0

数日前、SSH 経由で Ubuntu ホストに CSF をインストールしました。すべてが正常に機能しているように見え、数時間プレイする機会がありました。ポートを閉じたり開いたりする方法を理解しています。すべてがうまく機能しているように見えました。

今日、私は自分の 3306 mysql ポートを制限して、特定の IP アドレスのみにアクセスを許可しようとしました。これを行うには、csf.conf の TCP_IN および TCP_OUT 行から削除されていることを確認し、csf.allow に挿入します。

nmapでスキャンするとポートが開いているように見えたため、これは機能していないようでした。さらにデバッグした後、csf.conf および csf.allow ファイルに加えた変更は、ポートの可用性に影響を与えないことがわかりました。

さらに調査したところ、ufw ファイアウォール、iptables、および csf の間に問題がある可能性があることがわかったので、ufw ファイアウォールを停止し、すべての iptables ルールを削除してデフォルト値に設定しました。

:~$ sudo iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

:~$ sudo service ufw status
ufw stop/waiting

そして今、csfファイアウォールをフラッシュ、停止、および開始しました:csf -f、csf -x、csf -e

再起動後、 Sudo iptables -L は、ソースがどこでも、宛先がどこでも、ルールの膨大なリストを出力するようです。これまでにこれを経験したことがないので、正しい機密情報を抽出できるかどうかはよくわかりませんが、それについて読んだ後、これは私の状況には適していないと思いました.

一方、 csf -L の出力は異なります。ほとんどの送信元と宛先の IP は 0.0.0.0/0 です。csf -L の出力から抽出できるのは、無効なチェーンがあることです。

Chain INVALID (2 references)
num   pkts bytes target     prot opt in     out     source                      destination
1        0     0 INVDROP    all  --  *      *       0.0.0.0/0               0.0.0.0/0            ctstate INVALID
2        0     0 INVDROP    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x3F/0x00
3        0     0 INVDROP    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x3F/0x3F
4        0     0 INVDROP    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x03/0x03
5        0     0 INVDROP    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x06/0x06
6        0     0 INVDROP    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x05/0x05
7        0     0 INVDROP    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x11/0x01
8        0     0 INVDROP    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x18/0x08
9        0     0 INVDROP    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x30/0x20
10       0     0 INVDROP    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:!0x17/0x02 ctstate NEW


Chain ALLOWIN (1 references)
num   pkts bytes target     prot opt in     out     source               destination
 1      210 10680 ACCEPT     all  --  !lo    *       [mysship]        0.0.0.0/0

Chain ALLOWOUT (1 references)
num   pkts bytes target     prot opt in     out     source                destination
1      295 41404 ACCEPT     all  --  *      !lo     0.0.0.0/0              [mysship]

MYSSHIP は、csf.allow に配置した SSH を使用して接続する IP であり、ssh ポートは csf.conf の TCP_IN、TCP_OUT リストにあります。

4

2 に答える 2

0

混乱の原因はよくわかりませんが、iptables と csf の両方から以前の構成をすべてフラッシュしました。nmapを使用してすべてのステップでテストし、すべての構成を1つずつ書き込むよりもcsfを再インストールしました。また、TESTING_INTERVAL を 15 に変更しました。TESTING = 1 を維持している間に、ファイアウォール設定があまりにも速くクリアされたと思います。

于 2016-08-31T10:53:57.753 に答える