我安装了 Ubuntu 16.04 和 OpenVPN,似乎运行良好。但是当我使用“sudo ufw status”检查防火墙规则时,我看到了以下内容:
Status: active
至 操作 从 -- ------ ---- 80 允许 任何地方
443 允许 任何地方
53 允许 任何地方
465 允许 任何地方
25 允许 任何地方
110 允许 任何地方
995 允许 任何地方
143 允许 任何地方
993 允许 任何地方
10025 允许 任何地方
10024 允许 任何地方
80 (v6) 允许 任何地方 (v6)
443 (v6) 允许 任何地方 (v6)
53 (v6) 允许 任何地方 (v6)
465 (v6) 允许 任何地方 (v6)
25 (v6) 允许 任何地方 (v6)
110 (v6) 允许 任何地方 (v6)
995 (v6) 允许 任何地方 (v6)
143 (v6) 允许 任何地方 (v6)
993 (v6)允许任何地方 (v6)
10025 (v6) 允许任何地方 (v6)
10024 (v6) 允许任何地方 (v6)
根本没有提到端口 1194!但我使用 netstat 命令“root@mail:~# netstat -anlp |grep 1194”,我得到了以下信息:
udp 0 0 0.0.0.0:1194 0.0.0.0:* 1142/openvpn
另外我还有这个文件,它是由这里的 OpenVPN 脚本 /etc/systemd/system/openvpn-iptables.service 创建的,我在里面看到了以下内容:
[Unit]
Before=network.target
[Service]
Type=oneshot
ExecStart=/sbin/iptables -t nat -A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to xx.249.16.253
ExecStart=/sbin/iptables -I INPUT -p udp --dport 1194 -j ACCEPT
ExecStart=/sbin/iptables -I FORWARD -s 10.8.0.0/24 -j ACCEPT
ExecStart=/sbin/iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
ExecStop=/sbin/iptables -t nat -D POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to xx.249.16.253
ExecStop=/sbin/iptables -D INPUT -p udp --dport 1194 -j ACCEPT
ExecStop=/sbin/iptables -D FORWARD -s 10.8.0.0/24 -j ACCEPT
ExecStop=/sbin/iptables -D FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
RemainAfterExit=yes
[Install]
WantedBy=multi-user.target
所以我的问题是...如果端口 1194 是开放的(是吗?)有了这些 IPTABLES 规则,为什么我在 ufw 状态中看不到它?
答案1
我预计混乱将会发生,因为您同时使用 UFW 和 IPTABLES。UFW 是 iptables 的前端,但如果您在其外部添加规则,我预计它无法识别这些规则。
因此,您看不到注入来处理 OpenVPN 连接的 iptables 规则。
我希望如果你列出 iptables 规则,你会看到它们。尝试
/sbin/iptables -vnL
显示 IPTables 和 UFW 规则(但以 IPTABLES 形式)