ufw と iptables は着信接続をブロックしません。

ufw と iptables は着信接続をブロックしません。

ufwを有効にして、1つのサーバー上のすべてのトラフィックをブロックしようとしましたが、失敗しました。

SSH のみをブロックし、他のポートはすべて開いています。 Telnetを使ってテストしましょう。

特定のIPについてはすべてのポートを許可し、そのIPが存在しない場合はすべてのポートをブロックしたいと思います。

私は次の規則を持っています:

sudo ufw ステータスの詳細

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), deny (routed)
New profiles: skip

修正する

また、iptablesでテストしてください。

iptables -- ポリシー入力の削除

SSHでTelnetを試しましたがブロックされていますが、他のサービスの場合は引き続きアクセスできます。

どんなアイデアがありますか?発信のデフォルト拒否を作成し、必要なすべてのポートをホワイトリストに追加したくありません。

修正する

問題は、サービスがコンテナ内で実行されていることです。 nc を使用して新しいリスナーを作成すると、ファイアウォールは接続をブロックします。

コンテナに入ってくるトラフィックをブロックする方法は?

答え1

Dockerは他のチェーンも使用するため、DOCKERチェーンをブロックする必要があります。

答え2

ブラックリストに追加するホストのIPアドレスが10.20.20.3であるとします。

$ sudo ufw deny from 10.20.20.3 to any
$ sudo ufw reload

関連情報