我有与此处描述的相同的问题,但是给出的解决方案对我来说不起作用:
当我添加规则ufw deny out to any并将端口添加80, 443/tcp, ssh-port为例外,然后添加时,iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT我仍然无法使用 apt-get update 或类似的东西。
root@iof304:~# ufw status 状态:活跃
To Action From
-- ------ ----
22 DENY Anywhere
80 ALLOW Anywhere
(ssh) LIMIT Anywhere
22 DENY Anywhere (v6)
80 ALLOW Anywhere (v6)
(ssh) ALLOW Anywhere (v6)
(ssh) ALLOW OUT Anywhere
Anywhere DENY OUT Anywhere
80 ALLOW OUT Anywhere
443/tcp ALLOW OUT Anywhere
(ssh) ALLOW OUT Anywhere (v6)
Anywhere (v6) DENY OUT Anywhere (v6)
80 ALLOW OUT Anywhere (v6)
443/tcp ALLOW OUT Anywhere (v6)
现在,我将删除ufw deny out to any(这样,一切都正常工作)但我想尽可能地限制一切,所以我可能需要知道的是,使用的端口是apt-get- 它们必须是OUT端口,因为只deny out to any阻止所有内容,但apt-get在禁用该规则的情况下下载东西似乎没有问题(这是否表明其他IN端口没有被阻止?)
提前致谢
答案1
这些规则帮助我成功获得 SSH 的速率限制,允许进出 http 和 https,启用 git,并使 apt 和 aptitude 正常工作:
ufw default deny incoming
ufw default deny outgoing
ufw limit ssh
ufw allow svn
ufw allow git
ufw allow out http
ufw allow in http
ufw allow out https
ufw allow in https
ufw allow out 53
ufw logging on
ufw enable
笔记:我确实制定了这些规则,ufw reset以便重新开始。
答案2
我找到了答案:
需要打开端口 53,用于 DNS
端口 123 似乎也是个好主意
端口参考: http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
答案3
答案4
这对我有用(Ubuntu 20.04):
ufw allow 80/tcp
ufw allow 443/tcp
ufw allow 53/udp
ufw allow out 80/tcp
ufw allow out 443/tcp
ufw allow out 53/udp