Назад | Перейти на главную страницу

UFW блокирует открытые порты до перезагрузки вручную

Мне сложно разобраться в этой проблеме ufw, которая у меня возникла.

Вот результат ufw status verbose:

Status: active    
Logging: on (low)    
Default: deny (incoming), allow (outgoing), disabled (routed)    
New profiles: skip    

To                         Action      From    
--                         ------      ----    
5666                       ALLOW IN    141.0.32.124    
5666                       ALLOW IN    141.0.32.125    
5666                       ALLOW IN    5.153.254.130    
5666                       ALLOW IN    5.153.255.250    
5666                       ALLOW IN    5.153.255.251    
5666                       ALLOW IN    5.153.255.252    
5666                       ALLOW IN    78.31.107.85    
5666                       ALLOW IN    89.200.136.31    
5666                       ALLOW IN    89.200.136.76    
40                         ALLOW IN    86.30.129.70    
40                         ALLOW IN    89.200.136.76    
40                         ALLOW IN    Anywhere    
80                         ALLOW IN    Anywhere    
993                        ALLOW IN    Anywhere    
25                         ALLOW IN    Anywhere    
443                        ALLOW IN    Anywhere    
60000:60010/udp            ALLOW IN    Anywhere    
48850                      ALLOW IN    Anywhere    
40 (v6)                    ALLOW IN    Anywhere (v6)    
80 (v6)                    ALLOW IN    Anywhere (v6)    
993 (v6)                   ALLOW IN    Anywhere (v6)    
25 (v6)                    ALLOW IN    Anywhere (v6)    
443 (v6)                   ALLOW IN    Anywhere (v6)    
60000:60010/udp (v6)       ALLOW IN    Anywhere (v6)    
48850 (v6)                 ALLOW IN    Anywhere (v6)

Порты 80 и 443 явно открыты для всех подключающихся клиентов, однако, согласно файлу журнала ufw, примерно через час после перезагрузки брандмауэра законные запросы отклоняются (это включает доступ к другим `` открытым '' портам, за исключением порта 40 - на данный момент работает ssh, в чем я тоже не уверен).

Был похожий случай с этот вопрос, хотя тот факт, что было много запросов, указывает либо на то, что браузер повторяет попытку подключения, либо пользователь перезагружается, прежде чем отказаться.

Вот образец из файла журнала ufw. Имя хоста, MAC-адрес, исходный IP-адрес и IP-адрес назначения были скрыты, но все они идентичны и соответствуют тому, что я ожидал.

Aug  9 16:16:20 server_hostname kernel: [UFW BLOCK] IN=eth0 OUT= MAC=my_mac SRC=src_ip DST=my_ip LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=13107 DF PROTO=TCP SPT=59353 DPT=22 WINDOW=8192 RES=0x00 SYN URGP=0            
Aug  9 16:16:26 server_hostname kernel: [UFW BLOCK] IN=eth0 OUT= MAC=my_mac SRC=src_ip DST=my_ip LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=14035 DF PROTO=TCP SPT=59353 DPT=22 WINDOW=8192 RES=0x00 SYN URGP=0        
Aug  9 16:16:29 server_hostname kernel: [UFW BLOCK] IN=eth0 OUT= MAC=my_mac SRC=src_ip DST=my_ip LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=14730 DF PROTO=TCP SPT=59764 DPT=22 WINDOW=8192 RES=0x00 SYN URGP=0        
Aug  9 16:16:32 server_hostname kernel: [UFW BLOCK] IN=eth0 OUT= MAC=my_mac SRC=src_ip DST=my_ip LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=15403 DF PROTO=TCP SPT=59764 DPT=22 WINDOW=8192 RES=0x00 SYN URGP=0        
Aug  9 16:16:36 server_hostname kernel: [UFW BLOCK] IN=eth0 OUT= MAC=my_mac SRC=src_ip DST=my_ip LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=16002 DF PROTO=TCP SPT=60080 DPT=22 WINDOW=8192 RES=0x00 SYN URGP=0        
Aug  9 16:16:38 server_hostname kernel: [UFW BLOCK] IN=eth0 OUT= MAC=my_mac SRC=src_ip DST=my_ip LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=16401 DF PROTO=TCP SPT=59764 DPT=22 WINDOW=8192 RES=0x00 SYN URGP=0        
Aug  9 16:16:39 server_hostname kernel: [UFW BLOCK] IN=eth0 OUT= MAC=my_mac SRC=src_ip DST=my_ip LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=16673 DF PROTO=TCP SPT=60080 DPT=22 WINDOW=8192 RES=0x00 SYN URGP=0        
Aug  9 16:16:43 server_hostname kernel: [UFW BLOCK] IN=eth0 OUT= MAC=my_mac SRC=src_ip DST=my_ip LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=17426 DF PROTO=TCP SPT=60525 DPT=22 WINDOW=8192 RES=0x00 SYN URGP=0        
Aug  9 16:16:45 server_hostname kernel: [UFW BLOCK] IN=eth0 OUT= MAC=my_mac SRC=src_ip DST=my_ip LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=17758 DF PROTO=TCP SPT=60080 DPT=22 WINDOW=8192 RES=0x00 SYN URGP=0        
Aug  9 16:16:46 server_hostname kernel: [UFW BLOCK] IN=eth0 OUT= MAC=my_mac SRC=src_ip DST=my_ip LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=17959 DF PROTO=TCP SPT=60525 DPT=22 WINDOW=8192 RES=0x00 SYN URGP=0        
Aug  9 16:17:07 server_hostname kernel: [UFW BLOCK] IN=eth0 OUT= MAC=my_mac SRC=src_ip DST=my_ip LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=20735 DF PROTO=TCP SPT=61082 DPT=22 WINDOW=8192 RES=0x00 SYN URGP=0        
Aug  9 16:17:17 server_hostname kernel: [UFW BLOCK] IN=eth0 OUT= MAC=my_mac SRC=src_ip DST=my_ip LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=22576 DF PROTO=TCP SPT=61245 DPT=22 WINDOW=8192 RES=0x00 SYN URGP=0        
Aug  9 16:17:37 server_hostname kernel: [UFW BLOCK] IN=eth0 OUT= MAC=my_mac SRC=src_ip DST=my_ip LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=24621 DF PROTO=TCP SPT=62083 DPT=22 WINDOW=8192 RES=0x00 SYN URGP=0        
Aug  9 16:18:00 server_hostname kernel: [UFW BLOCK] IN=eth0 OUT= MAC=my_mac SRC=src_ip DST=my_ip LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=30227 DF PROTO=TCP SPT=63235 DPT=22 WINDOW=8192 RES=0x00 SYN URGP=0        
Aug  9 16:18:17 server_hostname kernel: [UFW BLOCK] IN=eth0 OUT= MAC=my_mac SRC=src_ip DST=my_ip LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=32393 DF PROTO=TCP SPT=63714 DPT=22 WINDOW=8192 RES=0x00 SYN URGP=0        
Aug  9 16:18:46 server_hostname kernel: [UFW BLOCK] IN=eth0 OUT= MAC=my_mac SRC=src_ip DST=my_ip LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=4219 DF PROTO=TCP SPT=64631 DPT=22 WINDOW=8192 RES=0x00 SYN URGP=0        
Aug  9 16:19:02 server_hostname kernel: [UFW BLOCK] IN=eth0 OUT= MAC=my_mac SRC=src_ip DST=my_ip LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=6636 DF PROTO=TCP SPT=64938 DPT=22 WINDOW=8192 RES=0x00 SYN URGP=0        
Aug  9 16:19:31 server_hostname kernel: [UFW BLOCK] IN=eth0 OUT= MAC=my_mac SRC=src_ip DST=my_ip LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=11548 DF PROTO=TCP SPT=49493 DPT=22 WINDOW=8192 RES=0x00 SYN URGP=0        
Aug  9 16:19:40 server_hostname kernel: [UFW BLOCK] IN=eth0 OUT= MAC=my_mac SRC=src_ip DST=my_ip LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=13669 DF PROTO=TCP SPT=49493 DPT=22 WINDOW=8192 RES=0x00 SYN URGP=0        
Aug  9 16:19:58 server_hostname kernel: [UFW BLOCK] IN=eth0 OUT= MAC=my_mac SRC=src_ip DST=my_ip LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=16165 DF PROTO=TCP SPT=50228 DPT=22 WINDOW=8192 RES=0x00 SYN URGP=0

В файлах журнала веб-сервера нет записей, соответствующих этой отметке времени, и я тоже не ожидал, что брандмауэр заблокировал соединение.

В этот момент работает ufw reload работает (брандмауэр ведет себя должным образом, разрешая соединения на этих портах), и в настоящее время я выполняю задание в cron.hourly по перезагрузке брандмауэра с помощью указанной команды. (Я не использую service ufw reload в работе, поскольку сбой при перезапуске будет означать, что брандмауэр не будет активен, и могут пройти часы или даже дни, прежде чем я смогу даже узнать об этом, не говоря уже о том, чтобы решить эту проблему - я в отпуске и развлекаюсь наблюдая, как вьетнамская телекоммуникационная компания пытается ворваться в порт 22, который закрыт).

Похоже, что ни у кого больше нет этой проблемы, несмотря на то, что она искала ее на прошлой неделе.

Настоящий вопрос, который я пытаюсь задать, для тех, кто хочет задать четкий вопрос, это как разрешить соединения с открытыми портами брандмауэра, чтобы все они не блокировались брандмауэром до перезагрузки?

Любая помощь приветствуется!