Frage UFW Firewall Regeln bestellen?


Ich habe die folgenden Regeln auf unserem Server innerhalb von UFW:

To                         Action      From
--                         ------      ----
22                         ALLOW       217.22.12.111
22                         ALLOW       146.200.200.200
80                         ALLOW       Anywhere
443                        ALLOW       Anywhere
22/tcp                     ALLOW       109.104.109.0/26

Die ersten beiden Regeln sind unsere internen IP's, die wir sicherstellen wollen, dass immer SSH drin sein kann (Port 22). Mit den nächsten beiden Regeln können Sie HTTP und HTTPS von beliebigen IP-Adressen aus anzeigen. Die letzte Regel besteht darin, SSH von unserem Code Deployment System zuzulassen.

Ich stelle ein ufw default deny Regel, aber es scheint nicht zu zeigen. Soll ich auch eine letzte Regel haben, die alles abstreitet?

Wenn ich eine Regel "Alles verweigern" hinzufüge, macht die Reihenfolge, in der die Regeln oben angezeigt werden, einen Unterschied? Vermutlich, wenn diese Liste länger wird, ist das Hinzufügen einer anderen erlaubten Regel über eine Ablehnungsregel unmöglich, was bedeutet, dass ich einige Regeln entfernen und wieder hinzufügen muss?


18
2018-03-04 14:09


Ursprung




Antworten:


Wenn Sie Ihre UFW-Regeln neu anordnen möchten, ist dies eine Möglichkeit.

$ sudo ufw status numbered

     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    Anywhere
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 443                        ALLOW IN    Anywhere
[ 4] 22 (v6)                    ALLOW IN    Anywhere (v6)
[ 5] 80 (v6)                    ALLOW IN    Anywhere (v6)
[ 6] 443 (v6)                   ALLOW IN    Anywhere (v6)
[ 7] Anywhere                   DENY IN     [ip-to-block]

Angenommen, Sie haben versehentlich eine Regel am Ende hinzugefügt, aber Sie wollten oben.

Zuerst werden Sie es von der Unterseite entfernen (7) und fügen Sie es zurück.

$ sudo ufw delete 7

Beachten Sie, achten Sie darauf, mehrere Regeln nacheinander zu entfernen, ihre Position kann sich ändern!

Fügen Sie Ihre Regel ganz oben (1) hinzu:

$ sudo ufw insert 1 deny from [ip-to-block] to any

28
2018-06-24 17:06





Der Befehl ufw status verbose zeigt Ihnen die Standardregel. Für Ihre Konfiguration möchten Sie es wahrscheinlich sagen

Standard: verweigern (eingehend), zulassen (ausgehend)

In diesem Fall benötigen Sie keine separate Regel "alles ablehnen", und die Reihenfolge Ihrer anderen Regeln spielt keine Rolle. Wenn Sie die Reihenfolge ändern möchten, können Sie mithilfe von eine Regel an einer bestimmten Stelle hinzufügen ufw insert [position] [rule text]. Sie können eine nummerierte Liste von Regeln mit erhalten ufw status numbered.


11
2018-03-04 16:17





Wenn Sie mit dem Format der von. Erzeugten Regeln vertraut sind iptables-save Befehl, können Sie nur die Konfigurationsdateien für UFW bearbeiten /etc/ufw/user.rules und /etc/ufw/user6.rules. Selbst wenn dies nicht der Fall ist, gibt es für jede vom Benutzer hinzugefügte Regel einen Kommentar, der den übereinstimmenden Befehl ufw als Referenz anzeigt.
Verändern Sie die Bestellungen nach Belieben und speichern Sie sie. Dann renne sudo ufw reload, die neue Ordnung wird vorhanden sein.
Dieser Weg ist schneller als delete und insert Befehle, aber Sie sollten wahrscheinlich vor der Bearbeitung sichern, wenn Sie nicht sehr zuversichtlich sind.


2
2018-02-02 13:40