Öppna brandväggen (ufw) för XBMC/Kodi Remote [LÖST]

[eson57]

Hej,

Jobbar med ännu en app-översättning, och skulle behöva lite hjälp med ett brandväggskommando, för att kunna testa ordentligt. Det handlar om fjärrkontroll av Kodi/XBMC, över HTTP.

Kodimote runs everywhere where Qt is supported. Currently supports platform integrated front ends for Ubuntu Touch, Sailfish OS, MeeGo and KDE (plasmoid).

Standard är port 8080 i Kodi, men jag antar att den kan ändras utan problem. Det enklaste kommandot känner jag förstås till (sudo ufw allow 8080), men nu vill jag ju helst inte öppna för alla, utan endast för min telefon och helst endast över mitt WLAN, om möjligt. Behöver alltså ett kommando som jag kan anpassa med mina aktuella variabler.

[johanre]

Står inte ditt hemmanät bakom din WLAN router / accesspunkt? Om det gör det, tillåt port 8080 på din Kodi / xbmc dator, givet att du inte öppnar *från Internet* till port 8080 på din xbmc / kodi dator.

Visserligen har du fortfarande en risk för otillåtet intrång på ditt WLAN, men det har du ju ändå.

[eson57]

Hur vet jag om porten är öppen endast inom mitt WLAN och inte från Internet också?
Sen skulle jag föredra att tillåta trafik endast från specifik "fjärrdator", alltså min telefon.

Edit:
Skulle det här fungera?

Kod: Markera allt

sudo ufw allow proto tcp from 192.168.x.x to any port 8080

Edit2:
Glöm första frågan! 8080 är naturligtvis stängd i router-väggen. Fattar inte varför man helt plötsligt inte kan tänka klart för att man pillar i Linux. Hade det varit Windows, hade jag inte ens funderat över det.
Fråga nr 2 ang. själva kommandot kvarstår dock.

[johanre]

Glöm första frågan! 8080 är naturligtvis stängd i router-väggen. Fattar inte varför man helt plötsligt inte kan tänka klart för att man pillar i Linux.

Du kanske tror att det är svårare än det är? Hur som helst, skönt att det löste sig!

Fråga nr 2 ang. själva kommandot kvarstår dock.

Ja, kommandot fungerar om du har satt upp en ufw brandvägg på din maskin sedan tidigare. Har du ingen ufw brandvägg körandes just nu, behöver du egentligen ingen nu heller: Förutsatt att ditt WLAN inte är helt öpppet, vill säga!

[eson57]

Du kanske tror att det är svårare än det är? Hur som helst, skönt att det löste sig!

Nej, jag tror inte det är svårare än något annat, men Windows sitter närmast i ryggraden, medan jag har ett halvt liv kvar till samma Linux-nivå.

Ja, kommandot fungerar om du har satt upp en ufw brandvägg på din maskin sedan tidigare. Har du ingen ufw brandvägg körandes just nu, behöver du egentligen ingen nu heller: Förutsatt att ditt WLAN inte är helt öpppet, vill säga!

Jo, wlan:et befolkas av allehanda "löst folk", så ufw har hängt med från början. Hellre foliehatt, än dumstrut... som jag brukar säga.

Tack för hjälpen i alla fall, skall testa kommandot.

[eson57]

...skall testa kommandot.

...och det fungerar inte!

[johanre]

OK, skrev du *exakt* det du nämnde? I så fall fungerar det inte. du måste ersätta 192.168.x.x med rätt info för ditt nätverk. T.ex: 192.168.1.0/24

[eson57]

jo, självklart vet jag hur en IP-adress ser ut.
Samma kommando fungerar utmärkt för SSH från en Windows-burk till Kodi-maskinen (port 22 då), så jag är något konfunderad.

[johanre]

Ok, vad får du för felmeddelande?

[eson57]

Inga felmeddelanden. Den ansluter bara inte. Det vill säga, brandväggen blockerar anslutningen, eftersom det fungerar med avstängd brandvägg. Fel brandväggsregel med andra ord.
Både telefonen och Kodi-maskinen har fasta IP-adresser i LAN:et, så där ligger inte felet.

Edit: Ännu konstigare. Det funkar inte ens om jag öppnar på vid gavel (sudo ufw allow 8080).

[johanre]

Kod: Markera allt

sudo iptables -L

[eson57]

Så här ser det ut just nu. SSH fungerar utmärkt, Kodimote över http vill inte ansluta.

ufw status

Gömt innehåll: Visa!

Status: aktiv

Till Åtgärd Från
---- ------ ----
22/tcp ALLOW 192.168.x.x
8080 ALLOW 192.168.x.y

iptables -L

Gömt innehåll: Visa!

Chain INPUT (policy DROP)
target prot opt source destination
ufw-before-logging-input all -- anywhere anywhere
ufw-before-input all -- anywhere anywhere
ufw-after-input all -- anywhere anywhere
ufw-after-logging-input all -- anywhere anywhere
ufw-reject-input all -- anywhere anywhere
ufw-track-input all -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination
ufw-before-logging-forward all -- anywhere anywhere
ufw-before-forward all -- anywhere anywhere
ufw-after-forward all -- anywhere anywhere
ufw-after-logging-forward all -- anywhere anywhere
ufw-reject-forward all -- anywhere anywhere
ufw-track-forward all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ufw-before-logging-output all -- anywhere anywhere
ufw-before-output all -- anywhere anywhere
ufw-after-output all -- anywhere anywhere
ufw-after-logging-output all -- anywhere anywhere
ufw-reject-output all -- anywhere anywhere
ufw-track-output all -- anywhere anywhere

Chain ufw-after-forward (1 references)
target prot opt source destination

Chain ufw-after-input (1 references)
target prot opt source destination
ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:netbios-ns
ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:netbios-dgm
ufw-skip-to-policy-input tcp -- anywhere anywhere tcp dpt:netbios-ssn
ufw-skip-to-policy-input tcp -- anywhere anywhere tcp dpt:microsoft-ds
ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:bootps
ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:bootpc
ufw-skip-to-policy-input all -- anywhere anywhere ADDRTYPE match dst-type BROADCAST

Chain ufw-after-logging-forward (1 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "

Chain ufw-after-logging-input (1 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "

Chain ufw-after-logging-output (1 references)
target prot opt source destination

Chain ufw-after-output (1 references)
target prot opt source destination

Chain ufw-before-forward (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp source-quench
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp parameter-problem
ACCEPT icmp -- anywhere anywhere icmp echo-request
ufw-user-forward all -- anywhere anywhere

Chain ufw-before-input (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ufw-logging-deny all -- anywhere anywhere ctstate INVALID
DROP all -- anywhere anywhere ctstate INVALID
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp source-quench
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp parameter-problem
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT udp -- anywhere anywhere udp spt:bootps dpt:bootpc
ufw-not-local all -- anywhere anywhere
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:mdns
ACCEPT udp -- anywhere 239.255.255.250 udp dpt:1900
ufw-user-input all -- anywhere anywhere

Chain ufw-before-logging-forward (1 references)
target prot opt source destination

Chain ufw-before-logging-input (1 references)
target prot opt source destination

Chain ufw-before-logging-output (1 references)
target prot opt source destination

Chain ufw-before-output (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ufw-user-output all -- anywhere anywhere

Chain ufw-logging-allow (0 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "

Chain ufw-logging-deny (2 references)
target prot opt source destination
RETURN all -- anywhere anywhere ctstate INVALID limit: avg 3/min burst 10
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "

Chain ufw-not-local (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere ADDRTYPE match dst-type LOCAL
RETURN all -- anywhere anywhere ADDRTYPE match dst-type MULTICAST
RETURN all -- anywhere anywhere ADDRTYPE match dst-type BROADCAST
ufw-logging-deny all -- anywhere anywhere limit: avg 3/min burst 10
DROP all -- anywhere anywhere

Chain ufw-reject-forward (1 references)
target prot opt source destination

Chain ufw-reject-input (1 references)
target prot opt source destination

Chain ufw-reject-output (1 references)
target prot opt source destination

Chain ufw-skip-to-policy-forward (0 references)
target prot opt source destination
DROP all -- anywhere anywhere

Chain ufw-skip-to-policy-input (7 references)
target prot opt source destination
DROP all -- anywhere anywhere

Chain ufw-skip-to-policy-output (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere

Chain ufw-track-forward (1 references)
target prot opt source destination

Chain ufw-track-input (1 references)
target prot opt source destination

Chain ufw-track-output (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere ctstate NEW
ACCEPT udp -- anywhere anywhere ctstate NEW

Chain ufw-user-forward (1 references)
target prot opt source destination

Chain ufw-user-input (1 references)
target prot opt source destination
ACCEPT tcp -- 192.168.x.x anywhere tcp dpt:ssh
ACCEPT tcp -- 192.168.x.y anywhere tcp dpt:http-alt
ACCEPT udp -- 192.168.x.y anywhere udp dpt:http-alt

Chain ufw-user-limit (0 references)
target prot opt source destination
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable

Chain ufw-user-limit-accept (0 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere

Chain ufw-user-logging-forward (0 references)
target prot opt source destination

Chain ufw-user-logging-input (0 references)
target prot opt source destination

Chain ufw-user-logging-output (0 references)
target prot opt source destination

Chain ufw-user-output (1 references)
target prot opt source destination

[eson57]

Det fungerar äntligen! Fick svar från Kodimote-utvecklaren.

You also need to open port 9090. We use the webserver to send commands, but also use its other server (on fixed port 9090) to receive notifications.

Tack för ditt engagement. Hoppas du klarade dig från de gråa hår, detta orsakade mig.


Kan väl avsluta med fungerande kommandon till ufw, ifall någon annan kör fast på samma ställe. Det lär ju komma en app till Ubuntu Touch också... om den inte redan finns.

Kod: Markera allt

sudo ufw allow from 192.168.x.x to any port 8080
sudo ufw allow from 192.168.x.x to any port 9090

Vill man strama åt det ytterligare, kan man begränsa protokollet också. Men det orkar jag inte testa just nu.

[johanre]

Lysande, riktigt bra jobbat! Underbart att du lyckades lösa det själv!
(ingen fara med mig, tycker bara det är roligt!)

[eson57]

Man kan ju tycka att det borde finnas med i någon sorts dokumentation, men det kanske kommer. Man skall ju inte behöva plugga källkod för att använda en mobil-app.