Come abilitare il firewall ufw per consentire la risposta icmp?

21

Ho una serie di server Ubuntu 10.04 e ognuno ha abilitato il firewall uw. Ho consentito la porta 22 (per SSH) e 80 (se è un server web). La mia domanda è che sto cercando di abilitare la risposta echo icmp (risposta ping).

ICMP funziona in modo diverso rispetto ad altri protocolli: so che è sotto il livello IP in senso tecnico. Puoi semplicemente digitare sudo ufw allow 22, ma non puoi digitaresudo ufw allow icmp

10.04  server  firewall 
Jeremy Hajek
fonte

Risposte:

17

ufw non consente di specificare le regole icmp tramite il comando dell'interfaccia della riga di comando. Ti consente di adattare il tuo set di regole tramite i suoi file di regole, che sono file di stile iptables-restore.

ufw consente un certo traffico icmp di default inclusa la risposta echo icmp, e questo è già configurato di default in /etc/ufw/before.rules:

-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT

Se il tuo host non risponde al ping, controlla questo file per assicurarti che la riga sopra sia presente e se non funziona, guarda l'host del ping e tutti i firewall tra di loro.

jdstrand
fonte
3
non funziona per me: 11.04 server. come posso risolvere questo problema?
pylover il
Ha bisogno di un reset o qualcosa del genere?
Amir Karimi,
1
@AmirKarimi sudo ufw reload(e per consentire le richieste di ping ho dovuto aggiungere -A ufw-before-output -p icmp --icmp-type echo-request -j ACCEPTa /etc/ufw/before.rules)
baptx
2

Per Ubuntu 18.04, dovresti avere le seguenti regole nel tuo file /etc/ufw/before.rules :

# ok icmp codes for INPUT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type source-quench           -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded           -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem       -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request            -j ACCEPT

# ok icmp code for FORWARD
-A ufw-before-forward -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type source-quench           -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type time-exceeded           -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type parameter-problem       -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type echo-request            -j ACCEPT

Questi erano nel mio file predefinito.

Certo, assicurati che questo sia davvero il problema. Il mio problema era che il mio computer stava impedendo ai ping di uscire dalla rete dove esisteva il server che cercavo di eseguire il ping. Ho finito per usare un sito web che era già su Internet per fare il ping per me (es. Https://ping.eu/ping/ ).

hoadlck
fonte
0

Aggiungi quanto segue al file /etc/ufw/before.rules:

# allow outbound icmp
-A ufw-before-output -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A ufw-before-output -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT

Dopo aver modificato il file, eseguire il comando:

sudo ufw reload
user3801989
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.