为什么 ufw 允许所有 IP 都允许,而只允许单个 IP

tag-icon tag-icon iptables ufw
为什么 ufw 允许所有 IP 都允许,而只允许单个 IP

我正在尝试将 Web 服务器连接到媒体服务器,然后在媒体服务器上,我想向 Web 服务器特定的 IP 地址开放端口 1935、1936 和 5080。

使用以下 UFW 命令,我打开/允许了 Web 服务器 IP 地址的端口。

sudo ufw allow from 127.154.145.29 to any port 5080
sudo ufw allow from 127.154.145.29 to any port 1935
sudo ufw allow from 127.154.145.29 to any port 1936

问题是这些命令会为所有 IP 打开端口,因为它会创建另一条规则。运行这些命令后,“sudo ufw status”显示的内容如下:

我当前的防火墙状态是:

1935                       ALLOW       Anywhere
1936                       ALLOW       Anywhere
5080                       ALLOW       Anywhere
5080                       ALLOW       127.154.145.29
1935                       ALLOW       127.154.145.29
1936                       ALLOW       127.154.145.29
1935 (v6)                  ALLOW       Anywhere (v6)
1936 (v6)                  ALLOW       Anywhere (v6)
5080 (v6)                  ALLOW       Anywhere (v6)

在媒体服务器上,当我运行 nmap 127.0.0.1 时,我得到

root:~$ nmap 127.0.0.1

PORT     STATE SERVICE
25/tcp   open  smtp
1935/tcp open  rtmp
5080/tcp open  onscreen
9999/tcp open  abyss

或者使用 nmap 后跟我获取的媒体服务器的 IP:

root:~$ nmap 131.245.111.219

PORT   STATE SERVICE
80/tcp open  http

如果我使用命令“sudo ufw denied 5080 1935 or 1936”,端口将关闭,并且 Web 服务器无法连接。

你知道我这里遗漏了什么吗?

谢谢你尽你所能的帮助。

PS:当然这也反映在IP表中

ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:1935
ACCEPT     udp  --  anywhere             anywhere             udp dpt:1935
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:1936
ACCEPT     udp  --  anywhere             anywhere             udp dpt:1936
ACCEPT     ​tcp  --  anywhere             anywhere             tcp dpt:5080
ACCEPT     ​udp  --  anywhere             anywhere             udp dpt:5080
ACCEPT     tcp  --  29.ip-127-154-145.eu  anywhere             tcp dpt:5080
ACCEPT     udp  --  29.ip-127-154-145.eu  anywhere             udp dpt:5080
ACCEPT     tcp  --  29.ip-127-154-145.eu  anywhere             tcp dpt:1935
ACCEPT     udp  --  29.ip-127-154-145.eu  anywhere             udp dpt:1935
ACCEPT     tcp  --  29.ip-127-154-145.eu  anywhere             tcp dpt:1936
ACCEPT     udp  --  29.ip-127-154-145.eu  anywhere             udp dpt:1936

根据以下 2 个回答提供的其他信息

我已经按照上述提示操作了,现在 ufw 状态是:

5080                       ALLOW IN    127.154.145.29
1935                       ALLOW IN    127.154.145.29
1936                       ALLOW IN    127.154.145.29

Iptables 参考如下:

Chain ufw-user-input (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  127.154.145.29        0.0.0.0/0            tcp dpt:5080
ACCEPT     udp  --  127.154.145.29        0.0.0.0/0            udp dpt:5080
ACCEPT     tcp  --  127.154.145.29        0.0.0.0/0            tcp dpt:1935
ACCEPT     udp  --  127.154.145.29        0.0.0.0/0            udp dpt:1935
ACCEPT     tcp  --  127.154.145.29        0.0.0.0/0            tcp dpt:1936
ACCEPT     udp  --  127.154.145.29        0.0.0.0/0            udp dpt:1936

但仍然无法与 127.154.145.29 网络服务器建立连接。

我假设目标是媒体服务器本身上的任意一个?

网络服务器本身打开的唯一端口是 80,但是当我在网络服务器上打开 5080、1935 和 1936 时,没有任何区别。

关于 mook 765 上面提到的内容,我尝试添加 IP 地址而不是 ANY,但不起作用。但我发现 ANY 是协议,而不是 IP 点。

任何其他建议都可以帮助我解决此问题。

非常感谢

相关内容