Je veux configurer ufw pour tout nier sauf les connexions liées et établies. Sur iptables je faisais habituellement:
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
J'ai lu que le prochain code sur ufw est étroitement lié:
ufw default deny incoming
ufw default deny forwarding
ufw default allow outgoing
ufw allow 443/tcp
ufw allow 53/tcp
................
Le problème est que, avec ce code ufw, j'autorise TOUT le trafic entrant depuis ces ports. Avec iptables, seules les connexions établies étaient autorisées. Comment pourrais-je configurer les mêmes règles sur ufw?
ufw
est considéré comme une simple interface pour iptables
. Il ne supporte pas toutes les fonctionnalités fournies par iptables
et le filtrage basé sur l'état de connexion correspondant n'est pas encore supporté.
ufw
a été lancé pour que tout utilisateur puisse comprendre ou éditer les règles de base du pare-feu sans avoir à passer par les complexités de iptables
. Vous pouvez vérifier ceci wiki ubunt pour avoir une idée plus précise des fonctionnalités prises en charge. Notez que si vous connaissez iptables
, vous n'avez pas besoin de ufw
.
Essayez d'ajouter à /etc/ufw/before.rules
*filter
:INPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
On dirait que vous n'avez rien à faire pour autoriser RELATED/ESTABLISHED Connexions.
Dans version 0.36 de UFW je regarde sur Ubuntu Core 16.04 , les règles permettant les connexions RELATED/ESTABLISHED sont présentes par défaut.
Ouvrez les ) before.rules règles, vous verrez que le travail a été fait pour vous:
# quickly process packets for which we already have a connection
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT