.png)
Недавно я добавил несколько правил в GUFW, чтобы гарантировать, что только моему (личному) VPN-подключению разрешен выход наружу, где xxxx — мой IP-адрес, yyyy — IP-адрес моего VPN, к которому я подключаюсь.
Кому - Действие - Откуда
yyyy РАЗРЕШИТЬ ВЫЙТИ xxxx
Везде ОТКАЗАТЬ xxxx
До сих пор все работало отлично: ничего не могло пройти, кроме моего VPN-подключения, через которое все проходило. Интернет, все работало.
Я хочу просканировать хост (tttt) в моей домашней сети, чтобы идентифицировать его. Поэтому я пробую сделать Syn-сканирование с помощью nmap:
sudo nmap tttt -sS -v
Однако, похоже, что брандмауэр блокирует зонды, поскольку я получаю следующее:
sendto в send_ip_packet_sd: sendto(5, packet, 44, 0, tttt, 16) => Операция не разрешена
Поэтому я добавил следующее правило:
xx0.0/16 РАЗРЕШИТЬ ВНЕ xxxx
Странно, но я все еще получаю ту же ошибку, даже если использую сетевую маску /24. Отключение брандмауэра помогает, но я ищу реальное решение.
Есть ли какие-нибудь подсказки, в чем может быть проблема? Спасибо.
РЕШЕНО: Порядок правил iptables очень важен. Поскольку gufw является его упрощением, мне пришлось изменить порядок правил. СНАЧАЛА вы РАЗРЕШАЕТЕ интерфейсу общаться с подсетью, ПОТОМ вы ЗАПРЕЩАЕТЕ интерфейсу общаться с остальным миром. Теперь я могу пинговать, сканировать и т. д. подсеть, а остальной интернет блокируется, если я не использую VPN: пинги, сканирование... не могу выйти наружу.
решение1
Как я уже сказал в своей редакции, порядок правил очень важен.
Даже для gufw, вам нужно принять это во внимание. Итак, чтобы сделать то, что я намеревался сделать:
Сначала вы РАЗРЕШАЕТЕ интерфейсу взаимодействовать с подсетью (xx0.0/16), а затем ЗАПРЕЩАЕТЕ взаимодействие с остальным миром.
Я изменил порядок, не зная, какое правило будет принято во внимание в первую очередь.