De ce se blochează SSH când utilizați următoarele reguli nftables?

sunknudsen

07.05.2023, 22:17

$ cat /etc/nftables.conf
#!/usr/sbin/nft -f

set de reguli de culoare

firewall ip de masă {
  intrare în lanț {
    tip filtru cârlig intrare filtru prioritar; scăderea politicii;
    dacă "lo" accept
    iif != "lo" ip daddr 127.0.0.0/8 drop
    tcp dport 22 accept
    ct stat stabilit, înrudit accepta
  }

  lanț înainte {
    tip filtru cârlig înainte filtru prioritar; scăderea politicii;
  }

  ieșire în lanț {
    tip filtru cârlig ieșire filtru prioritar; scăderea politicii;
    dacă "lo" accept
    udp dport { 53, 123 } accept
    tcp dport { 53, 80, 443 } accept
    ct stat stabilit, înrudit accepta
  }
}

Conexiunea funcționează în cele din urmă, dar durează mult mai mult decât era anticipat.

Alergare journalctl -f, Înțeleg systemd[1]: Nu s-a pornit User Manager pentru UID 1000 înainte de stabilirea definitivă a conexiunilor.

Dacă fug set de reguli nft flush, conexiunea funcționează imediat.

234

0 + 0

nftables

sunknudsen

08.05.2023, 11:59

Am găsit problema... greșeală de scriere în „ieșire în lanț”. `iif "lo" accept` ar trebui să fie `oif "lo" accept`.

Răspunde

djdomi

08.05.2023, 12:21

dacă acceptați ssh doar pentru localhost, adică la nivel local, de ce nu legați ssh la localhost?

Răspunde

Puncte:0

Server

sunknudsen

08.05.2023, 12:18

Am găsit problema... greșeală de scriere ieșire în lanț. dacă "lo" accept ar trebui să fie oif "lo" accept.

0 + 0

Puncte:0

Server

Tomek

08.05.2023, 11:52

Pentru conexiunile de intrare TOATE pachetele externe de intrare corespund acestei reguli:

iif != "lo" ip daddr 127.0.0.0/8 drop

deoarece vin pe o interfață care nu este o buclă locală și adresa lor de destinație cu siguranță nu este în rețeaua 127.0.0.0/8. Sunt surprins că trece chiar și după o perioadă de timp expirată, cu excepția cazului în care aveți și IPv6 în funcțiune.

Pentru toate conexiunile de ieșire inițiate local, care nu sunt DNS, NTP, HTTP și HTTPS - acestea ating politica de eliminare a lanțului de ieșire. Din nou - nu ar trebui să funcționeze deloc decât dacă aveți și IPv6 în funcțiune.

0 + 0

sunknudsen

08.05.2023, 12:00

Mulțumesc pentru ajutor. Am găsit o problemă, vezi comentariile.

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Why does SSH hang when using following nftables rules?

TH: เหตุใด SSH จึงหยุดทำงานเมื่อใช้กฎ nftables ต่อไปนี้

RO: De ce se blochează SSH când utilizați următoarele reguli nftables?

RU: Почему SSH зависает при использовании следующих правил nftables?

VI: Tại sao SSH bị treo khi sử dụng các quy tắc nftables sau?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.