Quy tắc tường lửa UFW đặt hàng?

23

Tôi có các quy tắc sau trên máy chủ của chúng tôi trong UFW:

To                         Action      From
--                         ------      ----
22                         ALLOW       217.22.12.111
22                         ALLOW       146.200.200.200
80                         ALLOW       Anywhere
443                        ALLOW       Anywhere
22/tcp                     ALLOW       109.104.109.0/26

Hai quy tắc đầu tiên là IP nội bộ của chúng tôi mà chúng tôi muốn đảm bảo luôn có thể SSH trong (cổng 22). Hai quy tắc tiếp theo là cho phép xem HTTP và HTTPS từ bất kỳ địa chỉ IP nào ở bất cứ đâu. Quy tắc cuối cùng là cho phép SSH từ hệ thống triển khai mã của chúng tôi.

Tôi đặt ra một ufw default denyquy tắc nhưng nó dường như không hiển thị. Tôi cũng nên có một quy tắc cuối cùng từ chối tất cả mọi thứ?

Nếu tôi thêm quy tắc từ chối mọi thứ, liệu thứ tự các quy tắc xuất hiện ở trên có tạo ra sự khác biệt không? Có lẽ nếu danh sách này dài hơn khi thêm một quy tắc cho phép khác trên quy tắc từ chối là không thể, có nghĩa là tôi sẽ phải xóa và thêm lại một số quy tắc?

ubuntu  firewall  ufw 
dannymcc
nguồn

Câu trả lời:

34

Nếu bạn quan tâm đến việc sắp xếp lại các quy tắc UFW của mình, đây là một cách để làm điều đó.

$ sudo ufw status numbered

     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    Anywhere
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 443                        ALLOW IN    Anywhere
[ 4] 22 (v6)                    ALLOW IN    Anywhere (v6)
[ 5] 80 (v6)                    ALLOW IN    Anywhere (v6)
[ 6] 443 (v6)                   ALLOW IN    Anywhere (v6)
[ 7] Anywhere                   DENY IN     [ip-to-block]

Giả sử bạn vô tình thêm một quy tắc vào cuối, nhưng bạn muốn lên đầu.

Trước tiên, bạn sẽ loại bỏ nó từ dưới cùng (7) và thêm nó trở lại.

$ sudo ufw delete 7

Lưu ý, hãy cẩn thận loại bỏ nhiều quy tắc lần lượt, vị trí của chúng có thể thay đổi!

Thêm lại quy tắc của bạn vào đầu (1):

$ sudo ufw insert 1 deny from [ip-to-block] to any
Justin Fortier
nguồn
13

Lệnh ufw status verbosesẽ cho bạn thấy quy tắc mặc định. Đối với cấu hình của bạn, bạn có thể muốn nó nói

Mặc định: từ chối (đến), cho phép (gửi đi)

Trong trường hợp đó, bạn không cần một quy tắc 'từ chối mọi thứ' riêng biệt và thứ tự các quy tắc khác của bạn không thành vấn đề. Nếu bạn muốn thay đổi thứ tự, bạn có thể thêm quy tắc tại một địa điểm cụ thể bằng cách sử dụng ufw insert [position] [rule text]. Bạn có thể nhận được một danh sách các quy tắc được đánh số với ufw status numbered.

Flup
nguồn
3

Nếu bạn quen thuộc với định dạng của các quy tắc được tạo bởi iptables-savelệnh, bạn chỉ có thể chỉnh sửa các tệp cấu hình cho ufw in /etc/ufw/user.rules/etc/ufw/user6.rules. Ngay cả khi bạn không, đối với mọi người dùng đã thêm quy tắc, có một nhận xét hiển thị lệnh ufw phù hợp để bạn tham khảo.
Thay đổi các đơn đặt hàng như bạn muốn, và lưu nó. Sau đó chạy sudo ufw reload, trật tự mới sẽ được đưa ra.
Cách này nhanh hơn deleteinsertra lệnh, nhưng có lẽ bạn nên sao lưu trước khi chỉnh sửa nếu bạn không tự tin lắm.

meo
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.