Siehe konfigurierte Regeln, auch wenn sie inaktiv sind

71

Ich frage mich, ob es möglich ist, dass UFW die konfigurierten Firewall-Regeln auflistet, auch wenn sie nicht aktiviert sind. Ich habe derzeit nur SSH-Zugriff auf den Server und möchte UFW nicht aktivieren, wenn keine Regel konfiguriert ist, die SSH zulässt. Da UFW derzeit jedoch nicht aktiviert ist, erhalte ich nur eine "inaktive" Nachricht, wenn ich "ufw status" ausführe.

Gibt es ein spezielles Flag, das ich verwenden kann, oder sogar eine Konfigurationsdatei, in der ich nachsehen kann, welche Regeln konfiguriert sind, auch wenn die Firewall deaktiviert ist?

Bryan
quelle
4
Die aktuelle Antwort ist mit ufw show addedfreundlicher Genehmigung von @simon.
Ctbrown

Antworten:

24

Es gibt derzeit keine Möglichkeit, die Regeln anzuzeigen, die Sie eingegeben haben, bevor Sie die Firewall über den CLI-Befehl aktiviert haben. Sie können die Regeldateien jedoch direkt einsehen. /lib/ufw/user*.rules enthält die Regeln, die über den CLI-Befehl 'ufw' gesteuert werden. Z.B:

 $ sudo grep '^### tuple' /lib/ufw/user*.rules

Dies zeigt eine Ausgabe wie die folgende (für die mit 'sudo ufw allow OpenSSH' hinzugefügte Regel):

 /lib/ufw/user.rules:### tuple ### allow tcp 22 0.0.0.0/0 any 0.0.0.0/0 OpenSSH - in

Das 'Tupel' ist die Abkürzung, die ufw intern verwendet, um die Regeln zu verfolgen, und kann als eine der folgenden interpretiert werden:

 ### tuple ### <action> <proto> <dst port> <dst> <src port> <src> <direction>
 ### tuple ### <action> <proto> <dst port> <dst> <src port> <src> <dst app name> <src app name> <direction>

Es kann hilfreich sein, einen weiteren Statusbefehl hinzuzufügen, um dies zu unterstützen. Bitte ziehen Sie in Betracht, einen Fehler zu melden.

jdstrand
quelle
5
das /lib
einspielen der dateien
11
Sie haben den Befehl hinzugefügt ufw show added, siehe auch die Antwort von @ Simon unten
RedPixel
109

Es gibt jetzt einen ufw show addedBefehl, der die konfigurierten Regeln für Sie auflistet, auch wenn die Firewall inaktiv ist. Es wurde als Fehlerbehebung für diesen Fehlerbericht hinzugefügt und in Version 0.33 hinzugefügt

Jetzt können Sie also Folgendes tun:

# ufw status
Status: inactive
# ufw allow ssh
Rules updated
Rules updated (v6)
# ufw show added
Added user rules (see 'ufw status' for running firewall):
ufw allow 22
# ufw enable
Firewall is active and enabled on system startup
# ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)

Das Format der Ausgabe von ufw show addederleichtert das Schreiben des Löschbefehls für jede Regel erheblich.

Simon
quelle
3
Fehlerbericht: Dieser wurde in der im August 2012 veröffentlichten UFW-Version 0.33 hinzugefügt.
ConvexMartian
18

Allgemeine Regeln sind in /etc/ufw. Benutzerdefinierte Regeln sind in /lib/ufw/user*.

ordnen
quelle
Magic - /lib/ufw/user.rules enthält für Menschen lesbare Regeln im Abschnitt ### RULES ###. Vielen Dank.
Scaine
9

In Ubuntu 16.04 werden benutzerdefinierte Regeln in gespeichert /etc/ufw/user.rules. Daher können Sie die Regeln sehen mit:

sudo cat /etc/ufw/user.rules
pstadler
quelle
1
Daher können Sie dies unter Ubuntu 16.04 verwenden: sudo grep '^### tuple' /etc/ufw/user*.rulesfür die formatierte Liste der vom Benutzer hinzugefügten Regeln.
Ville
2
@Ville, tu das nicht. Verwenden Sie sudo ufw show addedstattdessen.
Ctbrown
Ich wusste nicht, dass @ctbrown, danke. Es scheint auch zu funktionieren, wenn ufw deaktiviert ist.
pstadler
4

Von der Kommandozeile aus scheint es keinen Weg zu geben. Wenn Sie jedoch von einer Ubuntu-Box (zu einer Ubuntu-Box) SSH-fähig sind, sollten Sie diese leicht verschlungene Methode ausprobieren:

Grundsätzlich installieren Sie gufw auf der Remote-Box, stellen dann eine Verbindung mit X-Forwarding her und führen die GUI aus.

Nach dem Herstellen einer Verbindung mit auf dem Remote-Gerät -Xals Option:

sudo apt-get install gufw
sudo gufw

Dadurch wird der Regelsatz angezeigt, ohne dass Sie ihn aktivieren müssen.

Seien Sie gewarnt, dass die Installation von GUFW eine unangenehme Anzahl von Abhängigkeiten nach sich ziehen kann, wenn das Remote-Gerät ein echter "headless" Server ist. Aber es sei denn, jemand hier weiß einen Trick, mit dem UFW Ihnen die Ausgabe anzeigt, die Sie benötigen, ohne sie zuerst zu aktivieren, ist dies möglicherweise Ihre einzige Option.

Ich habe es versucht sudo ufw show raw, aber das zeigt die Ausgabe von iptables, für die ich weder Kopf noch Schwanz machen kann.

Scaine
quelle
Danke für den Leckerbissen über "ufw show raw" - das muss ich auf den Manpages verpasst haben. Wenn ich es starte, sehe ich nichts, was mir als Regeln auffällt, was bedeutet, dass ich möglicherweise keine konfiguriert habe, aber ich möchte es noch nicht riskieren. Und ja, für die Installation von gufw müssten sehr viele Abhängigkeiten installiert werden. Ich glaube, ich werde mich vor diesem Ansatz zurückhalten.
Bryan