[ubuntu-jp:6347] Re: miniONE(OpenNebula)とufw

Toshiaki Koike t-k @ dive2.blue
2020年 8月 26日 (水) 00:58:42 UTC 

たしかにufwで設定する以前のforward設定しないとダメのようでした。/etc/ufw/before.rulesに、-A FORWARD
-d 172.16.100.0/24 -j ACCEPT-A FORWARD -s 172.16.100.0/24 -j
ACCEPTを書けばufw enableの状態で、仮想マシンからapt update通りました。
2020-08-26 (水) の 00:15 +0900 に Nobuto Murata さんは書きました:
> 2020年8月25日(火) 22:50 Toshiaki Koike <t-k @ dive2.blue>:
> > 小池です。
> > いろいろ試しましたが、
> > 
> > sudo ufw reset
> > 
> > ufw default allow
> > 
> > sudo ufw enable
> > 
> > 
> > と、ほぼ無意味なほどの設定にしても仮想マシンからapt-
> > updateでarchive.ubuntu.com:80に接続できないので、ufwがenableの環境では動作しなさそうです。
> 
> その3つのコマンドだけ実行すると、以下のようにincomingとoutgoingが全許可の状態、routed/forwardedは許可され
> ていない状態になります。
> $ sudo ufw status verbose
> Status: active
> Logging: on (low)
> Default: allow (incoming), allow (outgoing), deny (routed)
> New profiles: skip
> 
> 本当に全部を許可した状態のテストをするなら、ufw default allow routedで試してみるぐらいでしょうか。
>  
> > 
> > 
> > 2020-08-23 (日) の 20:24 +0900 に Toshiaki Koike さんは書きました:
> > > 小池です。自宅で運用しているUbuntu 18.04
> > > ServerにてminiONE(OpenNebula)を試していたのですが、うまくいかないなあと思って試行錯誤してました。うまくい
> > > かなかったのは、仮想マシンを作ったあとで、SSHログインして、・名前解決が出来ない・ホストにDNSサーバをたてて(Unboundを
> > > 使おうとしたら、miniONEがdnsmasqをセットアップしてたので、そちらを使用)ufwでport
> > > 53を開放したら名前解決できた。・sudo apt update && sudo apt -y
> > > upgradeでarchive.ubuntu.com:80に接続できず
> > > 最後の原因はufwで、22,53,80,443,Samba以外のポートを閉じていたことが問題だったようで、[UFW BLOCK]
> > > IN=minionebr OUT=enp1s0 PHYSIN=one-2-0
> > > MAC=a6:4d:d1:b9:25:26:02:00:ac:10:64:03:08:00 SRC=172.16.100.3
> > > DST=91.189.89.199 LEN=76 TOS=0x10 PREC=0x00 TTL=63 ID=62480 DF
> > > PROTO=UDP SPT=54907 DPT=123 LEN=56みたいなログが出まくっていたので、いったんufw
> > > disableにしたらうまくいいきました。
> > > どのみちルータの内側にあり、ポートマッピングで外からのアクセスは80,443とカスタムSSHポート以外は遮断しているので、このまま
> > > ufw
> > > disableのままでもさほどセキュリティ的に問題が大きくなるわけでもないのですが、それでもまあufwはenableにしておきたく
> > > 、
> > > sudo ufw allow in on  minionebrsudo ufw allow from
> > > 172.16.100.0/24
> > > みたいな設定をufwの先頭に追加してみたのですが、それでも、ufw
> > > enableにするとブロックされます。なにかおすすめのufwの設定ってあるでしょうか?
> > > ちなみに仮想マシンからのアクセスでブロックされたポートは、DSPのほうは、123,
> > > 80,443,5030ですが、SPTのほうは40000〜50000台で捕捉しきれません。
> > > -- 
> > > -------------------------------------------------
> > > 小池利明
> > > t-k @ dive2.blue
> > > Toshiaki Koike
> > > -------------------------------------------------
> > -- 
> > -------------------------------------------------
> > 小池利明
> > t-k @ dive2.blue
> > Toshiaki Koike
> > -------------------------------------------------
-- 
-------------------------------------------------
小池利明
t-k @ dive2.blue
Toshiaki Koike
-------------------------------------------------
-------------- next part --------------
HTMLの添付ファイルを保管しました...
URL: <https://lists.ubuntu.com/archives/ubuntu-jp/attachments/20200826/7780ef23/attachment.html>

ubuntu-jp メーリングリストの案内