J'ai les règles suivantes sur notre serveur au sein de l'UFW:
To Action From
-- ------ ----
22 ALLOW 217.22.12.111
22 ALLOW 146.200.200.200
80 ALLOW Anywhere
443 ALLOW Anywhere
22/tcp ALLOW 109.104.109.0/26
Les deux premières règles sont nos IP internes dont nous voulons nous assurer qu'elles peuvent toujours être SSH (port 22). Les deux règles suivantes permettent d'autoriser l'affichage HTTP et HTTPS à partir de n'importe quelle adresse IP n'importe où. La dernière règle est d'autoriser SSH à partir de notre système de déploiement de code.
J'ai défini un ufw default deny
règle, mais il ne semble pas être affiché. Dois-je également avoir une règle finale qui nie tout?
Si j'ajoute une règle de tout refuser, l'ordre dans lequel les règles apparaissent ci-dessus fait-il une différence? Vraisemblablement, si cette liste s'allonge, ajouter une autre règle d'autorisation au-dessus d'une règle de refus est impossible, ce qui signifie que je devrai supprimer et rajouter certaines règles?
Si vous souhaitez réorganiser vos règles UFW, c'est une façon de le faire.
$ Sudo ufw status numbered
To Action From
-- ------ ----
[ 1] 22 ALLOW IN Anywhere
[ 2] 80 ALLOW IN Anywhere
[ 3] 443 ALLOW IN Anywhere
[ 4] 22 (v6) ALLOW IN Anywhere (v6)
[ 5] 80 (v6) ALLOW IN Anywhere (v6)
[ 6] 443 (v6) ALLOW IN Anywhere (v6)
[ 7] Anywhere DENY IN [ip-to-block]
Supposons que vous ayez accidentellement ajouté une règle à la fin, mais que vous vouliez être au top.
Vous devez d'abord le retirer par le bas (7) et l'ajouter à nouveau.
$ Sudo ufw delete 7
Attention, veillez à supprimer plusieurs règles l'une après l'autre, leur position peut changer!
Remettez votre règle en haut (1):
$ Sudo ufw insert 1 deny from [ip-to-block] to any
La commande ufw status verbose
vous montrera la règle par défaut. Pour votre configuration, vous voulez probablement qu'elle dise
Par défaut: refuser (entrant), autoriser (sortant)
Dans ce cas, vous n'avez pas besoin d'une règle distincte de "tout refuser" et l'ordre de vos autres règles n'a pas d'importance. Si vous souhaitez modifier l'ordre, vous pouvez ajouter une règle à un endroit spécifique en utilisant ufw insert [position] [rule text]
. Vous pouvez obtenir une liste numérotée de règles avec ufw status numbered
.
Si vous connaissez le format des règles générées par iptables-save
commande, vous pouvez simplement éditer les fichiers de configuration pour ufw dans /etc/ufw/user.rules
et /etc/ufw/user6.rules
. Même si vous ne l'êtes pas, pour chaque règle ajoutée par un utilisateur, un commentaire affiche la commande ufw correspondante pour référence.
Modifiez les commandes comme vous le souhaitez et enregistrez-les. Exécutez ensuite Sudo ufw reload
, la nouvelle commande sera en place.
Cette méthode est plus rapide que les commandes delete
et insert
, mais vous devriez probablement sauvegarder avant de modifier si vous n'êtes pas très confiant.