[ubuntu-jp:6346] Re: miniONE(OpenNebula)とufw
Nobuto Murata
nobuto @ nobuto-murata.org
2020年 8月 25日 (火) 15:15:29 UTC
2020年8月25日(火) 22:50 Toshiaki Koike <t-k @ dive2.blue>:
> 小池です。
> いろいろ試しましたが、
>
> sudo ufw reset
> ufw default allow
> sudo ufw enable
>
> と、ほぼ無意味なほどの設定にしても仮想マシンからapt-updateでarchive.ubuntu.com:80
> に接続できないので、ufwがenableの環境では動作しなさそうです。
>
その3つのコマンドだけ実行すると、以下のようにincomingとoutgoingが全許可の状態、routed/forwardedは許可されていない状態になります。
$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: allow (incoming), allow (outgoing), deny (routed)
New profiles: skip
本当に全部を許可した状態のテストをするなら、
ufw default allow routed
で試してみるぐらいでしょうか。
>
>
>
> 2020-08-23 (日) の 20:24 +0900 に Toshiaki Koike さんは書きました:
>
> 小池です。
>
> 自宅で運用しているUbuntu 18.04 ServerにてminiONE(OpenNebula)を試していたのですが、うまくいかないなあと思って試行錯誤してました。
>
> うまくいかなかったのは、仮想マシンを作ったあとで、SSHログインして、
>
> ・名前解決が出来ない
>
> ・ホストにDNSサーバをたてて(Unboundを使おうとしたら、miniONEがdnsmasqをセットアップしてたので、そちらを使用)ufwでport 53を開放したら名前解決できた。
>
> ・sudo apt update && sudo apt -y upgradeでarchive.ubuntu.com:80に接続できず
>
>
> 最後の原因はufwで、22,53,80,443,Samba以外のポートを閉じていたことが問題だったようで、
> [UFW BLOCK] IN=minionebr OUT=enp1s0 PHYSIN=one-2-0
> MAC=a6:4d:d1:b9:25:26:02:00:ac:10:64:03:08:00 SRC=172.16.100.3
> DST=91.189.89.199 LEN=76 TOS=0x10 PREC=0x00 TTL=63 ID=62480 DF PROTO=UDP
> SPT=54907 DPT=123 LEN=56
> みたいなログが出まくっていたので、いったんufw disableにしたらうまくいいきました。
>
> どのみちルータの内側にあり、ポートマッピングで外からのアクセスは80,443とカスタムSSHポート以外は遮断しているので、このままufw
> disableのままでもさほどセキュリティ的に問題が大きくなるわけでもないのですが、それでもまあufwはenableにしておきたく、
>
> sudo ufw allow in on minionebr
> sudo ufw allow from 172.16.100.0/24
>
> みたいな設定をufwの先頭に追加してみたのですが、それでも、ufw enableにするとブロックされます。
> なにかおすすめのufwの設定ってあるでしょうか?
>
> ちなみに仮想マシンからのアクセスでブロックされたポートは、DSPのほうは、123,
> 80,443,5030ですが、SPTのほうは40000〜50000台で捕捉しきれません。
>
> --
>
>
> -------------------------------------------------
> 小池利明
> t-k @ dive2.blue
> Toshiaki Koike
> -------------------------------------------------
>
> --
>
> -------------------------------------------------
> 小池利明
> t-k @ dive2.blue
> Toshiaki Koike
> -------------------------------------------------
>
--
Nobuto Murata / 村田信人
-------------- next part --------------
HTMLの添付ファイルを保管しました...
URL: <https://lists.ubuntu.com/archives/ubuntu-jp/attachments/20200826/2269abb9/attachment.html>
ubuntu-jp メーリングリストの案内