Pemesanan Aturan UFW Firewall?

23

Saya memiliki aturan berikut di server kami dalam UFW:

To                         Action      From
--                         ------      ----
22                         ALLOW       217.22.12.111
22                         ALLOW       146.200.200.200
80                         ALLOW       Anywhere
443                        ALLOW       Anywhere
22/tcp                     ALLOW       109.104.109.0/26

Dua aturan pertama adalah IP internal kami yang ingin kami pastikan selalu SSH di (port 22). Dua aturan berikutnya adalah untuk memungkinkan HTTP dan HTTPS melihat dari alamat IP mana saja. Aturan terakhir adalah mengizinkan SSH dari sistem penerapan kode kami.

Saya menetapkan ufw default denyaturan tetapi tampaknya tidak muncul. Haruskah saya juga memiliki aturan final yang menyangkal segalanya?

Jika saya menambahkan aturan tolak semuanya, apakah urutan aturan di atas membuat perbedaan? Agaknya jika daftar ini semakin lama menambahkan aturan izin lain di atas aturan penolakan tidak mungkin, artinya saya harus menghapus dan menambahkan kembali beberapa aturan?

dannymcc
sumber

Jawaban:

34

Jika Anda tertarik untuk menyusun ulang aturan UFW Anda, ini adalah salah satu cara untuk melakukannya.

$ sudo ufw status numbered

     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    Anywhere
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 443                        ALLOW IN    Anywhere
[ 4] 22 (v6)                    ALLOW IN    Anywhere (v6)
[ 5] 80 (v6)                    ALLOW IN    Anywhere (v6)
[ 6] 443 (v6)                   ALLOW IN    Anywhere (v6)
[ 7] Anywhere                   DENY IN     [ip-to-block]

Katakanlah Anda tidak sengaja menambahkan aturan sampai akhir, tetapi Anda ingin yang teratas.

Pertama, Anda harus menghapusnya dari bawah (7) dan menambahkannya kembali.

$ sudo ufw delete 7

Catatan, hati-hati menghapus beberapa aturan satu demi satu, posisinya dapat berubah!

Tambahkan kembali aturan Anda ke bagian paling atas (1):

$ sudo ufw insert 1 deny from [ip-to-block] to any
Justin Fortier
sumber
13

Perintah ufw status verboseakan menunjukkan kepada Anda aturan default. Untuk konfigurasi Anda, Anda mungkin ingin mengatakannya

Default: deny (incoming), allow (outgoing)

Dalam hal ini, Anda tidak perlu aturan 'tolak segalanya' yang terpisah, dan urutan aturan lainnya tidak masalah. Jika Anda ingin mengubah urutan, Anda dapat menambahkan aturan di tempat tertentu dengan menggunakan ufw insert [position] [rule text]. Anda bisa mendapatkan daftar aturan bernomor ufw status numbered.

Flup
sumber
3

Jika Anda terbiasa dengan format aturan yang dihasilkan oleh iptables-saveperintah, Anda bisa mengedit file konfigurasi untuk ufw in /etc/ufw/user.rulesdan /etc/ufw/user6.rules. Bahkan jika Anda tidak, untuk setiap pengguna menambahkan aturan ada komentar yang menunjukkan perintah ufw yang cocok untuk referensi Anda.
Ubah pesanan sesuai keinginan Anda, dan simpan. Kemudian jalankan sudo ufw reload, orde baru akan berada di tempatnya.
Cara ini lebih cepat daripada deletedan insertperintah, tetapi Anda mungkin harus membuat cadangan sebelum mengedit jika Anda tidak terlalu percaya diri.

meong
sumber