.png)
Ich habe vor Kurzem einige Regeln zu GUFW hinzugefügt, um sicherzustellen, dass nur meine (persönliche) VPN-Verbindung nach außen gelangen kann, wobei xxxx meine IP ist und yyyy die IP meines VPN, mit der ich mich verbinde.
An - Aktion - Von
yyyy ERLAUBT RAUS xxxx
Überall DENY OUT xxxx
Bisher hat alles gut funktioniert: Nichts kam durch, außer meiner VPN-Verbindung, durch die dann alles getunnelt wurde. Internet, alles funktioniert.
Ich möchte einen Host (tttt) in meinem Heimnetzwerk scannen, um ihn zu identifizieren. Also versuche ich, mit nmap einen Syn-Scan durchzuführen:
sudo nmap tttt -sS -v
Es scheint jedoch, dass die Firewall die Sonden blockiert, da ich Folgendes erhalte:
sendto in send_ip_packet_sd: sendto(5, packet, 44, 0, tttt, 16) => Vorgang nicht zulässig
Deshalb habe ich diese Regel hinzugefügt:
xx0.0/16 ERLAUBEN xxxx
Seltsamerweise erhalte ich immer noch denselben Fehler, selbst wenn ich eine /24-Netzmaske verwende. Das Deaktivieren der Firewall funktioniert, aber ich suche da nach einer echten Lösung.
Irgendeine Ahnung, was das Problem sein könnte? Danke.
GELÖST: Die Reihenfolge der Regeln von iptables ist sehr wichtig. Da gufw eine Vereinfachung davon ist, musste ich die Reihenfolge der Regeln ändern. ZUERST ERLAUBEN Sie der Schnittstelle, mit dem Subnetz zu kommunizieren, DANN VERWEIGERN Sie der Schnittstelle die Kommunikation mit dem Rest der Welt. Ich kann das Subnetz jetzt pingen, scannen usw., und der Rest des Internets ist blockiert, wenn ich das VPN nicht verwende: Pings, Scans … kann nicht nach draußen gehen.
Antwort1
Wie ich in meiner Bearbeitung sagte, ist die Reihenfolge der Regeln sehr wichtig.
Auch bei gufw müssen Sie das berücksichtigen. Also, um das zu tun, was ich vorhatte:
Zuerst ERLAUBEN Sie der Schnittstelle, mit dem Subnetz (xx0.0/16) zu kommunizieren, dann VERWEIGERN Sie die Kommunikation mit dem Rest der Welt.
Ich hatte die Reihenfolge umgekehrt, da ich nicht sicher war, welche Regel zuerst berücksichtigt würde.