Недавно я добавил некоторые правила в GUFW, чтобы убедиться, что разрешено устанавливать только мое (личное) VPN-соединение, xxxx - это мой ip, yyyy - это IP-адрес моей VPN, к которому я подключаюсь.

До - Действие - От

гггг РАЗРЕШИТЬ ХХХХ

Везде ДЕНЬ ВНЕ ХХХХ

До сих пор все работало нормально: ничего не могло пройти, кроме моего VPN-соединения, через которое все проходило бы через него. Интернет, все работает.

Я хочу сканировать хост (tttt) в моей домашней сети, чтобы определить его. Поэтому я пытаюсь сделать Syn Scan с помощью Nmap:

sudo nmap tttt -sS -v

Однако кажется, что брандмауэр блокирует зонды, как я получаю это:

sendto in send_ip_packet_sd: sendto(5, package, 44, 0, tttt, 16) => Операция не разрешена

Поэтому я добавил это правило:

xx0.0/16 РАЗРЕШИТЬ НА XXXX

Странно, но я все еще получаю ту же ошибку, даже если я использую маску /24. Деактивация брандмауэра делает свое дело, но я ищу там реальное решение.

Любая подсказка, в чем может быть проблема? Благодарю.

Решено : порядок правил iptables очень важен. Поскольку gufw является его упрощением, мне пришлось изменить порядок правил. Во-первых, вы позволяете интерфейсу взаимодействовать с подсетью, а затем отказываетесь от интерфейса связи с остальным миром. Теперь я могу пропинговать, сканировать и т.д. Подсеть, а остальная часть интернета блокируется, если я не использую VPN: пинги, сканирование ... не могут выходить наружу.

1 ответ1

0

Как я уже сказал в моей редакции, порядок правил очень важен.

Даже для gufw, вы должны принять это во внимание. Итак, чтобы сделать то, что я намеревался сделать:

Сначала вы разрешаете интерфейсу взаимодействовать с подсетью (xx0.0/16), а затем отказываетесь от связи с остальным миром.

Я изменил порядок, не зная, какое правило будет принято во внимание в первую очередь.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .