¿Cómo habilitar el firewall ufw para permitir la respuesta icmp?

21

Tengo una serie de servidores Ubuntu 10.04 y cada uno tiene ufw firewall habilitado. He permitido el puerto 22 (para SSH) y 80 (si es un servidor web). Mi pregunta es que estoy tratando de habilitar la respuesta de eco icmp (respuesta de ping).

ICMP funciona de manera diferente a otros protocolos: sé que está por debajo del nivel de IP en un sentido técnico. Simplemente puede escribir sudo ufw allow 22, pero no puede escribirsudo ufw allow icmp

10.04 server firewall Jeremy Hajek
fuente

Respuestas:

17

ufw no permite especificar reglas icmp a través del comando de interfaz de línea de comando. Le permite ajustar su conjunto de reglas a través de sus archivos de reglas, que son archivos de estilo de restauración de iptables.

ufw permite cierto tráfico icmp de forma predeterminada, incluida la respuesta de eco icmp, y esto ya está configurado de forma predeterminada en /etc/ufw/before.rules:

-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT

Si su host no responde al ping, mire en este archivo para asegurarse de que la línea anterior esté presente y si eso no funciona, mire el host que hace ping y cualquier firewall entre ellos.

jdstrand
fuente
3
no funciona para mí: servidor 11.04. ¿Cómo puedo solucionar este problema?
pylover
¿Necesita algún reinicio o algo así?
Amir Karimi
1
@AmirKarimi sudo ufw reload(y para permitir que las solicitudes de ping he tenido que añadir -A ufw-before-output -p icmp --icmp-type echo-request -j ACCEPTen /etc/ufw/before.rules)
baptx
2

Para Ubuntu 18.04, debe tener las siguientes reglas en su archivo /etc/ufw/before.rules :

# ok icmp codes for INPUT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type source-quench           -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded           -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem       -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request            -j ACCEPT

# ok icmp code for FORWARD
-A ufw-before-forward -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type source-quench           -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type time-exceeded           -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type parameter-problem       -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type echo-request            -j ACCEPT

Estos estaban en mi archivo predeterminado.

Por supuesto, asegúrese de que este sea realmente el problema. Mi problema era que mi computadora estaba bloqueando que los pings salieran a la red donde existía el servidor al que intentaba hacer ping. Terminé usando un sitio web que ya estaba en Internet para hacer el ping por mí (por ejemplo, https://ping.eu/ping/ ).

hoadlck
fuente
0

Aquí hay un documento de ayuda que revela cómo habilitar / deshabilitar las respuestas de ping et al.

Ayuda UFW

Casey Keller
fuente
0

Agregue lo siguiente al archivo /etc/ufw/before.rules:

# allow outbound icmp
-A ufw-before-output -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A ufw-before-output -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT

Después de editar el archivo, ejecute el comando:

sudo ufw reload
usuario3801989
fuente