%EC%97%90%20%EC%9D%98%ED%95%B4%20%EC%B0%A8%EB%8B%A8%EB%90%98%EC%97%88%EC%8A%B5%EB%8B%88%EB%8B%A4..png)
나는 최근에 내 (개인) VPN 연결만 나가도록 허용하기 위해 몇 가지 규칙을 GUFW에 추가했습니다. xxxx는 내 IP이고 yyyy는 내가 연결하는 VPN의 IP입니다.
종료 - 작업 - 시작
yyyy xxxx를 허용하세요
어디서나 거부 xxxx
지금까지는 모든 것이 잘 작동했습니다. VPN 연결을 제외하고는 아무것도 통과할 수 없었습니다. 그러면 모든 것이 VPN 연결을 통해 터널링됩니다. 인터넷, 모든 것이 작동합니다.
식별하기 위해 홈 네트워크의 호스트(tttt)를 스캔하고 싶습니다. 그래서 nmap을 사용하여 Syn 스캔을 시도합니다.
sudo nmap tttt -sS -v
그러나 다음과 같은 결과가 나오면 방화벽이 프로브를 차단하고 있는 것 같습니다.
send_ip_packet_sd의 sendto: sendto(5, packet, 44, 0, tttt, 16) => 작업이 허용되지 않습니다.
그래서 다음 규칙을 추가했습니다.
xx0.0/16 xxxx 허용
이상하게도 /24 넷마스크를 사용해도 여전히 같은 오류가 발생합니다. 방화벽을 비활성화하면 문제가 해결되지만 실제 솔루션을 찾고 있습니다.
문제가 무엇인지에 대한 단서가 있습니까? 감사해요.
해결됨: iptables 규칙의 순서는 매우 중요합니다. gufw는 이를 단순화한 것이므로 규칙의 순서를 변경해야 했습니다. 먼저 인터페이스가 서브넷과 통신하도록 허용한 다음 인터페이스가 나머지 세계와의 통신을 거부합니다. 이제 서브넷에 대해 핑, 스캔 등을 할 수 있으며, VPN을 사용하지 않으면 나머지 인터넷은 차단됩니다. 핑, 스캔... 외부로 나갈 수 없습니다.
답변1
편집에서 말했듯이 규칙의 순서는 매우 중요합니다.
gufw의 경우에도 이를 고려해야 합니다. 그래서, 내가 하려고 했던 일을 하기 위해:
먼저 인터페이스가 서브넷(xx0.0/16)과 통신하도록 허용한 다음 나머지 세계와의 통신을 거부합니다.
어떤 규칙이 먼저 고려되어야 할지 확신이 서지 않아 순서를 반대로 했습니다.