У меня установлены Ubuntu 16.04 и OpenVPN, и, похоже, все работает нормально. Но когда я проверяю правила брандмауэра с помощью «sudo ufw status», я вижу следующее:
Status: active
К действию от - ------ ---- 80 РАЗРЕШИТЬ В любом месте
443 РАЗРЕШИТЬ В любом месте
53 РАЗРЕШИТЬ В любом месте
465 РАЗРЕШИТЬ В любом месте
25 РАЗРЕШИТЬ В любом месте
110 РАЗРЕШИТЬ В любом месте
995 РАЗРЕШИТЬ В любом месте
143 РАЗРЕШИТЬ В любом месте
993 РАЗРЕШИТЬ В любом месте
10025 РАЗРЕШИТЬ В любом месте
10024 РАЗРЕШИТЬ В любом месте
80 (v6) РАЗРЕШИТЬ везде (v6)
443 (v6) РАЗРЕШИТЬ В любом месте (v6)
53 (v6) РАЗРЕШИТЬ В любом месте (v6)
465 (v6) РАЗРЕШИТЬ везде (v6)
25 (v6) РАЗРЕШИТЬ В любом месте (v6)
110 (v6) РАЗРЕШИТЬ В любом месте (v6)
995 (v6) РАЗРЕШИТЬ В любом месте (v6)
143 (v6) РАЗРЕШИТЬ В любом месте (v6)
993 (v6) РАЗРЕШИТЬ везде (v6)
10025 (v6) РАЗРЕШИТЬ везде (v6)
10024 (v6) РАЗРЕШИТЬ везде (v6)
Порт 1194 вообще не упоминается! Но я использую команду netstat "root @ mail: ~ # netstat -anlp | grep 1194" Я получаю следующее:
udp 0 0 0.0.0.0:1194 0.0.0.0:* 1142/openvpn
Также у меня есть этот файл, созданный скриптом OpenVPN здесь /etc/systemd/system/openvpn-iptables.service, и я вижу в нем следующее:
[Unit]
Before=network.target
[Service]
Type=oneshot
ExecStart=/sbin/iptables -t nat -A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to xx.249.16.253
ExecStart=/sbin/iptables -I INPUT -p udp --dport 1194 -j ACCEPT
ExecStart=/sbin/iptables -I FORWARD -s 10.8.0.0/24 -j ACCEPT
ExecStart=/sbin/iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
ExecStop=/sbin/iptables -t nat -D POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to xx.249.16.253
ExecStop=/sbin/iptables -D INPUT -p udp --dport 1194 -j ACCEPT
ExecStop=/sbin/iptables -D FORWARD -s 10.8.0.0/24 -j ACCEPT
ExecStop=/sbin/iptables -D FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
RemainAfterExit=yes
[Install]
WantedBy=multi-user.target
Итак, мой вопрос ... если порт 1194 открыт (это?) с этими правилами IPTABLES, тогда почему я не вижу его в статусе ufw?
Я ожидаю, что возникнет путаница, потому что вы используете как UFW, так и IPTABLES. UFW - это интерфейс для iptables, но если вы добавите правила вне него, я ожидаю, что он не сможет распознать эти правила.
Таким образом, вы не видите правил iptables, введенных для обработки вашего OpenVPN-соединения.
Я надеюсь, что если вы перечислите правила iptables, вы их увидите. Пытаться
/sbin/iptables -vnL
Чтобы показать правила IPTables и UFW (но в форме IPTABLES)