Комментарии 9
не надо так
это костыльный костыль
если ufw, то уж как man написано
https://manpages.ubuntu.com/manpages/plucky/en/man8/ufw.8.html
Rules for traffic not destined for the host itself but instead for traffic that should be
routed/forwarded through the firewall should specify the route keyword before the rule (routing rules
differ significantly from PF syntax and instead take into account netfilter FORWARD chain conventions).
For example:
ufw route allow in on eth1 out on eth2
This will allow all traffic routed to eth2 and coming in on eth1 to traverse the firewall.
ufw route allow in on eth0 out on eth1 to 12.34.45.67 port 80 proto tcp
This rule allows any packets coming in on eth0 to traverse the firewall out on eth1 to tcp port 80 on
12.34.45.67
плюс https://manpages.ubuntu.com/manpages/bionic/man8/ufw-framework.8.html если совсем хочется городить огород и жить с ufw
Добавил пост в закладки из-за комментария )) Спасибо!
Вы скорее всего правы, я не очень опытен в данном вопросе. Дело в том что данная настройка нужна лично мне, я готовлюсь к экзаменам... По неизвестным мне причинам, только когда я разрешаю в ufw правила для bind9, только тогда bind начинает работать. Возможно мой сервер немного глючит. Спасибо за вашу поправку.
Даже не буду говорить, что не надо использовать ufw (и это хороший пример почему - очевидная вещь делается через какую-то магию, вместо того, чтобы сразу написать правила nftables).
Даже не буду говорить, что параметр sysctl мы зачем-то меняем дважды - конфиг ufw оверрайдит /etc/sysctl.conf и последний менять не надо.
Даже не буду говорить, что просто ставить policy allow на любой forward и маскарадить вообще все IP - какая-то излишняя душевная широта :)
Но зачем входящие SSH перенаправлять на Гугловский DNS???
Я тоже не понял, зачем 22 порт форвадить на 53 гугл?! Я так же пользуюсь ufw просто он уже есть обычно в ubuntu на vps, разрешаю 80 и 443 порт и все, vpn в последнее время не работает, только прокси, а там форвард не нужно, все прячу за haproxy, ssh тоже, а для стороннего наблюдателя там черт ногу сломит, все скрыто за https, ssh через websocket, чтоб его не идентифицировали. И я haproxy использую как фаервол, подгружаю списки разрешённых ip или запрещённых.
Спасибо за ваши мысли, мне понравилось. По поводу третьего пункта, я работаю в локальной сети и мне это нужно для экзамена, но я с вами согласен. Спасибо!
UFW не настраивает iptables. Iptables - это всего лишь консольная утилита управления межсетевым экраном netfilter, как наверное и nftables (с ним пока не знаком, если не прав - меня поправят). А то у вас получается, что одна утилита управляет другой утилитой, которая управляет netfilter.
iptables-save iptables-restore
И смысл тогда в этом ufw, если вы в итоге пишете правила в формате iptables. Чего сразу iptables не использовать, зачем эта лишняя прокладка?
Ну и сам iptables давно считается устаревшим, и по факту, если мы не говорим о legacy версии, является такой же прокладкой для nftables. Так почему бы не писать правила сразу для nftables, зачем эти лишние преобразования?
Настройка форвардинга на UFW для Ubuntu Server