Commande de règles de pare-feu UFW?

23

J'ai les règles suivantes sur notre serveur au sein de l'UFW:

To                         Action      From
--                         ------      ----
22                         ALLOW       217.22.12.111
22                         ALLOW       146.200.200.200
80                         ALLOW       Anywhere
443                        ALLOW       Anywhere
22/tcp                     ALLOW       109.104.109.0/26

Les deux premières règles sont nos IP internes dont nous voulons nous assurer qu'elles peuvent toujours être SSH (port 22). Les deux règles suivantes permettent d'autoriser l'affichage HTTP et HTTPS à partir de n'importe quelle adresse IP n'importe où. La dernière règle est d'autoriser SSH à partir de notre système de déploiement de code.

J'ai établi une ufw default denyrègle, mais elle ne semble pas apparaître. Dois-je également avoir une règle finale qui nie tout?

Si j'ajoute une règle de tout refuser, l'ordre dans lequel les règles apparaissent ci-dessus fait-il une différence? Vraisemblablement, si cette liste s'allonge, ajouter une autre règle d'autorisation au-dessus d'une règle de refus est impossible, ce qui signifie que je devrai supprimer et rajouter certaines règles?

dannymcc
la source

Réponses:

34

Si vous souhaitez réorganiser vos règles UFW, c'est une façon de le faire.

$ sudo ufw status numbered

     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    Anywhere
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 443                        ALLOW IN    Anywhere
[ 4] 22 (v6)                    ALLOW IN    Anywhere (v6)
[ 5] 80 (v6)                    ALLOW IN    Anywhere (v6)
[ 6] 443 (v6)                   ALLOW IN    Anywhere (v6)
[ 7] Anywhere                   DENY IN     [ip-to-block]

Supposons que vous ayez accidentellement ajouté une règle à la fin, mais que vous vouliez être au top.

Vous devez d'abord le retirer du bas (7) et l'ajouter à nouveau.

$ sudo ufw delete 7

Attention, veillez à supprimer plusieurs règles l'une après l'autre, leur position peut changer!

Remettez votre règle en haut (1):

$ sudo ufw insert 1 deny from [ip-to-block] to any
Justin Fortier
la source
13

La commande ufw status verbosevous montrera la règle par défaut. Pour votre configuration, vous voulez probablement qu'elle dise

Par défaut: refuser (entrant), autoriser (sortant)

Dans ce cas, vous n'avez pas besoin d'une règle distincte «tout refuser» et l'ordre de vos autres règles n'a pas d'importance. Si vous souhaitez modifier l'ordre, vous pouvez ajouter une règle à un endroit spécifique à l'aide de ufw insert [position] [rule text]. Vous pouvez obtenir une liste numérotée de règles avec ufw status numbered.

Flup
la source
3

Si vous connaissez le format des règles générées par la iptables-savecommande, vous pouvez simplement modifier les fichiers de configuration pour ufw dans /etc/ufw/user.ruleset /etc/ufw/user6.rules. Même si vous ne l'êtes pas, pour chaque règle ajoutée par l'utilisateur, un commentaire affiche la commande ufw correspondante pour référence.
Modifiez les commandes comme vous le souhaitez et enregistrez-les. Ensuite, exécutez sudo ufw reload, la nouvelle commande sera en place.
Cette méthode est plus rapide que les commandes deleteet insert, mais vous devriez probablement sauvegarder avant de modifier si vous n'êtes pas très confiant.

Miaou
la source