web-dev-qa-db-fra.com

Commande de règles de pare-feu UFW?

J'ai les règles suivantes sur notre serveur au sein de l'UFW:

To                         Action      From
--                         ------      ----
22                         ALLOW       217.22.12.111
22                         ALLOW       146.200.200.200
80                         ALLOW       Anywhere
443                        ALLOW       Anywhere
22/tcp                     ALLOW       109.104.109.0/26

Les deux premières règles sont nos IP internes dont nous voulons nous assurer qu'elles peuvent toujours être SSH (port 22). Les deux règles suivantes permettent d'autoriser l'affichage HTTP et HTTPS à partir de n'importe quelle adresse IP n'importe où. La dernière règle est d'autoriser SSH à partir de notre système de déploiement de code.

J'ai défini un ufw default deny règle, mais il ne semble pas être affiché. Dois-je également avoir une règle finale qui nie tout?

Si j'ajoute une règle de tout refuser, l'ordre dans lequel les règles apparaissent ci-dessus fait-il une différence? Vraisemblablement, si cette liste s'allonge, ajouter une autre règle d'autorisation au-dessus d'une règle de refus est impossible, ce qui signifie que je devrai supprimer et rajouter certaines règles?

25
dannymcc

Si vous souhaitez réorganiser vos règles UFW, c'est une façon de le faire.

$ Sudo ufw status numbered

     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    Anywhere
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 443                        ALLOW IN    Anywhere
[ 4] 22 (v6)                    ALLOW IN    Anywhere (v6)
[ 5] 80 (v6)                    ALLOW IN    Anywhere (v6)
[ 6] 443 (v6)                   ALLOW IN    Anywhere (v6)
[ 7] Anywhere                   DENY IN     [ip-to-block]

Supposons que vous ayez accidentellement ajouté une règle à la fin, mais que vous vouliez être au top.

Vous devez d'abord le retirer par le bas (7) et l'ajouter à nouveau.

$ Sudo ufw delete 7

Attention, veillez à supprimer plusieurs règles l'une après l'autre, leur position peut changer!

Remettez votre règle en haut (1):

$ Sudo ufw insert 1 deny from [ip-to-block] to any
37
Justin Fortier

La commande ufw status verbose vous montrera la règle par défaut. Pour votre configuration, vous voulez probablement qu'elle dise

 Par défaut: refuser (entrant), autoriser (sortant) 

Dans ce cas, vous n'avez pas besoin d'une règle distincte de "tout refuser" et l'ordre de vos autres règles n'a pas d'importance. Si vous souhaitez modifier l'ordre, vous pouvez ajouter une règle à un endroit spécifique en utilisant ufw insert [position] [rule text]. Vous pouvez obtenir une liste numérotée de règles avec ufw status numbered.

13
Flup

Si vous connaissez le format des règles générées par iptables-save commande, vous pouvez simplement éditer les fichiers de configuration pour ufw dans /etc/ufw/user.rules et /etc/ufw/user6.rules. Même si vous ne l'êtes pas, pour chaque règle ajoutée par un utilisateur, un commentaire affiche la commande ufw correspondante pour référence.
Modifiez les commandes comme vous le souhaitez et enregistrez-les. Exécutez ensuite Sudo ufw reload, la nouvelle commande sera en place.
Cette méthode est plus rapide que les commandes delete et insert, mais vous devriez probablement sauvegarder avant de modifier si vous n'êtes pas très confiant.

3
Meow