Veja regras configuradas mesmo quando inativas

71

Gostaria de saber se é possível obter o UFW para listar as regras de firewall configuradas, mesmo quando não estiver ativado. No momento, só tenho acesso ssh ao servidor e não quero habilitar o UFW se não houver uma regra configurada que permita o ssh. No entanto, como o UFW atualmente não está ativado, recebo uma mensagem "inativa" quando executo o "status ufw".

Existe um sinalizador especial que eu possa usar ou mesmo algum arquivo de configuração para ver quais regras estão configuradas mesmo quando o firewall está desativado?

Bryan
fonte
4
A resposta atual é ufw show addedcortesia de @simon.
ctbrown

Respostas:

24

Atualmente, não há uma maneira de mostrar as regras que você inseriu antes de ativar o firewall por meio do comando da CLI. No entanto, você pode inspecionar os arquivos de regras diretamente. /lib/ufw/user*.rules contém as regras controladas pelo comando da CLI 'ufw'. Por exemplo:

 $ sudo grep '^### tuple' /lib/ufw/user*.rules

Isso mostrará uma saída como a seguinte (para a regra adicionada com 'sudo ufw allow OpenSSH):

 /lib/ufw/user.rules:### tuple ### allow tcp 22 0.0.0.0/0 any 0.0.0.0/0 OpenSSH - in

A 'tupla' é a abreviação usada internamente pelo ufw para acompanhar as regras e pode ser interpretada como uma delas:

 ### tuple ### <action> <proto> <dst port> <dst> <src port> <src> <direction>
 ### tuple ### <action> <proto> <dst port> <dst> <src port> <src> <dst app name> <src app name> <direction>

Pode ser útil poder adicionar outro comando de status para dar suporte a isso. Por favor, considere registrar um bug.

jdstrand
fonte
5
colocando os arquivos em /libé muito estranho, na minha opinião
pqnet
11
Eles acrescentaram o comando ufw show added, ver também a resposta da @Simon abaixo
RedPixel
109

Agora existe um ufw show addedcomando que lista as regras configuradas para você, mesmo quando o firewall está inativo. Foi adicionado como uma correção para este relatório de erros e adicionado na v0.33

Então agora você pode fazer:

# ufw status
Status: inactive
# ufw allow ssh
Rules updated
Rules updated (v6)
# ufw show added
Added user rules (see 'ufw status' for running firewall):
ufw allow 22
# ufw enable
Firewall is active and enabled on system startup
# ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)

O formato da saída de ufw show addedfacilita muito a gravação do comando de exclusão para cada regra também.

Simon
fonte
3
Por relatório de erro: esta foi adicionado na versão ufw 0,33, lançado agosto de 2012.
ConvexMartian
18

Regras gerais estão em /etc/ufw. As regras definidas pelo usuário estão dentro /lib/ufw/user*.

organizar
fonte
Magic - /lib/ufw/user.rules possui regras legíveis por humanos na seção ### RULES ###. Obrigado.
Scaine
9

No Ubuntu 16.04, as regras definidas pelo usuário são armazenadas no /etc/ufw/user.rules. Portanto, você pode ver as regras com:

sudo cat /etc/ufw/user.rules
pstadler
fonte
11
Portanto, no Ubuntu 16.04, você pode usar isto: sudo grep '^### tuple' /etc/ufw/user*.rulespara a lista formatada de regras adicionadas pelo usuário.
Ville
2
@Ville, não faça isso. Use em sudo ufw show addedvez disso.
ctbrown
Eu não sabia disso @ctbrown, obrigado. Também parece funcionar quando o ufw está desativado.
pstadler
4

Na linha de comando, não parece haver um caminho. No entanto, se você estiver executando o SSH de uma caixa do Ubuntu (para uma caixa do Ubuntu), convém tentar este método levemente complicado:

Basicamente, instale o gufw na caixa remota, conecte-se ao encaminhamento do X e execute a GUI.

No dispositivo remoto, depois de conectar -Xcomo uma opção:

sudo apt-get install gufw
sudo gufw

Isso mostrará o conjunto de regras sem a necessidade de ativá-lo.

Esteja avisado de que se o dispositivo remoto for um servidor "sem cabeça" verdadeiro, a instalação do GUFW poderá reduzir um número desagradável de dependências. Mas, a menos que alguém aqui conheça um truque para fazer com que o UFW mostre a saída necessária sem ativá-la primeiro, então essa pode ser sua única opção.

Eu tentei sudo ufw show raw, mas isso mostra a saída do iptables, da qual não consigo entender nem pensar.

Scaine
fonte
Obrigado pelo boato sobre "ufw show raw" - devo ter perdido isso nas páginas de manual. Quando o executo, não vejo nada que salte para mim como sendo regras, o que significa que posso não ter nenhum configurado, mas não quero arriscar ainda. E sim, a instalação do gufw exigiria a instalação de um número muito grande de dependências, então acho que vou me esquivar dessa abordagem.
Bryan