为何 ufw 默认屏蔽的端口会被扫描出来?

2020-04-06 21:57:13 +08:00
 jmyz0455

我用 ufw 配置了防火墙,信息如下:

$sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), deny (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
443                        ALLOW IN    Anywhere
2000                       ALLOW IN    Anywhere

如果我没理解错的话,配置后的 ufw 就是放行 ipv4 的 443 、2000 端口进来的流量,其他端口进来的流量(默认)被拒绝,发出的流量(默认)全部允许。但是内部有个容器打开了 2004 端口(用 -p 2004:2004 参数),不过不作对外用途。但是当我用 macOS 的 Network Utility 应用扫描我这台主机,居然输出:

Port Scan has started…

Port Scanning host: hostname.com

	 Open TCP Port: 	2000   		callbook
	 Open TCP Port: 	2004   		mailbox
Port Scan has completed…

然后我用 Windows 的 Zenmap 也扫一下,发现也是有暴露的:

端口  协议 状态 服务  版本
2004 tcp open daap mt-daap DAAP

请问,问题出在哪里?

2691 次点击
所在节点    Linux
4 条回复
mschultz
2020-04-06 22:07:27 +08:00
jmyz0455
2020-04-06 23:07:42 +08:00
@mschultz 感谢,第一次用 Docker 和 ufw,连关键词都没找对。
imycc
2020-04-07 05:04:04 +08:00
直接用 docker + iptables 也是这个效果。。巨坑
CheekiBreeki
2020-04-24 23:15:14 +08:00
docker 单独一个套路的……………

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/659928

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX