.png)
Recientemente agregué algunas reglas a GUFW para asegurarme de que solo mi conexión VPN (personal) pueda salir, siendo xxxx mi ip y yyyy la IP de mi VPN a la que me conecto.
A - Acción - Desde
yyyy PERMITIR SALIR xxxx
En cualquier lugar NEGAR xxxx
Hasta ahora, todo funcionó bien: nada podía pasar, excepto mi conexión VPN, que luego haría que todo pasara a través de ella. Internet, todo funciona.
Quiero escanear un host (tttt) en mi red doméstica para identificarlo. Entonces intento hacer un escaneo Syn usando nmap:
sudo nmap tttt -sS -v
Sin embargo, parece que el firewall está bloqueando las sondas cuando recibo esto:
sendto en send_ip_packet_sd: sendto(5, paquete, 44, 0, tttt, 16) => Operación no permitida
Entonces agregué esta regla:
xx0.0/16 PERMITIR SALIDA xxxx
Curiosamente sigo recibiendo el mismo error, incluso si uso una máscara de red /24. Desactivar el firewall funciona, pero estoy buscando una solución real allí.
¿Alguna pista sobre cuál podría ser el problema? Gracias.
SOLUCIONADO: El orden de las reglas de iptables es muy importante. Como gufw es una simplificación, tuve que cambiar el orden de las reglas. PRIMERO, PERMITE que la interfaz se comunique con la subred, LUEGO NIEGA a la interfaz la comunicación con el resto del mundo. Puedo hacer ping, escanear, etc., la subred ahora, y el resto de Internet está bloqueado si no estoy usando la VPN: ping, escanear... no puedo salir.
Respuesta1
Como dije en mi edición, el orden de las reglas es muy importante.
Incluso para gufw, debes tener eso en cuenta. Entonces, para hacer lo que pretendía hacer:
Primero PERMITE que la interfaz se comunique con la subred (xx0.0/16), luego NIEGA la comunicación con el resto del mundo.
Había invertido el orden, sin estar seguro de qué regla se tendría en cuenta primero.