Вопросы Теги

Требуется объяснение правил IPTABLES о настройке OpenVPN

У меня установлены Ubuntu 16.04 и OpenVPN, и, похоже, все работает нормально. Но когда я проверяю правила брандмауэра с помощью «sudo ufw status», я вижу следующее: 

Status: active

To Action From - ------ ---- 80 ALLOW Anywhere
443 РАЗРЕШИТЬ В любом месте
53 РАЗРЕШИТЬ везде
465 РАЗРЕШИТЬ В любом месте
25 ALLOW Anywhere
110 ALLOW Anywhere
995 ALLOW Anywhere
143 ALLOW Anywhere
993 ALLOW Anywhere
10025 ALLOW Anywhere
10024 ALLOW Anywhere
80 (v6) РАЗРЕШИТЬ В любом месте (v6)
443 (v6) РАЗРЕШИТЬ везде (v6)
53 (v6) РАЗРЕШИТЬ В любом месте (v6)
465 (v6) РАЗРЕШИТЬ везде (v6)
25 (v6) ALLOW Anywhere (v6)
110 (v6) РАЗРЕШИТЬ везде (v6)
995 (v6) РАЗРЕШИТЬ везде (v6)
143 (v6) РАЗРЕШИТЬ Anywhere (v6)
993 (v6) РАЗРЕШИТЬ везде (v6)
10025 (v6) РАЗРЕШИТЬ везде (v6)
10024 (v6) ALLOW Anywhere (v6)

Порт 1194 вообще не упоминается! Но я использую команду netstat "root @ mail: ~ # netstat -anlp | grep 1194" Я получаю следующее: 

udp        0      0 0.0.0.0:1194            0.0.0.0:*                           1142/openvpn

Также у меня есть этот файл,созданный скриптом OpenVPN здесь /etc/systemd/system/openvpn-iptables.service, и я вижу в нем следующее: 


  [Unit]
Before=network.target
[Service]
Type=oneshot
ExecStart=/sbin/iptables -t nat -A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to xx.249.16.253
ExecStart=/sbin/iptables -I INPUT -p udp --dport 1194 -j ACCEPT
ExecStart=/sbin/iptables -I FORWARD -s 10.8.0.0/24 -j ACCEPT
ExecStart=/sbin/iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
ExecStop=/sbin/iptables -t nat -D POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to xx.249.16.253
ExecStop=/sbin/iptables -D INPUT -p udp --dport 1194 -j ACCEPT
ExecStop=/sbin/iptables -D FORWARD -s 10.8.0.0/24 -j ACCEPT
ExecStop=/sbin/iptables -D FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
RemainAfterExit=yes
[Install]
WantedBy=multi-user.target

Итак, мой вопрос ... открыт ли порт 1194 (это?) с этими правилами IPTABLES, тогда почему я не вижу его в статусе ufw?

0
задан 18 September 2019 в 23:28
1 ответ

Я полагаю, что путаница возникает из-за того, что вы используете как UFW, так и IPTABLES. UFW - это интерфейс для iptables, но если вы добавите правила вне него, я ожидаю, что он не сможет распознать эти правила.

Таким образом, вы не видите, что правила iptables введены для обработки вашего OpenVPN-соединения.

Я полагаю если вы перечислите правила iptables, вы их увидите. Попробуйте 

  /sbin/iptables -vnL

Показать правила IPTables и UFW (но в форме IPTABLES)

2
ответ дан 4 December 2019 в 13:18

Теги

Похожие вопросы