Bagaimana cara mengaktifkan ufw firewall untuk memungkinkan respons icmp?

21

Saya memiliki serangkaian server Ubuntu 10,04 dan masing-masing memiliki ufw firewall diaktifkan. Saya telah mengizinkan port 22 (untuk SSH) dan 80 (jika itu server web). Pertanyaan saya adalah bahwa saya mencoba untuk mengaktifkan respon echo icmp (ping reply).

Fungsi ICMP berbeda dari protokol lain - Saya tahu ini di bawah level IP dalam arti teknis. Anda bisa saja mengetik sudo ufw allow 22, tetapi Anda tidak bisa mengetiksudo ufw allow icmp

10.04  server  firewall 
Jeremy Hajek
sumber

Jawaban:

17

ufw tidak mengizinkan menentukan aturan icmp melalui perintah antarmuka baris perintah. Itu memungkinkan Anda untuk menyesuaikan aturan Anda melalui file aturannya, yang merupakan file gaya iptables-restore.

ufw mengizinkan trafik icmp tertentu secara default termasuk balasan gema icmp, dan ini sudah dikonfigurasi secara default di /etc/ufw/before.rules:

-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT

Jika host Anda tidak merespons ping, lihat di file ini untuk memastikan baris di atas ada dan jika itu tidak berhasil, lihat host ping dan firewall apa pun di antara mereka.

jdstrand
sumber
3
tidak berfungsi untuk saya: 11.04 server.how saya bisa memecahkan masalah ini?
pylover
Apakah perlu reset atau sesuatu seperti itu?
Amir Karimi
1
@AmirKarimi sudo ufw reload(dan untuk memungkinkan permintaan ping aku harus menambahkan -A ufw-before-output -p icmp --icmp-type echo-request -j ACCEPTdi /etc/ufw/before.rules)
baptx
2

Untuk Ubuntu 18.04, Anda harus memiliki aturan berikut di file /etc/ufw/before.rules Anda :

# ok icmp codes for INPUT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type source-quench           -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded           -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem       -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request            -j ACCEPT

# ok icmp code for FORWARD
-A ufw-before-forward -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type source-quench           -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type time-exceeded           -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type parameter-problem       -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type echo-request            -j ACCEPT

Ini ada di file default saya.

Tentu saja, pastikan ini benar-benar masalahnya. Masalah saya adalah bahwa komputer saya memblokir ping keluar ke jaringan di mana server saya mencoba untuk ping ada. Saya akhirnya menggunakan situs web yang sudah keluar di internet untuk melakukan ping untuk saya (misalnya https://ping.eu/ping/ ).

hoadlck
sumber
0

Tambahkan berikut ini ke file /etc/ufw/before.rules:

# allow outbound icmp
-A ufw-before-output -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A ufw-before-output -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT

Setelah mengedit file, jalankan perintah:

sudo ufw reload
pengguna3801989
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.