Configurez UFW pour autoriser uniquement les connexions établies et associées (sur IPv4)
Je veux configurer ufw pour tout nier sauf les connexions liées et établies. Sur iptables je faisais habituellement:
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
J'ai lu que le prochain code sur ufw est étroitement lié:
ufw default deny incoming
ufw default deny forwarding
ufw default allow outgoing
ufw allow 443/tcp
ufw allow 53/tcp
................
Le problème est que, avec ce code ufw, j'autorise TOUT le trafic entrant depuis ces ports. Avec iptables, seules les connexions établies étaient autorisées. Comment pourrais-je configurer les mêmes règles sur ufw?
ufw est considéré comme une simple interface pour iptables. Il ne supporte pas toutes les fonctionnalités fournies par iptables et le filtrage basé sur l'état de connexion correspondant n'est pas encore supporté.
ufw a été lancé pour que tout utilisateur puisse comprendre ou éditer les règles de base du pare-feu sans avoir à passer par les complexités de iptables. Vous pouvez vérifier ceci wiki ubunt pour avoir une idée plus précise des fonctionnalités prises en charge. Notez que si vous connaissez iptables, vous n'avez pas besoin de ufw.
Essayez d'ajouter à /etc/ufw/before.rules
*filter
:INPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
On dirait que vous n'avez rien à faire pour autoriser RELATED/ESTABLISHED Connexions.
Dans version 0.36 de UFW je regarde sur Ubuntu Core 16.04 , les règles permettant les connexions RELATED/ESTABLISHED sont présentes par défaut.
Ouvrez les ) before.rules règles, vous verrez que le travail a été fait pour vous:
# quickly process packets for which we already have a connection
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT