Pertanyaan Bagaimana cara mengkonfigurasi UFW untuk mengizinkan IP Forwarding?


Saya memiliki UFW, OpenVPN dan Virtualbox yang diinstal pada server rumah saya. Saya memiliki jaringan host-only untuk tamu mesin virtual saya (vboxnet0) yang diatur dengan rentang IP 10.0.1.0, dan rentang IP lain 10.0.0.0 yang dikonfigurasi pada ujung koneksi OpenVPN lainnya.

Penerusan IP dikonfigurasi pada host, jadi ketika UFW adalah cacat mereka dapat berbicara satu sama lain tanpa masalah. Namun, saya ingin menjalankan UFW karena host ini akan dapat diakses melalui web dan saya ingin beberapa kontrol akses.

Bagaimana saya bisa mengonfigurasi UFW untuk mengizinkan lalu lintas semacam ini?

Saya sudah mencoba berbagai kombinasi: ufw allow allow in|out on vboxnet0|tun0 tanpa hasil.

Aturan UFW saya adalah:

root@gimli:~# ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
Anywhere                   ALLOW       10.0.0.0/16
Anywhere on vboxnet0       ALLOW       Anywhere
Anywhere on tun0           ALLOW       Anywhere

Anywhere                   ALLOW OUT   Anywhere on vboxnet0
Anywhere                   ALLOW OUT   Anywhere on tun0

Bantuan apa pun akan sangat dihargai.


13
2017-07-08 23:51


asal




Jawaban:


Saya menemukan jawabannya.

Edit /etc/default/ufw dan mengatur DEFAULT_FORWARD_POLICY untuk MENERIMA:

DEFAULT_FORWARD_POLICY="ACCEPT"

15
2017-07-09 03:55



Apakah ada cara yang memungkinkan hanya untuk meneruskan port tertentu, tidak mengaturnya untuk MENERIMA semuanya? - Marcus Downing
Saya kira Anda perlu me-restart ufw setelah mengedit file: service ufw restart - Minh Danh


jika Anda mengatur DEFAULT_FORWARD_POLICY untuk MENERIMA di / etc / default / ufw firewall akan meneruskan semua paket terlepas dari pengaturan antarmuka pengguna.

Saya pikir antarmuka pengguna hanya dimaksudkan untuk penyaringan in / out sederhana. Untuk meneruskan, Anda perlu menambahkan aturan iptables di /etc/ufw/before.rules seperti di sini:

-A ufw-before-forward -i eth1 -p tcp -d 192.168.1.11 --dport 22 -j ACCEPT

Anda mungkin sudah memiliki aturan yang memungkinkan koneksi dari dalam ke luar dan yang lain yang memungkinkan paket-paket dari sesi tcp terkait dan didirikan kembali.

Saya bukan spesialis iptables, saya butuh waktu yang sangat lama untuk mengetahui hal ini (dengan ip6tables, tetapi harus serupa). Mungkin ini tidak semua yang dibutuhkan dalam kasus Anda.

Salam terbaik


6
2017-09-02 05:46





Perintah ufw ini bekerja dengan baik untuk saya: sudo ufw default allow FORWARD

Untuk memastikan perubahan diterapkan: sudo service ufw restart


1
2018-05-28 17:19



Ini memberikan kesalahan "Sintaks tidak valid". Documents mengatakan "DIRECTION adalah salah satu yang masuk, keluar, atau diarahkan". - ColinM
@ColinM ini bekerja untuk saya di Xubuntu 16.04.5 LTS - baptx