web-dev-qa-db-ja.com

UFWがデフォルトで発信を拒否する場合、pingとtracerouteは機能しません

デフォルトでdeny outgoingを使用してUFWを設定した後、pingとtracerouteを機能させるにはどうすればよいですか?

これが私のUFW設定です:

Sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), deny (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
123/udp                    ALLOW IN    Anywhere
80/tcp                     ALLOW IN    Anywhere
443/tcp                    ALLOW IN    Anywhere
123/udp (v6)               ALLOW IN    Anywhere (v6)
80/tcp (v6)                ALLOW IN    Anywhere (v6)
443/tcp (v6)               ALLOW IN    Anywhere (v6)

53                         ALLOW OUT   Anywhere
80/tcp                     ALLOW OUT   Anywhere
443/tcp                    ALLOW OUT   Anywhere
587/tcp                    ALLOW OUT   Anywhere
123/udp                    ALLOW OUT   Anywhere
53 (v6)                    ALLOW OUT   Anywhere (v6)
80/tcp (v6)                ALLOW OUT   Anywhere (v6)
443/tcp (v6)               ALLOW OUT   Anywhere (v6)
587/tcp (v6)               ALLOW OUT   Anywhere (v6)
123/udp (v6)               ALLOW OUT   Anywhere (v6)

Pingとtracerouteの結果は次のとおりです。

ping google.com
PING google.com (173.194.121.34) 56(84) bytes of data.
ping: sendmsg: Operation not permitted

traceroute google.com
traceroute to google.com (173.194.121.34), 30 Hops max, 60 byte packets
send: Operation not permitted

これらの行を/etc/ufw/before.rulesに追加することを推奨するこの投稿( http://www.kelvinism.com/2010/09/enable-icmp-through-ufw_461.html )を見つけました。

# allow outbound icmp
-A ufw-before-output -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A ufw-before-output -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT

Pingには機能するようですが、tracerouteには機能しません。何か案が?

ありがとう

4
Michael

これは私のために働いた:

ufw allow out to any port 33434:33524 proto udp
1
Rob Mascaro

traceroute-Iオプション(Use ICMP ECHO for tracerouting)にSudoを使用する必要がありました。

Sudo traceroute google.com -I
1
Michael

より広いICMP応答を許可することをお勧めします。

-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT
0
ServerMonkey

Tracerouteの場合、33434:33524の範囲の発信UDPパケットを許可する必要があります。一部のツールでは、ICMPエコー要求も使用できます。 PINGが機能しているので、ICMPエコー要求パケットを有効にしておく必要があります。

戻りパケットは、主にICMP時間超過パケットになります。必要なICMPタイプを有効にしている場合は、何も構成する必要はありません。

0
BillThor