Tengo UFW, OpenVPN y Virtualbox instalados en mi servidor doméstico. Tengo una red de solo host para los invitados de mi máquina virtual (vboxnet0) configurada con el rango de IP 10.0.1.0, y otro rango de IP de 10.0.0.0 configurado en el otro extremo de la conexión OpenVPN.
El reenvío de IP está configurado en el host, por lo que cuando UFW está deshabilitado , pueden comunicarse entre sí sin ningún problema. Sin embargo, me gustaría ejecutar UFW ya que este host será accesible desde la web y me gustaría tener un poco de control de acceso.
¿Cómo puedo configurar UFW para permitir este tipo de tráfico?
He probado varias combinaciones de: ufw allow allow in|out on vboxnet0|tun0
sin éxito.
Mis reglas de UFW son:
root@gimli:~# ufw status
Status: active
To Action From
-- ------ ----
22 ALLOW Anywhere
Anywhere ALLOW 10.0.0.0/16
Anywhere on vboxnet0 ALLOW Anywhere
Anywhere on tun0 ALLOW Anywhere
Anywhere ALLOW OUT Anywhere on vboxnet0
Anywhere ALLOW OUT Anywhere on tun0
Cualquier ayuda sería muy apreciada.
fuente
service ufw restart
Ahora es posible, desde la página de manual de ufw:
fuente
ufw route
está presente desde la versión 0.34si configura DEFAULT_FORWARD_POLICY en ACCEPT en / etc / default / ufw, el firewall reenviará todos los paquetes independientemente de la configuración de la interfaz de usuario.
Creo que la interfaz de usuario solo está diseñada para un simple filtrado de entrada / salida. Para el reenvío, debe agregar reglas de iptables en /etc/ufw/before.rules como aquí:
Probablemente ya tenga una regla que permita conexiones desde adentro hacia afuera y otra que permita que los paquetes de sesiones tcp relacionadas y establecidas vuelvan a entrar.
No soy especialista en iptables, me llevó mucho tiempo resolver esto (con ip6tables, pero debería ser similar). Tal vez esto no sea todo lo que se necesita en su caso.
Mejores saludos
fuente
Este comando ufw me funcionó muy bien:
sudo ufw default allow FORWARD
Para asegurarse de que se aplica el cambio:
sudo service ufw restart
fuente
FORWARD
funciona como alias pararouted
Ubuntu