UFW - Comment faciliter les choses et quels sont les ports furtifs que UFW peut-il avoir?
Laissez-moi vous montrer ce que je viens de perdre 2 heures à faire:
To Action From
-- ------ ----
22 REJECT Anywhere
23/tcp REJECT Anywhere
79/tcp REJECT Anywhere
25/tcp REJECT Anywhere
43/tcp REJECT Anywhere
49 REJECT Anywhere
21/tcp REJECT Anywhere
110 REJECT Anywhere
115/tcp REJECT Anywhere
39/udp REJECT Anywhere
143 REJECT Anywhere
161 REJECT Anywhere
199 REJECT Anywhere
209 REJECT Anywhere
213 REJECT Anywhere
530/tcp REJECT Anywhere
389 REJECT Anywhere
444 REJECT Anywhere
465/tcp REJECT Anywhere
512/udp REJECT Anywhere
513/udp REJECT Anywhere
514/tcp REJECT Anywhere
514/udp REJECT Anywhere
540/tcp REJECT Anywhere
554 REJECT Anywhere
556/tcp REJECT Anywhere
623/udp REJECT Anywhere
706 REJECT Anywhere
88 REJECT Anywhere
990/tcp REJECT Anywhere
994 REJECT Anywhere
995 REJECT Anywhere
993 REJECT Anywhere
130/tcp REJECT Anywhere
130/udp REJECT Anywhere
131/udp REJECT Anywhere
132/udp REJECT Anywhere
133/udp REJECT Anywhere
134/udp REJECT Anywhere
135/udp REJECT Anywhere
136/udp REJECT Anywhere
137/udp REJECT Anywhere
138/udp REJECT Anywhere
139/udp REJECT Anywhere
139/tcp REJECT Anywhere
138/tcp REJECT Anywhere
137/tcp REJECT Anywhere
136/tcp REJECT Anywhere
135/tcp REJECT Anywhere
134/tcp REJECT Anywhere
133/tcp REJECT Anywhere
132/tcp REJECT Anywhere
131/tcp REJECT Anywhere
22 (v6) REJECT Anywhere (v6)
23/tcp (v6) REJECT Anywhere (v6)
79/tcp (v6) REJECT Anywhere (v6)
25/tcp (v6) REJECT Anywhere (v6)
43/tcp (v6) REJECT Anywhere (v6)
49 (v6) REJECT Anywhere (v6)
21/tcp (v6) REJECT Anywhere (v6)
110 (v6) REJECT Anywhere (v6)
115/tcp (v6) REJECT Anywhere (v6)
39/udp (v6) REJECT Anywhere (v6)
143 (v6) REJECT Anywhere (v6)
161 (v6) REJECT Anywhere (v6)
199 (v6) REJECT Anywhere (v6)
209 (v6) REJECT Anywhere (v6)
213 (v6) REJECT Anywhere (v6)
530/tcp (v6) REJECT Anywhere (v6)
389 (v6) REJECT Anywhere (v6)
444 (v6) REJECT Anywhere (v6)
465/tcp (v6) REJECT Anywhere (v6)
512/udp (v6) REJECT Anywhere (v6)
513/udp (v6) REJECT Anywhere (v6)
514/tcp (v6) REJECT Anywhere (v6)
514/udp (v6) REJECT Anywhere (v6)
540/tcp (v6) REJECT Anywhere (v6)
554 (v6) REJECT Anywhere (v6)
556/tcp (v6) REJECT Anywhere (v6)
623/udp (v6) REJECT Anywhere (v6)
706 (v6) REJECT Anywhere (v6)
88 (v6) REJECT Anywhere (v6)
990/tcp (v6) REJECT Anywhere (v6)
994 (v6) REJECT Anywhere (v6)
995 (v6) REJECT Anywhere (v6)
993 (v6) REJECT Anywhere (v6)
130/tcp (v6) REJECT Anywhere (v6)
130/udp (v6) REJECT Anywhere (v6)
131/udp (v6) REJECT Anywhere (v6)
132/udp (v6) REJECT Anywhere (v6)
133/udp (v6) REJECT Anywhere (v6)
134/udp (v6) REJECT Anywhere (v6)
135/udp (v6) REJECT Anywhere (v6)
136/udp (v6) REJECT Anywhere (v6)
137/udp (v6) REJECT Anywhere (v6)
138/udp (v6) REJECT Anywhere (v6)
139/udp (v6) REJECT Anywhere (v6)
139/tcp (v6) REJECT Anywhere (v6)
138/tcp (v6) REJECT Anywhere (v6)
137/tcp (v6) REJECT Anywhere (v6)
136/tcp (v6) REJECT Anywhere (v6)
135/tcp (v6) REJECT Anywhere (v6)
134/tcp (v6) REJECT Anywhere (v6)
133/tcp (v6) REJECT Anywhere (v6)
132/tcp (v6) REJECT Anywhere (v6)
131/tcp (v6) REJECT Anywhere (v6)
Suivi de l'installation de fail2ban J'ai tout fait manuellement à partir de la liste des pages des ports wiki et en tapant chaque commande de rejet!
J'ai probablement encore manqué 60000
Presque toutes les listes d'accès se terminent par défaut avec deny all all.
Lorsque vous activez ufw width, toutes les règles sont définies sur allow, tout le trafic est dans l'état deny.
Status: active
To Action From
-- ------ ----
69 ALLOW Anywhere
53 ALLOW Anywhere
22 ALLOW 213.xxx.xxx.xxx
80/tcp ALLOW 194.247.xxx.xxx
21/tcp ALLOW 194.247.xxx.xxx
69 (v6) ALLOW Anywhere (v6)
80 (v6) ALLOW Anywhere (v6)
Ces règles acceptent tout port 69, tout port 53, ssh de 213.xxx.xxx.xxx, 80 et 21 de 194.247.xxx.xxx ... et refuser tout autre trafic entrant
Modifier 1
Lorsque vous activez ufw sans aucune règle allow, la règle est deny.
La commande complète pour la règle dans ufw est
Sudo ufw [--dry-run] [delete] [insert NUM] allow|deny|reject|limit [in|out on INTERFACE] [log|log-all] [proto protocol] [from ADDRESS [port PORT]][to ADDRESS [port PORT]]
Sur la base de ce modèle de règle, vous pouvez autoriser l'utilisation de xxx.xxx.xxx.xxx sur le port 80 avec cette règle.
pour hôte spécifique
Sudo ufw allow proto tcp from xxx.xxx.xxx.xxx to any port 80
si vous ne permettez pas à quiconque d'accéder à votre serveur Web
Sudo ufw allow proto tcp from any to any port 80
si vous souhaitez autoriser l'accès depuis un réseau spécifique
Sudo ufw allow proto tcp from xxx.xxx.xxx.xxx/yy to any port 80
où
xxx.xxx.xxx.xxx - représente l'ip du réseau
yy - représente le masque de réseau
Si vous utilisez DNSservice sur le serveur, définissez la règle pour port 53 et proto tcp et proto udp.
Sudo ufw allow proto tcp from xxx.xxx.xxx.xxx/yy to any port 53
Sudo ufw allow proto udp from xxx.xxx.xxx.xxx/yy to any port 53