Одна из моих виртуальных машин Proxmox под управлением Ubuntu 13.04 не будет принимать входящие маршруты трассировки, пока включен ufw.
Какая команда дает ufw, чтобы разрешить входящие traceroute (6) s?
Следующее отображается в системном журнале с включенным ufw:
50:15:15:aa:ae:8d:7d:e4:7a:97:08:00 SRC=79.236.233.97 DST=78.46.101.252 LEN=52 TOS=0x00 PREC=0x00 TTL=1 ID=33400 PROTO=UDP SPT=63757 DPT=33466 LEN=32
Nov 4 16:20:36 web kernel: [8078158.260409] [UFW BLOCK] IN=eth0 OUT= MAC=00:50:56:15:15:aa:ae:8d:7d:e4:7a:97:08:00 SRC=79.236.233.97 DST=78.46.101.252 LEN=52 TOS=0x00 PREC=0x00 TTL=1 ID=33401 PROTO=UDP SPT=63757 DPT=33467 LEN=32
Nov 4 16:20:41 web kernel: [8078163.262626] [UFW BLOCK] IN=eth0 OUT= MAC=00:50:56:15:15:aa:ae:8d:7d:e4:7a:97:08:00 SRC=79.236.233.97 DST=78.46.101.252 LEN=52 TOS=0x00 PREC=0x00 TTL=2 ID=33402 PROTO=UDP SPT=63757 DPT=33468 LEN=32
Nov 4 16:20:46 web kernel: [8078168.262927] [UFW BLOCK] IN=eth0 OUT= MAC=00:50:56:15:15:aa:ae:8d:7d:e4:7a:97:08:00 SRC=79.236.233.97 DST=78.46.101.252 LEN=52 TOS=0x00 PREC=0x00 TTL=2 ID=33403 PROTO=UDP SPT=63757 DPT=33469 LEN=32
Nov 4 16:20:51 web kernel: [8078173.260521] [UFW BLOCK] IN=eth0 OUT= MAC=00:50:56:15:15:aa:ae:8d:7d:e4:7a:97:08:00 SRC=79.236.233.97 DST=78.46.101.252 LEN=52 TOS=0x00 PREC=0x00 TTL=2 ID=33404 PROTO=UDP SPT=63757 DPT=33470 LEN=32
И маршрут трассировки просто заканчивается запусками после хост-машины Proxmox.
Спасибо
Тобиас Тимпе
Traceroute использует пакеты ICMP, поэтому вам необходимо разрешить пакеты ICMP.
ufw не позволяет указывать правила icmp через команду интерфейса командной строки, поэтому вам нужно будет отредактировать файл правил
Однако ufw по умолчанию разрешает определенный трафик icmp, включая эхо-ответ icmp, и это уже настроено по умолчанию в /etc/ufw/before.rules:
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT
Если ваш хост не отвечает на ping, посмотрите в этом файле, чтобы убедиться, что указанная выше строка присутствует, и если это не сработает, посмотрите на хост pinging и любые межсетевые экраны между ними.
Чтобы разрешить трассировку, вам необходимо отредактировать /etc/ufw/before.rules
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT
Чтобы увидеть, что установлено, прежде чем редактировать файл, попробуйте следующее
sudo grep 'icmp' /etc/ufw/before.rules
Примечание:
Traceroute отправляет последовательность из трех пакетов эхо-запроса протокола управляющих сообщений Интернета (ICMP), адресованных хосту назначения. Значение времени жизни (TTL), также известное как предел перехода, используется при определении промежуточных маршрутизаторов, которые проходят по направлению к месту назначения.