it-swarm.com.de

Bestellung von UFW-Firewall-Regeln?

Ich habe die folgenden Regeln auf unserem Server innerhalb von UFW:

To                         Action      From
--                         ------      ----
22                         ALLOW       217.22.12.111
22                         ALLOW       146.200.200.200
80                         ALLOW       Anywhere
443                        ALLOW       Anywhere
22/tcp                     ALLOW       109.104.109.0/26

Die ersten beiden Regeln sind unsere internen IPs, die wir sicherstellen möchten, dass immer SSH (Port 22) verfügbar ist. Die nächsten beiden Regeln sehen vor, dass HTTP und HTTPS von beliebigen IP-Adressen aus überall angezeigt werden können. Die letzte Regel besteht darin, SSH von unserem Code-Bereitstellungssystem aus zuzulassen.

Ich setze ein ufw default deny regiere, aber es scheint nicht angezeigt zu werden. Sollte ich auch eine endgültige Regel haben, die alles leugnet?

Wenn ich eine Verweigerungsregel hinzufüge, macht die Reihenfolge, in der die Regeln oben angezeigt werden, einen Unterschied? Vermutlich, wenn diese Liste länger wird, ist das Hinzufügen einer weiteren Zulassungsregel über einer Verweigerungsregel unmöglich, was bedeutet, dass ich einige Regeln entfernen und erneut hinzufügen muss?

25
dannymcc

Wenn Sie daran interessiert sind, Ihre UFW-Regeln neu zu ordnen, ist dies eine Möglichkeit, dies zu tun.

$ Sudo ufw status numbered

     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    Anywhere
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 443                        ALLOW IN    Anywhere
[ 4] 22 (v6)                    ALLOW IN    Anywhere (v6)
[ 5] 80 (v6)                    ALLOW IN    Anywhere (v6)
[ 6] 443 (v6)                   ALLOW IN    Anywhere (v6)
[ 7] Anywhere                   DENY IN     [ip-to-block]

Angenommen, Sie haben am Ende versehentlich eine Regel hinzugefügt, wollten aber oben sein.

Zuerst müssen Sie es von unten entfernen (7) und wieder hinzufügen.

$ Sudo ufw delete 7

Beachten Sie, dass Sie nicht mehrere Regeln nacheinander entfernen müssen, da sich ihre Position ändern kann!

Fügen Sie Ihre Regel ganz oben wieder hinzu (1):

$ Sudo ufw insert 1 deny from [ip-to-block] to any
37
Justin Fortier

Der Befehl ufw status verbose Zeigt Ihnen die Standardregel an. Für Ihre Konfiguration möchten Sie wahrscheinlich, dass es sagt

 Standard: verweigern (eingehend), zulassen (ausgehend) 

In diesem Fall benötigen Sie keine separate Regel "Alles verweigern", und die Reihenfolge Ihrer anderen Regeln spielt keine Rolle. Wenn Sie die Reihenfolge ändern möchten, können Sie mit ufw insert [position] [rule text] An einer bestimmten Stelle eine Regel hinzufügen. Sie können eine nummerierte Liste von Regeln mit ufw status numbered Erhalten.

13
Flup

Wenn Sie mit dem Format der vom Befehl iptables-save Generierten Regeln vertraut sind, können Sie einfach die Konfigurationsdateien für ufw in /etc/ufw/user.rules Und /etc/ufw/user6.rules Bearbeiten. Selbst wenn dies nicht der Fall ist, gibt es für jede vom Benutzer hinzugefügte Regel einen Kommentar, der den übereinstimmenden Befehl ufw als Referenz anzeigt.
Ändern Sie die Bestellungen nach Ihren Wünschen und speichern Sie sie. Führen Sie dann Sudo ufw reload Aus, die neue Bestellung wird ausgeführt.
Dieser Weg ist schneller als die Befehle delete und insert, aber Sie sollten wahrscheinlich vor dem Bearbeiten eine Sicherungskopie erstellen, wenn Sie nicht sehr sicher sind.

3
Meow