TCP_INからポートを削除しても、CSFの外部トラフィックからポートを閉じることはありません

Question

数日前、私はSSH経由で私のUbuntuホストにCSFをインストールしました。すべてがうまく動作していたように見えました。数時間は遊んでいました。どのようにポートを閉じて開きますか？すべてが正常に動作していたようです。

今日、私は自分の3306 mysqlポートに制限を設けて、特定のIPアドレスに対してのみアクセスを許可しました。私はこれをcsf.confのTCP_INとTCP_OUT行から削除してcsf.allowに挿入していることを確認しました。

nmapでスキャンしたときにポートが開いているように見えるため、これは機能しませんでした。さらにデバッグした後、私は現在、csf.confファイルとcsf.allowファイルで行っていた変更は、ポートの可用性には影響しないことを理解しました。

私はさらに調査して、ufwファイアウォールとiptablesとcsfの間に問題があるかもしれないことを知ったので、私はufwファイアウォールを停止し、すべてのiptablesルールを削除してデフォルト値に設定しました。

:~$ sudo iptables -L 

Chain INPUT (policy ACCEPT) 
target  prot opt source    destination 

Chain FORWARD (policy ACCEPT) 
target  prot opt source    destination 

Chain OUTPUT (policy ACCEPT) 
target  prot opt source    destination 

:~$ sudo service ufw status 
ufw stop/waiting 

そして今、私はちょうどフラッシュは、CSFのファイアウォールを停止して起動： CSF -f、CSF -x、CSF -e

それはsudoのiptablesの-L出力するであろう巨大なように思えるの再起動後どこでもどこでもどこでもソースを持つルールのリストこれまでの経験はありませんので、適切な機密情報を抽出できるかどうかはわかりませんが、それについて読んだ後は、自分の状況に合わないと思いました。

一方、csf -Lの出力は異なります。ほとんどのソースと宛先IPは0.0.0.0/0です。私がcsf -L出力から抽出できるのは、INVALIDチェーンがあるということです。

Chain INVALID (2 references) 
num pkts bytes target  prot opt in  out  source      destination 
1  0  0 INVDROP all -- *  *  0.0.0.0/0    0.0.0.0/0   ctstate INVALID 
2  0  0 INVDROP tcp -- *  *  0.0.0.0/0   0.0.0.0/0   tcp flags:0x3F/0x00 
3  0  0 INVDROP tcp -- *  *  0.0.0.0/0   0.0.0.0/0   tcp flags:0x3F/0x3F 
4  0  0 INVDROP tcp -- *  *  0.0.0.0/0   0.0.0.0/0   tcp flags:0x03/0x03 
5  0  0 INVDROP tcp -- *  *  0.0.0.0/0   0.0.0.0/0   tcp flags:0x06/0x06 
6  0  0 INVDROP tcp -- *  *  0.0.0.0/0   0.0.0.0/0   tcp flags:0x05/0x05 
7  0  0 INVDROP tcp -- *  *  0.0.0.0/0   0.0.0.0/0   tcp flags:0x11/0x01 
8  0  0 INVDROP tcp -- *  *  0.0.0.0/0   0.0.0.0/0   tcp flags:0x18/0x08 
9  0  0 INVDROP tcp -- *  *  0.0.0.0/0   0.0.0.0/0   tcp flags:0x30/0x20 
10  0  0 INVDROP tcp -- *  *  0.0.0.0/0   0.0.0.0/0   tcp flags:!0x17/0x02 ctstate NEW 

と

Chain ALLOWIN (1 references) 
num pkts bytes target  prot opt in  out  source    destination 
1  210 10680 ACCEPT  all -- !lo *  [mysship]  0.0.0.0/0 

Chain ALLOWOUT (1 references) 
num pkts bytes target  prot opt in  out  source    destination 
1  295 41404 ACCEPT  all -- *  !lo  0.0.0.0/0    [mysship] 

MYSSHIPは私がcsf.allowに置かれているともsshのポートがcsf.conf TCP_IN、TCP_OUTリストに発見されたSSHを使用して接続し、そこからIPです。

Answer 1

EMMは、私のために私はその後、私は見て、私が望んでいたものは何でも許さドロップするポリシーを変更：

Chain INPUT (policy DROP) 
target  prot opt source    destination 
ACCEPT  all -- anywhere    anywhere 
ACCEPT  all -- anywhere    anywhere   state RELATED,ESTABLISHED 
ACCEPT  tcp -- anywhere    anywhere   tcp dpt:ssh 

Chain FORWARD (policy DROP) 
target  prot opt source    destination 

Chain OUTPUT (policy ACCEPT) 
target  prot opt source    destination 

したい@あなたは-s（ソース用）または-dでIPを追加することができます（目的地）！

Answer 2

混乱の原因は本当にわかりませんが、私は以前の設定をすべてiptablesとcsfからフラッシュしました。私はcsfを再インストールしました。すべてのコンフィグを1つずつ書き、nmapを使ってすべてのステップをテストしました。私はTESTING_INTERVALを15に変更しました。私はTESTING = 1のままファイアウォール設定が速すぎると思っていました。