываю с помощью SSH, который я положил на csf.allow, а также порт SSH находится на csf.conf TCP_IN, списки TCP_OUT ,
Вы говорите об изменении правил приемки, используя команду te iptables? Я искал использование брандмауэра CSF. –