Hali! PÁSZTOR György <pasz...@linux.gyakg.u-szeged.hu> írta (2018. május 10. 22:59): > Hi, > > "Zoltán Gerendás" <zgeren...@chello.hu> írta 2018-05-09 16:37-kor: >> Az iptables-save kimenetét ide tettem: >> https://pastebin.com/E3URP2KP >> > Ebben a kimenetben nem látom >> >> -A ufw-user-input -s 192.168.0.0/16 -p tcp -m tcp --dport 8080 -j ACCEPT >> >> -A ufw-user-input -s 192.168.0.0/16 -p udp -m udp --dport 8080 -j ACCEPT > > Ezt a két szabályt. > > Lehet ez a gond? :) > > Nem gondolkodtál még az ufw skippelésén? Amennyire látom eléggé karácsonyfa > rulesetet rak össze, és még csak nem is hatékony. > De itt-ott a logikát sem értem benne. > Pl. ilyen helyeken: > -A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny > -A ufw-before-input -m conntrack --ctstate INVALID -j DROP > és > -A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min > --limit-burst 10 -j RETURN > -A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG > --log-prefix "[UFW BLOCK] " > > Miért nem teszi akkor az ufw-logging-deny végére azt a DROP-ot?! > Így még a feldolgozásban végére ér az ufw-logging-deny láncnak, majd > return-öl az ufw-before-input láncra, újra kiértékeli azt a szabályt, amit > egyszer már kiértékelt, és csuda tudja mekkora lookup táblát kell egy > ctstate kikereséséhez megnéznie... > Maaajd ezután dobja el a csomagot. > > Könyörgöm, miért?! > > Értem én hogy script írta, de ekkora komplexitásnál biztos, hogy van még > értelme ezt a salátát használni, ahelyett, hogy összeraknál valamit > magadtól + esetleg ez, ahogy látom, tipikusan olyan use-case, amin még > sokat tudna lendíteni egy ipset. > De az is lehet, hogy nftables-el meg a logolás hatékonyságán tudnál > fejleszteni. Bármi, csak... imho, ne ezt a kriptaszökevény scriptet. > Eddig nem sok dolgom volt az ufw-vel, de ha ilyen módon szervezi a dolgait, > akkor ennek kifejezetten örülök! ;-) > > Üdv, > Gyu > _________________________________________________ > linux lista - linux@mlf.linux.rulez.org > http://mlf.linux.rulez.org/mailman/listinfo/linux
-- Üdvözlettel: Gerendás Zoltán _________________________________________________ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
