ti-enxame.com

Como habilitar o firewall ufw para permitir a resposta icmp?

Eu tenho uma série de servidores Ubuntu 10.04 e cada um tem o firewall ufw ativado. Eu permiti a porta 22 (para SSH) e 80 (se é um servidor web). Minha pergunta é que estou tentando ativar a resposta de eco icmp (resposta de ping).

O ICMP funciona de maneira diferente de outros protocolos - sei que está abaixo do nível de IP em um sentido técnico. Você pode simplesmente digitar Sudo ufw allow 22, mas não pode digitar Sudo ufw allow icmp

21
Jeremy Hajek

o ufw não permite especificar regras icmp por meio do comando da interface da linha de comandos. Ele permite que você ajuste seu conjunto de regras por meio de seus arquivos de regras, que são arquivos de estilo de restauração do iptables.

o ufw permite certos tipos de tráfego icmp por padrão, incluindo o icmp echo reply, e isso já está configurado por padrão em /etc/ufw/before.rules:

-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT

Se o seu Host não estiver respondendo ao ping, examine este arquivo para certificar-se de que a linha acima esteja presente e, se isso não funcionar, observe o host de ping e qualquer firewall entre eles.

17
jdstrand

Para o Ubuntu 18.04, você deve ter as seguintes regras no seu arquivo /etc/ufw/before.rules :

# ok icmp codes for INPUT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type source-quench           -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded           -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem       -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request            -j ACCEPT

# ok icmp code for FORWARD
-A ufw-before-forward -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type source-quench           -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type time-exceeded           -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type parameter-problem       -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type echo-request            -j ACCEPT

Estes estavam no meu arquivo padrão.

Claro, tenha certeza de que este é realmente o problema. Meu problema era que meu computador estava bloqueando pings de sair para a rede onde existia o servidor que eu estava tentando ping. Acabei usando um site que já estava na internet para fazer o ping para mim (por exemplo, https://ping.eu/ping/ ).

2
hoadlck

Aqui está um documento de ajuda que discute como habilitar/desabilitar respostas ping e al.

ajuda do UFW

0
Casey Keller

Adicione o seguinte ao arquivo /etc/ufw/before.rules:

# allow outbound icmp
-A ufw-before-output -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A ufw-before-output -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT

Depois de editar o arquivo, execute o comando:

Sudo ufw reload
0
user3801989