web-dev-qa-db-fra.com

Vérifier les règles de pare-feu ufw existantes sans l'activer

J'utilise Vagrant pour exécuter une boîte Ubuntu 12.04 LTS.

$ Sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Évidemment, je ne veux pas perturber ma connexion SSH, car c’est ainsi que j’accède à la boîte. Apparemment, la commande permettant de vérifier les règles existantes est Sudo ufw status verbose mais elle renvoie inactive.

N'y a-t-il pas moyen de vérifier les règles sans les activer? Cela pourrait devenir gênant rapidement.

4
iain

Il n'y a actuellement aucun moyen d'afficher les règles que vous avez entrées avant l'activation du pare-feu via la commande CLI. Vous pouvez cependant inspecter directement les fichiers de règles. /lib/ufw/user*.rules contient les règles contrôlées via la commande CLI 'ufw'. Par exemple

Sudo grep '^### Tuple' /lib/ufw/user*.rules

Cela affichera la sortie comme suit

Sudo grep '^### Tuple' /lib/ufw/user*.rules
/lib/ufw/user6.rules:### Tuple ### allow any 22 ::/0 any ::/0 in
/lib/ufw/user.rules:### Tuple ### allow any 22 0.0.0.0/0 any 0.0.0.0/0 in

Le "Tuple" est le raccourci utilisé en interne par ufw pour suivre les règles

Ou plus détaillé avec

  Sudo cat /lib/ufw/user.rules

*filter
:ufw-user-input - [0:0]
:ufw-user-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-logging-deny - [0:0]
:ufw-logging-allow - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
### RULES ###

### Tuple ### allow any 22 0.0.0.0/0 any 0.0.0.0/0 in
-A ufw-user-input -p tcp --dport 22 -j ACCEPT
-A ufw-user-input -p udp --dport 22 -j ACCEPT

### END RULES ###

### LOGGING ###
-A ufw-after-logging-input -j LOG --log-prefix "[UFW BLOCK] " -m limit --limit 3/min --limit-burst 10
-A ufw-after-logging-forward -j LOG --log-prefix "[UFW BLOCK] " -m limit --limit 3/min --limit-burst 10
-I ufw-logging-deny -m conntrack --ctstate INVALID -j RETURN -m limit --limit 3/min --limit-burst 10
-A ufw-logging-deny -j LOG --log-prefix "[UFW BLOCK] " -m limit --limit 3/min --limit-burst 10
-A ufw-logging-allow -j LOG --log-prefix "[UFW ALLOW] " -m limit --limit 3/min --limit-burst 10
### END LOGGING ###

### RATE LIMITING ###
-A ufw-user-limit -m limit --limit 3/minute -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT
-A ufw-user-limit-accept -j ACCEPT
### END RATE LIMITING ###
COMMIT

Comme je le dis "Tuple" est des règles qui vous sont définies via Cli, reste sont les règles par défaut, les chaînes ...

5
2707974

Le grep de 2707974 a fonctionné pour moi, mais sur mon système, les fichiers se trouvaient dans /etc/ufw/ et non pas /lib/ufw/.

Au cas où cela aiderait quelqu'un à l'avenir, je l'ai retrouvé avec

Sudo find / -type f -iname 'user*rules' -ipath '*ufw*'

3
user8675309