UFW Firewall Rules bestellen?

23

Ich habe folgende Regeln auf unserem Server innerhalb von UFW:

To                         Action      From
--                         ------      ----
22                         ALLOW       217.22.12.111
22                         ALLOW       146.200.200.200
80                         ALLOW       Anywhere
443                        ALLOW       Anywhere
22/tcp                     ALLOW       109.104.109.0/26

Die ersten beiden Regeln sind unsere internen IP's, die wir sicherstellen wollen, dass SSH immer in (Port 22) kann. Die nächsten beiden Regeln sehen vor, dass HTTP und HTTPS von jeder IP-Adresse an jedem Ort angezeigt werden. Die letzte Regel ist, SSH von unserem Code-Deployment-System zuzulassen.

Ich habe eine ufw default denyRegel erstellt, aber sie wird anscheinend nicht angezeigt. Sollte ich auch eine letzte Regel haben, die alles leugnet?

Wenn ich eine Regel "Alles ablehnen" hinzufüge, macht es dann einen Unterschied, in welcher Reihenfolge die oben aufgeführten Regeln angezeigt werden? Vermutlich, wenn diese Liste länger wird, ist das Hinzufügen einer weiteren Zulassungsregel über einer Verweigerungsregel unmöglich, was bedeutet, dass ich einige Regeln entfernen und erneut hinzufügen muss?

dannymcc
quelle

Antworten:

34

Wenn Sie daran interessiert sind, Ihre UFW-Regeln neu zu ordnen, ist dies eine Möglichkeit, dies zu tun.

$ sudo ufw status numbered

     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    Anywhere
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 443                        ALLOW IN    Anywhere
[ 4] 22 (v6)                    ALLOW IN    Anywhere (v6)
[ 5] 80 (v6)                    ALLOW IN    Anywhere (v6)
[ 6] 443 (v6)                   ALLOW IN    Anywhere (v6)
[ 7] Anywhere                   DENY IN     [ip-to-block]

Angenommen, Sie haben versehentlich eine Regel zum Ende hinzugefügt, aber Sie wollten ganz oben.

Zuerst müssen Sie es vom Boden entfernen (7) und wieder hinzufügen.

$ sudo ufw delete 7

Beachten Sie, dass Sie nicht mehrere Regeln nacheinander entfernen, da sich ihre Position ändern kann!

Fügen Sie Ihre Regel ganz oben hinzu (1):

$ sudo ufw insert 1 deny from [ip-to-block] to any
Justin Fortier
quelle
13

Der Befehl ufw status verbosezeigt Ihnen die Standardregel. Für Ihre Konfiguration möchten Sie wahrscheinlich, dass es sagt

Standard: Ablehnen (eingehend), Zulassen (ausgehend)

In diesem Fall benötigen Sie keine separate Regel "Alles ablehnen", und die Reihenfolge Ihrer anderen Regeln spielt keine Rolle. Wenn Sie die Reihenfolge ändern möchten, können Sie mithilfe von eine Regel an einer bestimmten Stelle hinzufügen ufw insert [position] [rule text]. Mit können Sie eine nummerierte Liste von Regeln erhalten ufw status numbered.

Flup
quelle
3

Wenn Sie mit dem Format der vom iptables-saveBefehl generierten Regeln vertraut sind , können Sie einfach die Konfigurationsdateien für ufw in /etc/ufw/user.rulesund bearbeiten /etc/ufw/user6.rules. Selbst wenn dies nicht der Fall ist, wird für jede vom Benutzer hinzugefügte Regel ein Kommentar mit dem passenden ufw-Befehl für Ihre Referenz angezeigt.
Ändern Sie die Bestellungen nach Ihren Wünschen und speichern Sie sie. Führen Sie dann aus sudo ufw reload, die neue Bestellung wird vorhanden sein.
Dieser Weg ist schneller als deleteund insertBefehle, aber Sie sollten wahrscheinlich vor der Bearbeitung sichern, wenn Sie nicht sehr sicher sind.

Miau
quelle