Kirjoittaja Aihe: Kaikkien porttien avaaminen UFW:llä tietylle hostille  (Luettu 4436 kertaa)

JoniX

  • Käyttäjä
  • Viestejä: 34
    • Profiili
Ei tämä nyt mikään Ubuntu-spesiifi kysymys ole, mutta kuinka voin sallia kaiken liikenteen johonkin tiettyyn osoitteeseen sulkematta koko UFW:a? Joo joo, Googlella olisi varmaan löytynyt 10 h etsinnällä vastaus tai jotain man sivuja lukemalla, mutta haluaisin vain helpon vastauksen helppoon kysymykseen. Ainakin Gufw ohjelmalla näyttäisi voivan avata vain tiettyjä portteja tiettyihin osoitteisiin. Kokeilin laittaa portit 1-65535, mutta se ei ihan toiminut. Nöyrimmät kiitokseni jo etukäteen. :)

Terhi

  • Käyttäjä
  • Viestejä: 97
    • Profiili
~/ sweet ~/

JoniX

  • Käyttäjä
  • Viestejä: 34
    • Profiili
Vs: Kaikkien porttien avaaminen UFW:llä tietylle hostille
« Vastaus #2 : 10.02.10 - klo:17.30 »
Kiitokset hyvästä linkistä! :D

Jone

  • Käyttäjä
  • Viestejä: 182
  • \,,/
    • Profiili
Vs: Kaikkien porttien avaaminen UFW:llä tietylle hostille
« Vastaus #3 : 16.06.10 - klo:21.22 »
Vanha aihe mutta täsmää, ei viitsi uutta aloittaa..

D-link jakaa osoitteita lähiverkolle väliltä 192.168.1.2 - 192.168.1.10.

Haluan sallia kaikki lähiverkkoyhteydet tietylle koneelle.

Koodia: [Valitse]
sudo ufw allow from 192.168.1.1/10
WARN: Rule changed after normalization
Sääntö lisätty

Nyt pitäisi olla portit auki noille ip-osoitteille, mutta

Koodia: [Valitse]
sudo ufw status
Tila: käytössä

Vastaanottaja              Toiminto    Lähettäjä
-------------              --------    ---------
Anywhere                   ALLOW       192.128.0.0/10


Jostain syystä ufw haluaa muuttaa ip-osoitteen 192.168.1.1/10 --> 192.128.0.0/10. Mikäköhän tässä nyt mahtaa olla homman nimi?

910

  • Käyttäjä
  • Viestejä: 96
    • Profiili
Vs: Kaikkien porttien avaaminen UFW:llä tietylle hostille
« Vastaus #4 : 17.06.10 - klo:09.26 »
Lainaus
Koodia:

sudo ufw allow from 192.168.1.1/10
WARN: Rule changed after normalization
Sääntö lisätty

Enpä tiedä UFW:stä sen kummemmin mitään. Esimerkissäsi kuitenkin määritellään IP-osoitteet käyttäen CIDR-notaatiota, jossa kauttaviivan jälkeinen osa määrää halutun verkon laajuuden. Osoite 192.128.0.0 on antamasi verkkoavaruuden ensimmäinen osoite, jolloin se aivan perustellusti tulostuu UFW:n tulosteessa.

Haluat ilmeisesti sallia liikenteen IP-osoitteista 192.168.1.1 - 192.168.1.10. Tämän voi tehdä käyttämällä sopivaa verkkomaskia, esim. jotenkin näin:

Koodia: [Valitse]
sudo ufw allow from 192.168.1.0/28
jolloin verkko kattaa osoitteet 192.168.1.0 - 192.168.1.15.

Hyvin usein kotien lähiverkoissa käytetään yhtä ns. C-luokan verkkoa, joka sinulla olisi vastaavasti määriteltynä 192.168.1.0/24. Tämä kattaisi siis osoitteet 192.168.1.0 - 192.168.1.255.

UFW:llä voinee määritellä myös IP-osoitevälin, jolloin saat täsmälleen haluamasi osoitteet. Ja vaikka ei voisikaan, niin aina voi määritellä jokaisen osoitteen erikseen:

Koodia: [Valitse]
sudo ufw allow from 192.168.1.1
sudo ufw allow from 192.168.1.2
...

Jone

  • Käyttäjä
  • Viestejä: 182
  • \,,/
    • Profiili
Vs: Kaikkien porttien avaaminen UFW:llä tietylle hostille
« Vastaus #5 : 17.06.10 - klo:13.32 »
Kiitokset nimimerkki 910:lle.

Sain homman toimimaan tuolla
Koodia: [Valitse]
sudo ufw allow from 192.168.1.0/28lauseella.

Se että onko siellä nyt muutama ip-osoite yli alkuperäisesti haluamani ip-osoitteiden välin ei haittaa mitään koska omalle kotiverkollehan ne kaikki kuitenkin kuuluvat. Mielummin laitan sen yhdellä säännöllä kuin jokaiselle osoitteelle oman.

En tosin vieläkään täysin ymmärtänyt mikä oli pielessä. Olin ymmärtänyt että tuolla kauttaviivalla määritellään tietty ip-osoitteiden väli, eli tässä tapauksessa osoitteet jotka päättyvät väliin 1-10.

pumo

  • Käyttäjä
  • Viestejä: 140
    • Profiili
Vs: Kaikkien porttien avaaminen UFW:llä tietylle hostille
« Vastaus #6 : 17.06.10 - klo:13.37 »
En tosin vieläkään täysin ymmärtänyt mikä oli pielessä. Olin ymmärtänyt että tuolla kauttaviivalla määritellään tietty ip-osoitteiden väli, eli tässä tapauksessa osoitteet jotka päättyvät väliin 1-10.

ymmärsit väärin
tuossa 192.168.1.0/10   /10 meinaa sitä verkkoaluetta

esim 192.168.1.1 - 192.168.1.254 pitäisi määrittää 192.168.1.0/24 kuten 910 tuossa jo mainitsikin.
dlink kuitenkin varmaan jakaa maskina 255.255.255.0 noille koneille eli voisi käyttää periaatteessa sitä 192.168.1.0/24 määritystä, eli jos olisikin  kiinteällä osoitteella kone vaikka 192.168.1.20 niin sekin pääsisi.

hiema tietoa
http://www.pantz.org/software/tcpip/subnetchart.html
« Viimeksi muokattu: 17.06.10 - klo:13.42 kirjoittanut pumo »

Jakke77

  • Käyttäjä
  • Viestejä: 3946
  • Oulu (Oinaansuo)
    • Profiili
Vs: Kaikkien porttien avaaminen UFW:llä tietylle hostille
« Vastaus #7 : 17.06.10 - klo:13.48 »
Ubuntun ufw-palomuuri

sudo ufw enable - käynnistää palomuurin
sudo ufw disable - sammuttaa palomuurin
sudo ufw default allow - sallii kaikki yhteydet oletuksena
sudo ufw default deny - sulkee kaikki yhteydet oletuksena
sudo ufw status - nykyinen palomuurintila ja säännöt
sudo ufw allow portti - salli liikenne portista portti
sudo ufw deny portti - kiellä liikenne porttiin portti
sudo ufw deny from xxx.xxx.xxx.xxx - kiellä kaikki liikenne IP-osoitteesta xxx.xxx.xxx.xxx
U_G_H

Aspire E5-575G V1.27 CPU: Intel i3-6100U (4) @ 2.300GHz GPU: Intel® HD Graphics 520 GPU: NVIDIA GeForce 940MX Samsung SSD 970 EVO Plus 500GB

Ilokaasu

  • Käyttäjä
  • Viestejä: 1547
    • Profiili
Vs: Kaikkien porttien avaaminen UFW:llä tietylle hostille
« Vastaus #8 : 01.07.10 - klo:11.33 »
Eikös se mene myö sitten niin, että jos on käyttänyt tätä 192.168.1.0/28 ja tulevaisuudessa säätää kyseistä verkkoa ja sen koneita, niin täytyy muistaa että siinä verkossa on vain nämä osoitteet 192.168.1.0 - 192.168.1.15.

Jos esim haluat yhdistää 192.168.1.16 koneen muihin koneisiin, niin se on jo eri verkon puolella. Tarvitaan reitityksiä jne..

radiotehnika

  • Käyttäjä
  • Viestejä: 10
    • Profiili
Vs: Kaikkien porttien avaaminen UFW:llä tietylle hostille
« Vastaus #9 : 12.01.11 - klo:12.38 »
Miten olisi mahdollista estää kaikki yhteydet, jotka tulevat ulkomailta? Käytän serveriä pelkästään irssin ja ftp:palvelimen pyörittämiseen, joten siihen ei tarvitsisi päästä käsiksi muuta kuin Suomenmaalla. Ehtona tietenkin, että pelkästään irssi hyväksyy muualta tulevat yhteydet. Päivitykset varmaankin tulevat automaattisesti suomalaisilta servereiltä, joten niistäkään ei tarvitse huolehtia?

mrl586

  • Käyttäjä
  • Viestejä: 4638
    • Profiili
Vs: Kaikkien porttien avaaminen UFW:llä tietylle hostille
« Vastaus #10 : 12.01.11 - klo:22.41 »
En tiedä kykeneekö UFW tuohon, mutta CSF ainakin kykenee.

ajaaskel

  • Palvelimen ylläpitäjä
  • Käyttäjä
  • Viestejä: 3401
    • Profiili
Vs: Kaikkien porttien avaaminen UFW:llä tietylle hostille
« Vastaus #11 : 12.01.11 - klo:23.51 »
Lainaus
Eikös se mene myö sitten niin, että jos on käyttänyt tätä 192.168.1.0/28 ja tulevaisuudessa säätää kyseistä verkkoa ja sen koneita, niin täytyy muistaa että siinä verkossa on vain nämä osoitteet 192.168.1.0 - 192.168.1.15.

Jos esim haluat yhdistää 192.168.1.16 koneen muihin koneisiin, niin se on jo eri verkon puolella. Tarvitaan reitityksiä jne..

Kyllä ja ei.  Jos siis ajatellaan että joka koneelle laitetaan palomuuri tuolla tavalla niin pääsyrajoitus on olemassa tuon alueen ulkopuolisille osoitteille.  Jos tuo alue on liian pieni niin sitä on helppo säätää pienentämällä tuota kauttaviivan jälkeistä numeroa. Tuo tietysti kannattaisi miettiä etukäteen koska kaikki palomuurit sitten korjataan jos ne on joka koneella.  Tässä pari esimerkkiä:

192.168.1.0/24    =  kaikki 192.168.1 -alkuiset osoitteet

192.168.0.0/16     = kaikki 192.168  -alkuiset ositteet

Tuo numero tuolla kauttaviivan jälkeen tarkoittaa montako bittiä osoitteen vasemmasta reunasta alkaen luetaan verkko-osoitteeksi ja se loppuosa jää yksittäisen työaseman osoitteeksi. Jossain tuosta käytetään nimitystä "prefiksi". Tuo on helpompi käsittää jos ajattelee että jokainen ip-osoite on

(8 bittiä) + (8 bittiä) + (8 bittiä) + (8 bittiä)

ja niiden välissä on tuo piste.  Eli tuo on yksi merkintätapa ilmaista asia kuten verkkomaskikin. Verkkomaskin tapauksessa sinne vaan kirjoitellaan esimerkiksi:

255.255.255.0     mikä tarkoittaa  /24   eli 8 + 8 +8 bittiä alusta kuuluu verkko-osoitteeseen ja nuo viimeisen byten osoitteet jäävät jäljelle muuhun.  

Silloin kun katkaistaan kokonaisen byten kohdalta osoitealue tuo on hyvin helppo silmämääräisesti jo ymmärtää mutta kun katkaistaan byten sisältä joutuu hieman jo hahmottamaan mielessään tai voi käyttää jotain ip-osoitelaskinta, pakettivarastosta löytyy esimerkiksi "gip", kannattaa tutustua.
Tuo käyttäjän "Pumo" linkissä näkyvä "subnet"-kartta kertoo myös asian tarkemmin eli en yritä kuvailla tätä asiaa kuin kuin hätäisesti.

Tässä Wikissä on samasta asiasta:

http://finnish-wikipedia.wiki-site.com/i/p/-/IP-osoite_1f7f.html

Joillakin osoitteilla on erityismerkityksiä, esimerkiksi "255" tarkoittaa "kaikille" eli "broadcast". Näistä erityisosoitteista on lisää täällä (mutta englanniksi):

http://www.rfc-editor.org/rfc/rfc5735.txt
« Viimeksi muokattu: 13.01.11 - klo:00.21 kirjoittanut ajaaskel »
Autamme ilolla ja ilmaiseksi omalla ajallamme.  Ethän vaadi, uhoa tai isottele näin saamasi palvelun johdosta.