.png)
我最近為 GUFW 添加了一些規則,以確保只允許我的(個人)VPN 連接出去,xxxx 是我的 IP,yyyy 是我連接到的 VPN 的 IP。
至 - 行動 - 來自
yyyy 允許 xxxx
任何地方拒絕 xxxx
到目前為止,一切都正常工作:除了我的 VPN 連接之外,沒有任何東西可以通過,然後所有東西都會通過它。互聯網,一切正常。
我想掃描家庭網路上的主機 (tttt) 來識別它。所以我嘗試使用 nmap 進行 Syn 掃描:
須藤 nmap tttt -sS -v
然而,當我收到以下訊息時,防火牆似乎阻止了探測器:
send_ip_packet_sd 中的 sendto: sendto(5, packet, 44, 0, tttt, 16) => 不允許操作
所以我加入了這條規則:
xx0.0/16 允許 xxxx
奇怪的是,即使我使用 /24 網路掩碼,我仍然遇到相同的錯誤。停用防火牆可以解決問題,但我正在尋找真正的解決方案。
關於可能出現什麼問題的線索嗎?謝謝。
解決了: iptables 規則的順序非常重要。由於 gufw 是它的簡化,因此我必須更改規則的順序。首先,您允許介面與子網路通信,然後拒絕該介面與世界其他地方的通訊。我現在可以對子網進行 ping、掃描等操作,如果我不使用 VPN,則互聯網的其餘部分將被阻止:ping、掃描...無法出去。
答案1
正如我在編輯中所說,規則的順序非常重要。
即使對於 gufw,您也需要考慮到這一點。因此,要做我想做的事:
您首先允許介面與子網路 (xx0.0/16) 通信,然後拒絕與世界其他地方的通訊。
我顛倒了順序,不確定要先考慮什麼規則。