チュートリアルでは、fwknopスクリプトでポートをブロックするように指示しますiptables。
iptablesあまりにも混乱して使用したくないがむしろufw。しかし何か複雑なことをしているようで、別に設定をしなければならないのかufwわかりませんね。fwknop
ポートを開いたり閉じたりしても閉じたufwようにfwknop動作しますかiptables?
答え1
1)fwknopドキュメントから:
fwknop プロジェクトは、Linux、OpenBSD、FreeBSD、Mac OS X で iptables、Firewalld、PF、ipfw の 4 つのファイアウォールをサポートしています。 ipset や nftables などの他のインフラストラクチャをサポートする fwknop を作成できるカスタムスクリプトもサポートされています。
明らかに正式には4つのファイアウォールのみをサポートします。ただし、他のファイアウォールのサポートを手動で追加する余地があります。詳細については、設定ファイルを確認してください。
2)UFWがあればiptableもあります。
複雑でないファイアウォール(ufw)はiptablesのフロントエンドであり、特にホストベースのファイアウォールに適しています。 ufwは、ネットフィルター管理用のフレームワークとファイアウォールを操作するためのコマンドラインインターフェースを提供します。 ufwは、ファイアウォールの概念に慣れていない人のための使いやすいインターフェースを提供し、管理者が自分が何をしているのかを知ることができるように、複雑なiptablesコマンドを簡素化することを目的としています。 ufwは、他のディストリビューションとグラフィックフロントエンドのアップストリームです。
したがって、ufwを介してポートをブロックすると、iptables自体によってブロックされたかのように動作するはずです。しかし、正直なところ、iptablesは学ぶのが難しいことではありません。まず、fwknopを使用するには、次のルールを追加します。
# Generated by iptables-save v1.6.1 on Tue Apr 23 15:11:27 2019
*nat :PREROUTING ACCEPT [129:17936] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [106:9180] :POSTROUTING ACCEPT [106:9180] COMMIT
# Completed on Tue Apr 23 15:11:27 2019
# Generated by iptables-save v1.6.1 on Tue Apr 23 15:11:27 2019
*filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [91:9203]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j LOG
-A INPUT -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j LOG
-A FORWARD -j DROP COMMIT
# Completed on Tue Apr 23 15:11:27 2019
上記のテキストを任意のファイルに保存するだけです。次に、次のコマンドを実行します。
iptables - 復元<ファイル名
行っても大丈夫でしょう!
答え2
~によるとRedditのこのチュートリアル、次ufwのように使用できます/etc/fwknop/access.conf。
SOURCE ANY # Limit the Ports able to be opened OPEN_PORTS tcp/22 # Keys from ~/.fwknoprc KEY_BASE64 [...] HMAC_KEY_BASE64 [...] CMD_CYCLE_OPEN /usr/sbin/ufw allow $PORT CMD_CYCLE_CLOSE /usr/sbin/ufw delete allow $PORT # Default cycle time Mandatory for CMD_CYCLE_OPEN/CLOSE CMD_CYCLE_TIMER 180