ufw CUPS (lpd)

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Monroe
Beiträge: 67
Registriert: 26.10.2015 21:00:04

ufw CUPS (lpd)

Beitrag von Monroe » 01.05.2018 21:32:38

Hallo,

ich versuche mein Epson Multifunktionsgerät zum Laufen zu bringen.
Ich habe ufw installiert und so einige ports dicht gemacht.
Für das Gerät sollen laut Epson die folgenden ports freigeschaltet werden:
161 UDP
1865 UDP/TCP
2219 TCP/UDP
2968 UDP
3259 TCP/UDP
3289 UDP/TCP
3620 TCP/UDP
3621 TCP/UDP
3629 TCP/UDP
5116 TCP/UDP
5222 TCP/UDP
das habe ich gemacht.

Ergebnis: Wenn ich

Code: Alles auswählen

ufw disable 
eingebe kann ich drucken und scannen
wenn ich

Code: Alles auswählen

ufw enable 
eingebe, dann bekomme ich eine synsent Meldung unter netstat.
Habt Ihr Ideen?

BenutzerGa4gooPh

Re: ufw CUPS (lpd)

Beitrag von BenutzerGa4gooPh » 02.05.2018 07:29:40

Monroe hat geschrieben: ↑ zum Beitrag ↑
01.05.2018 21:32:38
Habt Ihr Ideen?
Aktuelle Regeln:

Code: Alles auswählen

ufw status verbose
ufw status numbered
Wo klemmts?

Code: Alles auswählen

ufw logging on
Übrigens, für Regeln ist auch die Richtung wichtig. Ports für cups: https://www.cups.org/doc/firewalls.html

Code: Alles auswählen

ufw allow|deny [proto <protokoll>] [from <adresse> [port <port>]] [to <addresse> [port <port>]]
ufw allow in proto tcp from 10.65.10.0/24 to any port 22
Vielleicht hilfreich? Debiangufw
(Regeln nachvollziehen (ufw status ...) - wenn alles klappt, dann per CLI konfigurieren, Debiangufw wieder deinstallieren?)

Komplexes Regelwerk outgoing auf Host hinter Firewall wirklich sinnvoll oder so ähnlich ausreichend?

Code: Alles auswählen

ufw default deny incoming
ufw default allow outgoing
ufw allow in proto tcp from x.x.x.x/24 to any port 22

Monroe
Beiträge: 67
Registriert: 26.10.2015 21:00:04

Re: ufw CUPS (lpd)

Beitrag von Monroe » 20.05.2018 20:51:51

danke erst einmal.

mit

Code: Alles auswählen

ufw logging low
habe ich unter

Code: Alles auswählen

 /var/log/ufw.log
kein
BLOCK
.
Das heißt doch, dass alles durchgehen sollte?

Nach dem von Dir vorgeschlagenen Verfahren habe ich immer geschaut, wo es hakt und so das Scanen z.B. mit XSANE zum Laufen gebracht. :THX:

Leider druckt er aber nicht.

bei

Code: Alles auswählen

ufw logging high
zeigt er mir
AUDIT
und
ALLOW
an bei bestimmten Ports ( SDP: 161 ) doch kein
BLOCK
.

Wenn ich

Code: Alles auswählen

ufw disable 
eingebe, dann druckt er.

TomL

Re: ufw CUPS (lpd)

Beitrag von TomL » 20.05.2018 22:27:52

cups verwendet bei mir auf allen Systemen Port 631. Den finde ich in Deiner Portliste gar nicht.

Jana's Link-Hinweis hast Du gesehen?
Jana66 hat geschrieben: ↑ zum Beitrag ↑
02.05.2018 07:29:40
Ports für cups: https://www.cups.org/doc/firewalls.html
Btw, das hier folgende empfinde ich sowieso als die beste Lösung: :wink:
Monroe hat geschrieben: ↑ zum Beitrag ↑
20.05.2018 20:51:51
Wenn ich

Code: Alles auswählen

ufw disable 
eingebe, dann druckt er.

BenutzerGa4gooPh

Re: ufw CUPS (lpd)

Beitrag von BenutzerGa4gooPh » 21.05.2018 10:49:37

TomL hat geschrieben: ↑ zum Beitrag ↑
20.05.2018 22:27:52
Btw, das hier folgende empfinde ich sowieso als die beste Lösung:
ufw disable
:mrgreen:

@Monroe: Poste

Code: Alles auswählen

ufw status numbered
Und warum nicht einfach das?
Jana66 hat geschrieben: ↑ zum Beitrag ↑
02.05.2018 07:29:40
Komplexes Regelwerk outgoing auf Host hinter Firewall wirklich sinnvoll oder so ähnlich ausreichend?

Code: Alles auswählen

ufw default deny incoming
ufw default allow outgoing
ufw allow in proto tcp from x.x.x.x/24 to any port 22 [nur wenn SSH/Remote-Zugang erforderlich]
+ eventuell Cups (tcp 631 incoming) analog der Zeile für ssh von mir. Weiß nicht, ob incoming wirklich notwendig, würde erst mal ohne testen, nur

Code: Alles auswählen

ufw default allow outgoing
Cups outgoing funktioniert m. E. per Broadcast (Destination 255.255.255.255, wird wahrscheinlich durch ANY erfasst).

Benutzeravatar
habakug
Moderator
Beiträge: 4313
Registriert: 23.10.2004 13:08:41
Lizenz eigener Beiträge: MIT Lizenz

Re: ufw CUPS (lpd)

Beitrag von habakug » 21.05.2018 11:15:26

Hallo,

es gibt hier [1] einen Bugreport, der Hinweise enthält. Die Datei /etc/ufw/systctl.conf sollte Syncookies erlauben (auskommentiert):

Code: Alles auswählen

#net/ipv4/tcp_syncookies=0
Gruss, habakug

[1] https://bugs.launchpad.net/ufw/+bug/1595046
( # = root | $ = user | !! = mod ) (Vor der PN) (Debianforum-Wiki) (NoPaste)

Monroe
Beiträge: 67
Registriert: 26.10.2015 21:00:04

Re: ufw CUPS (lpd)

Beitrag von Monroe » 21.05.2018 12:31:13

Danke allerseits.

Ich muss leider aufgeben. Ob es am Multifunktionsgerät liegt, an ufw oder an iptables, ich weiß es nicht.
Scannen bekomme ich zum Laufen. Drucken leider nicht.
Er zeigt mir im Protokoll nichts blockiert an und druckt trotzdem nicht. Das ist unlogisch. :?

Ich schließe daraus, dass eines der oben genannten Gründe mehr Zeit benötigt, die ich nicht habe.

Danke nochmals an alle. :THX:

Antworten