Hi, "Zoltán Gerendás" <zgeren...@chello.hu> írta 2018-05-09 16:37-kor: > Az iptables-save kimenetét ide tettem: > https://pastebin.com/E3URP2KP > Ebben a kimenetben nem látom > >> -A ufw-user-input -s 192.168.0.0/16 -p tcp -m tcp --dport 8080 -j ACCEPT > >> -A ufw-user-input -s 192.168.0.0/16 -p udp -m udp --dport 8080 -j ACCEPT
Ezt a két szabályt. Lehet ez a gond? :) Nem gondolkodtál még az ufw skippelésén? Amennyire látom eléggé karácsonyfa rulesetet rak össze, és még csak nem is hatékony. De itt-ott a logikát sem értem benne. Pl. ilyen helyeken: -A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny -A ufw-before-input -m conntrack --ctstate INVALID -j DROP és -A ufw-logging-deny -m conntrack --ctstate INVALID -m limit --limit 3/min --limit-burst 10 -j RETURN -A ufw-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW BLOCK] " Miért nem teszi akkor az ufw-logging-deny végére azt a DROP-ot?! Így még a feldolgozásban végére ér az ufw-logging-deny láncnak, majd return-öl az ufw-before-input láncra, újra kiértékeli azt a szabályt, amit egyszer már kiértékelt, és csuda tudja mekkora lookup táblát kell egy ctstate kikereséséhez megnéznie... Maaajd ezután dobja el a csomagot. Könyörgöm, miért?! Értem én hogy script írta, de ekkora komplexitásnál biztos, hogy van még értelme ezt a salátát használni, ahelyett, hogy összeraknál valamit magadtól + esetleg ez, ahogy látom, tipikusan olyan use-case, amin még sokat tudna lendíteni egy ipset. De az is lehet, hogy nftables-el meg a logolás hatékonyságán tudnál fejleszteni. Bármi, csak... imho, ne ezt a kriptaszökevény scriptet. Eddig nem sok dolgom volt az ufw-vel, de ha ilyen módon szervezi a dolgait, akkor ennek kifejezetten örülök! ;-) Üdv, Gyu _________________________________________________ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
