Ordinazione delle regole del firewall UFW?


23

Ho le seguenti regole sul nostro server all'interno di UFW:

To                         Action      From
--                         ------      ----
22                         ALLOW       217.22.12.111
22                         ALLOW       146.200.200.200
80                         ALLOW       Anywhere
443                        ALLOW       Anywhere
22/tcp                     ALLOW       109.104.109.0/26

Le prime due regole sono i nostri IP interni che vogliamo garantire sempre SSH (porta 22). Le prossime due regole sono per consentire la visualizzazione HTTP e HTTPS da qualsiasi indirizzo IP ovunque. L'ultima regola è consentire a SSH dal nostro sistema di distribuzione del codice.

Ho impostato una ufw default denyregola ma non sembra mostrare. Dovrei anche avere un'ultima regola che nega tutto?

Se aggiungo una regola nega tutto, l'ordine in cui vengono visualizzate le regole fa la differenza? Presumibilmente se questo elenco si allunga aggiungendo un'altra regola di autorizzazione sopra una regola di rifiuto è impossibile, il che significa che dovrò rimuovere e aggiungere nuovamente alcune regole?

Risposte:


34

Se sei interessato a riordinare le tue regole UFW, questo è un modo per farlo.

$ sudo ufw status numbered

     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    Anywhere
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 443                        ALLOW IN    Anywhere
[ 4] 22 (v6)                    ALLOW IN    Anywhere (v6)
[ 5] 80 (v6)                    ALLOW IN    Anywhere (v6)
[ 6] 443 (v6)                   ALLOW IN    Anywhere (v6)
[ 7] Anywhere                   DENY IN     [ip-to-block]

Supponi di aver aggiunto accidentalmente una regola alla fine, ma che volevi in ​​alto.

Per prima cosa dovrai rimuoverlo dal basso (7) e aggiungerlo di nuovo.

$ sudo ufw delete 7

Nota, fai attenzione a rimuovere più regole una dopo l'altra, la loro posizione può cambiare!

Aggiungi di nuovo la tua regola all'inizio (1):

$ sudo ufw insert 1 deny from [ip-to-block] to any

13

Il comando ufw status verboseti mostrerà la regola predefinita. Per la tua configurazione, probabilmente vuoi che lo dica

Predefinito: nega (in entrata), consenti (in uscita)

In tal caso, non è necessaria una regola separata "nega tutto" e l'ordine delle altre regole non ha importanza. Se si desidera modificare l'ordine, è possibile aggiungere una regola in un luogo specifico utilizzando ufw insert [position] [rule text]. Puoi ottenere un elenco numerato di regole con ufw status numbered.


3

Se hai familiarità con il formato delle regole generate dal iptables-savecomando, puoi semplicemente modificare i file di configurazione per ufw in /etc/ufw/user.rulese /etc/ufw/user6.rules. Anche se non lo sei, per ogni utente aggiunto regola c'è un commento che mostra il comando ufw corrispondente per il tuo riferimento.
Modifica gli ordini come desideri e salvali. Quindi eseguire sudo ufw reload, il nuovo ordine sarà a posto.
In questo modo è più veloce di deletee insertcomandi, ma probabilmente è necessario eseguire il backup prima della modifica se non si è molto sicuri.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.