Regras de firewall da UFW solicitando?

23

Eu tenho as seguintes regras em nosso servidor na UFW:

To                         Action      From
--                         ------      ----
22                         ALLOW       217.22.12.111
22                         ALLOW       146.200.200.200
80                         ALLOW       Anywhere
443                        ALLOW       Anywhere
22/tcp                     ALLOW       109.104.109.0/26

As duas primeiras regras são os nossos IPs internos, que queremos garantir que sempre haja SSH (porta 22). As próximas duas regras são para permitir a visualização HTTP e HTTPS de qualquer endereço IP em qualquer lugar. A regra final é permitir o SSH do nosso sistema de implantação de código.

Eu configurei uma ufw default denyregra, mas ela não parece estar sendo exibida. Devo também ter uma regra final que negue tudo?

Se eu adicionar uma regra de negar tudo, a ordem em que as regras aparecem acima faz diferença? Presumivelmente, se essa lista ficar mais longa, é impossível adicionar outra regra de permissão acima de uma regra de negação, o que significa que terei que remover e adicionar novamente algumas regras?

dannymcc
fonte

Respostas:

34

Se você estiver interessado em reordenar suas regras da UFW, essa é uma maneira de fazer isso.

$ sudo ufw status numbered

     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    Anywhere
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 443                        ALLOW IN    Anywhere
[ 4] 22 (v6)                    ALLOW IN    Anywhere (v6)
[ 5] 80 (v6)                    ALLOW IN    Anywhere (v6)
[ 6] 443 (v6)                   ALLOW IN    Anywhere (v6)
[ 7] Anywhere                   DENY IN     [ip-to-block]

Digamos que você acidentalmente adicionou uma regra ao final, mas você queria estar no topo.

Primeiro, você deve removê-lo da parte inferior (7) e adicioná-lo novamente.

$ sudo ufw delete 7

Note, tenha cuidado ao remover várias regras, uma após a outra, a posição delas pode mudar!

Adicione sua regra de volta ao topo (1):

$ sudo ufw insert 1 deny from [ip-to-block] to any
Justin Fortier
fonte
13

O comando ufw status verbosemostrará a regra padrão. Para sua configuração, você provavelmente quer que ele diga

Padrão: negar (de entrada), permitir (de saída)

Nesse caso, você não precisa de uma regra separada de "negar tudo", e a ordem das outras regras não importa. Se você deseja alterar a ordem, pode adicionar uma regra em um local específico usando ufw insert [position] [rule text]. Você pode obter uma lista numerada de regras com ufw status numbered.

Flup
fonte
3

Se você estiver familiarizado com o formato das regras geradas pelo iptables-savecomando, basta editar os arquivos de configuração para ufw em /etc/ufw/user.rulese /etc/ufw/user6.rules. Mesmo se você não estiver, para cada regra adicionada por usuário, há um comentário mostrando o comando ufw correspondente para sua referência.
Mude as ordens como desejar e salve-as. Em seguida sudo ufw reload, execute , o novo pedido estará em vigor.
Dessa forma, é mais rápido que os comandos deletee insert, mas você provavelmente deve fazer backup antes de editar, se não estiver muito confiante.

Miau
fonte