Ubuntu: วิธีเพิ่มกฎ iptables ที่ UFW ไม่สามารถสร้างได้

UFW ทำงานได้ดีสำหรับฉันยกเว้นในกรณีที่มันไม่ ...

ฉันต้องการที่จะเพิ่มกฎอื่น ๆ ด้วยตนเองที่จะนำไปใช้ในการบูต?

• ฉันควรวางกฎนี้ไว้ที่ไหน
• ฉันจะทำให้มันเริ่มตอนบูทได้อย่างไร?
• ฉันจะทำให้มันเล่นเป็นอย่างดีกับ UFW ได้อย่างไร

ตามหน้า wiki ของ Ubuntu นี้ (เลื่อนลงไปที่ "ฟังก์ชั่นขั้นสูง") คุณสามารถบรรลุสิ่งที่คุณต้องการโดยวางiptablesกฎของคุณเองลงในไฟล์ต่อไปนี้:

• /etc/ufw/before.rules
• /etc/ufw/after.rules

beforeไฟล์จะถูกประเมินก่อนที่จะufwใช้กฎ; afterไฟล์จะถูกประเมินหลังจาก (นอกจากนี้ยังมีไฟล์ที่เกี่ยวข้องbefore6และafter6ไฟล์กฎสำหรับip6tablesกฎของคุณ)

ไฟล์กฎเหล่านี้คาดว่าจะอยู่ในiptables-restoreไวยากรณ์ใช้ได้กับระบบปฏิบัติการคงเพราะเพียงแค่โหลดพวกเขาโดยใช้ufw iptables-restoreสุดท้ายโปรดทราบว่าคุณต้องหยุดและเริ่มต้นใหม่ufwหลังจากที่คุณทำการเปลี่ยนแปลงใด ๆ กับไฟล์กฎ

UFW จะล้างกฎที่เพิ่มด้วยตนเอง/etc/ufw/user.rulesซึ่งไม่ได้แสดงความคิดเห็นล่วงหน้า:

### tuple ### allow tcp 80 0.0.0.0/0 any 0.0.0.0/0 out
-A ufw-user-output -p tcp --dport 80 -j ACCEPT

เมื่อ UFW สติตรวจสอบกฎเมื่อเริ่มต้นก็คาดว่าจะมีความคิดเห็นประกอบ ถ้าไม่มีอยู่แม้ว่าไวยากรณ์ของกฎจะถูกต้อง UFW จะยังคงล้างข้อมูล

และไม่เพียงแค่ใช้ความคิดเห็นโดยพลการ: มันจะต้องเป็นความคิดเห็นที่ UFW จะแทรกเมื่อสร้างกฎผู้ใช้ผ่านทาง cli เช่น:

sudo ufw allow http/tcp

ดังนั้นหากคุณต้องการชุดของกฎล่วงหน้าในชุดกฎในไฟล์อย่างง่ายคุณจะต้องสร้างกฎผ่านทางส่วนต่อประสาน CLI ของ UFW เพื่อเรียนรู้ไวยากรณ์ของความคิดเห็นที่คาดว่ากฎจะผ่านการตรวจสอบและยืนยัน .

ลองใช้ข้างต้นด้วยและโดยไม่มีความคิดเห็นและโหลดกฎ HTTP ตัวอย่างข้างต้นอีกครั้ง คุณจะพูดถึงความคิดเห็นเท่านั้นว่ากฎที่เพิ่มด้วยตนเองนั้นอยู่รอดการรีสตาร์ท ( เปิดใช้งาน ufw ) ของ UFW

นี่เป็นพฤติกรรมที่ต่อต้านได้ง่ายและไม่ได้บันทึกเลย