Ordenação das Regras de Firewall UFW?

Navegue suas respostas
18

Eu tenho as seguintes regras em nosso servidor no UFW: 

To                         Action      From
--                         ------      ----
22                         ALLOW       217.22.12.111
22                         ALLOW       146.200.200.200
80                         ALLOW       Anywhere
443                        ALLOW       Anywhere
22/tcp                     ALLOW       109.104.109.0/26

As duas primeiras regras são os nossos IP's internos, os quais queremos garantir que possam sempre fazer o SSH (porta 22). As próximas duas regras são permitir a visualização HTTP e HTTPS de qualquer endereço IP em qualquer lugar. A regra final é permitir o SSH do nosso sistema de implantação de código.

Eu defini uma regra ufw default deny , mas ela não parece estar aparecendo. Devo também ter uma regra final que nega tudo?

Se eu adicionar uma regra de negar tudo, a ordem em que as regras aparecem faz diferença? Presumivelmente, se essa lista for mais longa, adicionar outra regra de permissão acima de uma regra de negação é impossível, o que significa que terei que remover e adicionar novamente algumas regras?

    
por dannymcc 04.03.2013 / 15:09

3 respostas

28

Se você estiver interessado em reordenar suas regras do UFW, essa é uma maneira de fazer isso. 

$ sudo ufw status numbered

     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    Anywhere
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 443                        ALLOW IN    Anywhere
[ 4] 22 (v6)                    ALLOW IN    Anywhere (v6)
[ 5] 80 (v6)                    ALLOW IN    Anywhere (v6)
[ 6] 443 (v6)                   ALLOW IN    Anywhere (v6)
[ 7] Anywhere                   DENY IN     [ip-to-block]

Digamos que você tenha adicionado uma regra acidentalmente ao final, mas queria estar no topo.

Primeiro você terá que removê-lo do fundo (7) e adicioná-lo de volta. 

$ sudo ufw delete 7

Note, tenha cuidado ao remover várias regras uma após a outra, a posição delas pode mudar!

Adicione sua regra ao topo (1): 

$ sudo ufw insert 1 deny from [ip-to-block] to any
    
por 24.06.2016 / 19:06
11

O comando ufw status verbose mostrará a regra padrão. Para sua configuração, você provavelmente quer dizer 

Default: deny (incoming), allow (outgoing)

Nesse caso, você não precisa de uma regra 'negar tudo' separada, e a ordem de suas outras regras não importa. Se você quiser alterar o pedido, adicione uma regra em um local específico usando ufw insert [position] [rule text] . Você pode obter uma lista numerada de regras com ufw status numbered .

    
por 04.03.2013 / 17:17
2

Se você estiver familiarizado com o formato das regras geradas pelo comando iptables-save , basta editar os arquivos de configuração do ufw em /etc/ufw/user.rules e /etc/ufw/user6.rules . Mesmo se você não for, para cada regra adicionada pelo usuário, há um comentário mostrando o comando ufw correspondente para sua referência.
Altere os pedidos como desejar e salve-os. Em seguida, execute sudo ufw reload , o novo pedido estará em vigor.
Desta forma, é mais rápido que os comandos delete e insert , mas você provavelmente deve fazer backup antes de editar se não estiver muito confiante.

    
por 02.02.2017 / 14:40

Tags

Evitando tempos limite de DNS quando um servidor dns falha Como faço para que o rsyslogd registre o FQDN de um servidor em vez do nome abreviado do host?