การสั่งซื้อกฎของ UFW Firewall?

23

ฉันมีกฎต่อไปนี้บนเซิร์ฟเวอร์ของเราภายใน UFW:

To                         Action      From
--                         ------      ----
22                         ALLOW       217.22.12.111
22                         ALLOW       146.200.200.200
80                         ALLOW       Anywhere
443                        ALLOW       Anywhere
22/tcp                     ALLOW       109.104.109.0/26

กฎสองข้อแรกคือ IP ภายในของเราที่เราต้องการให้แน่ใจว่าสามารถใช้ SSH ได้เสมอ (พอร์ต 22) กฎสองข้อถัดไปคือการอนุญาตให้ HTTP และ HTTPS ดูจากที่อยู่ IP ใดก็ได้ กฎสุดท้ายคือการอนุญาตให้ SSH จากระบบการปรับใช้รหัสของเรา

ฉันตั้งค่าufw default denyกฎแล้ว แต่ไม่ปรากฏขึ้น ฉันควรจะมีกฎสุดท้ายที่ปฏิเสธทุกสิ่งหรือไม่

หากฉันเพิ่มกฎปฏิเสธทุกอย่างลำดับที่กฎที่ปรากฏด้านบนสร้างความแตกต่างหรือไม่ สันนิษฐานว่าหากรายการนี้ได้รับการเพิ่มอีกอนุญาตให้กฎเหนือปฏิเสธกฎเป็นไปไม่ได้ซึ่งหมายความว่าฉันจะต้องลบและเพิ่มกฎอีกครั้ง?

ubuntu  firewall  ufw 
dannymcc
แหล่งที่มา

คำตอบ:

34

หากคุณสนใจที่จะจัดระเบียบกฎ UFW ใหม่อีกครั้งนี่เป็นวิธีหนึ่งที่จะทำได้

$ sudo ufw status numbered

     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    Anywhere
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 443                        ALLOW IN    Anywhere
[ 4] 22 (v6)                    ALLOW IN    Anywhere (v6)
[ 5] 80 (v6)                    ALLOW IN    Anywhere (v6)
[ 6] 443 (v6)                   ALLOW IN    Anywhere (v6)
[ 7] Anywhere                   DENY IN     [ip-to-block]

สมมติว่าคุณเพิ่มกฎไปยังจุดสิ้นสุดโดยไม่ตั้งใจ แต่คุณต้องการสิ่งที่ดีที่สุด

ก่อนอื่นคุณจะต้องลบออกจากด้านล่าง (7) และเพิ่มกลับ

$ sudo ufw delete 7

หมายเหตุโปรดระวังการลบกฎหลายข้อทีละข้อ ๆ ตำแหน่งของพวกเขาสามารถเปลี่ยนได้!

เพิ่มกฎของคุณกลับไปด้านบนสุด (1):

$ sudo ufw insert 1 deny from [ip-to-block] to any
Justin Fortier
แหล่งที่มา
13

คำสั่งufw status verboseจะแสดงกฎเริ่มต้นให้คุณทราบ สำหรับการกำหนดค่าของคุณคุณอาจต้องการที่จะพูด

ค่าเริ่มต้น: ปฏิเสธ (ขาเข้า) อนุญาต (ขาออก)

ในกรณีนี้คุณไม่จำเป็นต้องแยกกฎ 'ปฏิเสธทุกอย่าง' และลำดับของกฎอื่น ๆ ของคุณไม่สำคัญ ufw insert [position] [rule text]หากคุณไม่ต้องการที่จะเปลี่ยนแปลงคำสั่งที่คุณสามารถเพิ่มกฎในสถานที่เฉพาะเจาะจงโดยใช้ ufw status numberedคุณสามารถได้รับรายชื่อหมายเลขของกฎที่มี

Flup
แหล่งที่มา
3

หากคุณมีความคุ้นเคยกับรูปแบบของกฎที่สร้างขึ้นโดยiptables-saveคำสั่งคุณก็สามารถแก้ไขไฟล์การกำหนดค่าสำหรับ ufw ในและ/etc/ufw/user.rules /etc/ufw/user6.rulesแม้ว่าคุณจะไม่ใช่สำหรับกฎที่ผู้ใช้เพิ่มทุกคนมีความคิดเห็นที่แสดงคำสั่ง ufw ที่ตรงกันสำหรับการอ้างอิงของคุณ
เปลี่ยนคำสั่งซื้อตามที่คุณต้องการและบันทึก จากนั้นเรียกใช้sudo ufw reloadคำสั่งซื้อใหม่จะอยู่ในสถานที่
วิธีนี้เร็วกว่าdeleteและinsertคำสั่ง แต่คุณควรสำรองข้อมูลก่อนการแก้ไขหากคุณไม่มั่นใจ

เหมียว
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.