файервол ufw

Olej писал(а): ↑
04 апр 2023, 09:39
И в завершение снова подымаем файервол, как был:

Но этого мало

olej@R420:~/2023/SOCKS5$ telnet 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771 80
Trying 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771...
telnet: Unable to connect to remote host: Connection timed out

Но:

Код: Выделить всё

olej@R420:~/2023/SOCKS5$ telnet 90.156.230.27 80
Trying 90.156.230.27...
Connected to 90.156.230.27.
Escape character is '^]'.
^]
telnet> Connection closed.

А это, 221:58c9:9a6:99be:f3d:c1ac

9771 и 90.156.230.27 - это один хост, но разные интерфейсы

Код: Выделить всё

olej@277938:~$ ip a s
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 2e:49:10:b4:b2:02 brd ff:ff:ff:ff:ff:ff
    inet 90.156.230.27/24 brd 90.156.230.255 scope global dynamic eth0
       valid_lft 60115sec preferred_lft 60115sec
    inet6 fe80::2c49:10ff:feb4:b202/64 scope link 
       valid_lft forever preferred_lft forever
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 53049 qdisc pfifo_fast state UNKNOWN group default qlen 500
    link/none 
    inet6 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771/7 scope global 
       valid_lft forever preferred_lft forever
    inet6 fe80::d86f:9577:d828:cb4d/64 scope link stable-privacy 
       valid_lft forever preferred_lft forever

Olej писал(а): ↑
04 апр 2023, 19:39
Но:

Делаю:

Код: Выделить всё

olej@277938:~$ sudo ufw disable
Firewall stopped and disabled on system startup

Код: Выделить всё

olej@277938:~$ sudo ufw status
Status: inactive

И telnet на 80 порт пошёл:

Код: Выделить всё

olej@R420:~/2023/SOCKS5$ telnet 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771 80
Trying 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771...
Connected to 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771.
Escape character is '^]'.
^]
telnet> Connection closed.

Опять подымаю фаервол:

Код: Выделить всё

olej@277938:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup

И IPv6 трафик на TCP порт 80 обламывается.
Но ping (ICMP) на хост замечательно идёт:

Код: Выделить всё

olej@R420:~/2023/EmerCoin$ ping -c3 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771
PING 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771(221:58c9:9a6:99be:f3d:c1ac:2b5b:9771) 56 data bytes
64 bytes from 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771: icmp_seq=1 ttl=64 time=122 ms
64 bytes from 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771: icmp_seq=2 ttl=64 time=119 ms
64 bytes from 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771: icmp_seq=3 ttl=64 time=118 ms

--- 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 118.052/119.637/121.897/1.640 ms

Olej писал(а): ↑
04 апр 2023, 19:46
И IPv6 трафик на TCP порт 80 обламывается.
Но ping (ICMP) на хост замечательно идёт:

А раз это так, то значит правила ufw работающие для IPv4 не работают для IPv6 ... точнее для нового интерфейса IPv6.
А раз так, то добавляю такое правило:

Код: Выделить всё

root@277938:/etc/ufw# sudo ufw allow in on tun0 to any port 80
Rule added
Rule added (v6)

Код: Выделить всё

root@277938:/etc/ufw# ufw status numbered
Status: active

     To                         Action      From
     --                         ------      ----
[ 1] OpenSSH                    ALLOW IN    Anywhere
[ 2] WWW Full                   ALLOW IN    Anywhere
[ 3] SMTP                       ALLOW OUT   Anywhere                   (out)
[ 4] 6666                       ALLOW IN    Anywhere
[ 5] 6665                       ALLOW IN    Anywhere
[ 6] 8080                       ALLOW IN    Anywhere
[ 7] 10050                      ALLOW IN    Anywhere
[ 8] 1080                       ALLOW IN    Anywhere
[ 9] 80 on tun0                 ALLOW IN    Anywhere
[10] 80 (v6) on tun0            ALLOW IN    Anywhere (v6)

И в итоге (при работающем ufw):

Код: Выделить всё

olej@R420:~/2023/SOCKS5$ telnet 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771 80
Trying 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771...
Connected to 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771.
Escape character is '^]'.
^]
telnet> Connection closed.

То что и требовалось.

Olej писал(а): ↑
04 апр 2023, 20:12
То что и требовалось.

Но для полноты ощущений

:

Код: Выделить всё

root@277938:/etc/ufw# ufw allow in on tun0 to any port 8080
Rule added
Rule added (v6)

Код: Выделить всё

root@277938:/etc/ufw# ufw allow in on tun0 to any port 443
Rule added
Rule added (v6)

Код: Выделить всё

root@277938:/etc/ufw# ufw allow in on tun0 to any port 1080
Rule added
Rule added (v6)

Код: Выделить всё

root@277938:/etc/ufw# ufw show added
Added user rules (see 'ufw status' for running firewall):
ufw allow OpenSSH
ufw allow 'WWW Full'
ufw allow out SMTP
ufw allow 6666
ufw allow 6665
ufw allow 8080
ufw allow 1080
ufw allow in on tun0 to any port 80
ufw allow in on tun0 to any port 8080
ufw allow in on tun0 to any port 443
ufw allow in on tun0 to any port 1080

Olej писал(а): ↑
04 апр 2023, 20:29
Но для полноты ощущений

Проверяем на коннект:

Код: Выделить всё

olej@R420:~/2023/SOCKS5$ telnet 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771 80
Trying 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771...
Connected to 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771.
Escape character is '^]'.
^]
telnet> Connection closed.

Код: Выделить всё

olej@R420:~/2023/SOCKS5$ telnet 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771 8080
Trying 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771...
telnet: Unable to connect to remote host: Connection refused

Здесь просто никакой сервер сейчас не работает.

Код: Выделить всё

olej@R420:~/2023/SOCKS5$ telnet 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771 1080
Trying 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771...
Connected to 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771.
Escape character is '^]'.
^]
telnet> Connection closed.

Код: Выделить всё

olej@R420:~/2023/SOCKS5$ telnet 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771 443
Trying 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771...
Connected to 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771.
Escape character is '^]'.
^]
telnet> Connection closed.

На первое время хватит...

Olej писал(а): ↑
04 апр 2023, 20:47
Проверяем на коннект:

И как вишенка на торте:

Код: Выделить всё

olej@R420:~/2023/SOCKS5$ host ygg.linux-ru.lib
ygg.linux-ru.lib has IPv6 address 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771

Это IPv6 + да ещё в альтернативной доменной группе .lib, разрешаемой через Emercoin...
Але-е-е-е-е ... Оп

: Снимок экрана от 2023-04-04 23-38-10.png (146.59 КБ) 329 просмотров

Olej писал(а): ↑
04 апр 2023, 20:47
На первое время хватит...

SSH через IPv6:

Код: Выделить всё

olej@R420:~$ ssh 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771
ssh: connect to host 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771 port 22: Connection timed out

Такое поведение всегда характерно когда файервол отражает запрос

На сервере (зайдя по SSH IPv4):

Код: Выделить всё

oot@277938:~# sudo ufw allow in on tun0 to any port 22
Rule added
Rule added (v6)

Код: Выделить всё

root@277938:~# ufw status numbered
Status: active
    
     To                         Action      From
     --                         ------      ----
[ 1] OpenSSH                    ALLOW IN    Anywhere
[ 2] WWW Full                   ALLOW IN    Anywhere
[ 3] SMTP                       ALLOW OUT   Anywhere                   (out)
[ 4] 6666                       ALLOW IN    Anywhere
[ 5] 6665                       ALLOW IN    Anywhere
[ 6] 8080                       ALLOW IN    Anywhere
[ 7] 1080                       ALLOW IN    Anywhere
[ 8] 10050/tcp                  ALLOW IN    Anywhere
[ 9] 22 on tun0                 ALLOW IN    Anywhere
[10] 80 (v6) on tun0            ALLOW IN    Anywhere (v6)
[11] 8080 (v6) on tun0          ALLOW IN    Anywhere (v6)
[12] 443 (v6) on tun0           ALLOW IN    Anywhere (v6)
[13] 10050/tcp (v6)             ALLOW IN    Anywhere (v6)
[14] 22 (v6) on tun0            ALLOW IN    Anywhere (v6)

Olej писал(а): ↑
06 май 2023, 13:07
SSH через IPv6:

Теперь:

Код: Выделить всё

olej@R420:~$ ssh 221:58c9:9a6:99be:f3d:c1ac:2b5b:9771
The authenticity of host '221:58c9:9a6:99be:f3d:c1ac:2b5b:9771 (221:58c9:9a6:99be:f3d:c1ac:2b5b:9771)' can't be established.
ED25519 key fingerprint is SHA256:tUEdyliSRcHZzp1T6ds7GmMI6L0EBXy95rAXPMoXEic.
This host key is known by the following other names/addresses:
    ~/.ssh/known_hosts:57: [hashed name]
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '221:58c9:9a6:99be:f3d:c1ac:2b5b:9771' (ED25519) to the list of known hosts.
olej@221:58c9:9a6:99be:f3d:c1ac:2b5b:9771's password: 
Permission denied, please try again.
olej@221:58c9:9a6:99be:f3d:c1ac:2b5b:9771's password: 
Linux 277938.local 4.19.0-23-amd64 #1 SMP Debian 4.19.269-1 (2022-12-20) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Sat May  6 12:43:29 2023 from 193.28.177.65

И проверяем на подключенном сеансе сервера - какие там он зафиксировао сеансы:

Код: Выделить всё

olej@277938:~$ who
olej     tty1         2023-03-29 11:16
olej     pts/0        2023-05-06 12:43 (193.28.177.65)
olej     pts/2        2023-05-06 12:43 (193.28.177.65)
olej     pts/3        2023-05-06 13:01 (21d:8a7c:aafa:f346:8115:14aa:9ca4:cd7f)

Linux-ru