处理这个问题已经有一段时间了。UFW 似乎只能阻止大部分流量,因为根据我所做的 PCAP,响应会被接受。在下面的示例中,流量来自系统,返回被 UFW 标记为阻止。我概述的规则是尝试查看添加匹配返回流量的规则是否会让它允许它。但它不会
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
32768:60999/tcp ALLOW IN 10050/tcp
日志文件:(大量的条目,但它们看起来都像下面这行)
Nov 11 11:20:38 nms kernel: [54047.242636] [UFW BLOCK] IN=enp2s0 SRC=172.20.20.4 DST=10.10.3.2 LEN=40 TOS=0x00 PREC=0x00 TTL=62 ID=0 DF PROTO=TCP SPT=10050 DPT=57084 WINDOW=0 RES=0x00 RST URGP=0
在应用程序(zabbix)内部,它没有将任何远程主机标记为不可访问,这证实了在我运行的一些 pcap 中建立了连接。
下面是允许的 TCP 连接的捕获。
我不明白为什么 UFW 有时会允许这种返回流量,有时会阻止这种返回流量。我尝试过重新加载 fw、重置并重新应用规则、重新安装 ufw 包,然后重新启动系统。
答案1
我的猜测是,源端口有时在定义的范围内,32768:60999/tcp有时不在。
因此,要么:
允许整个范围如下:
1024:65535或者尝试将通信切换到 zabbix 主动代理,其中代理首先连接到服务器,然后只
10051需要在防火墙上允许端口