Назад | Перейти на главную страницу

Заказ правил межсетевого экрана UFW?

На нашем сервере в UFW у меня действуют следующие правила:

To                         Action      From
--                         ------      ----
22                         ALLOW       217.22.12.111
22                         ALLOW       146.200.200.200
80                         ALLOW       Anywhere
443                        ALLOW       Anywhere
22/tcp                     ALLOW       109.104.109.0/26

Первые два правила - это наши внутренние IP-адреса, которые мы хотим убедиться, что всегда можно использовать SSH (порт 22). Следующие два правила разрешают просмотр по протоколам HTTP и HTTPS с любых IP-адресов в любом месте. Последнее правило - разрешить SSH из нашей системы развертывания кода.

Я установил ufw default deny правило, но, похоже, это не отображается. Должен ли я также иметь окончательное правило, которое все отрицает?

Если я добавлю правило "Запретить все", имеет ли значение порядок появления правил? Предположительно, если этот список станет длиннее, добавление еще одного разрешающего правила выше запрещающего правила будет невозможно, то есть мне придется удалить и повторно добавить некоторые правила?

Если вы заинтересованы в изменении порядка правил UFW, это один из способов сделать это.

$ sudo ufw status numbered

     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    Anywhere
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 443                        ALLOW IN    Anywhere
[ 4] 22 (v6)                    ALLOW IN    Anywhere (v6)
[ 5] 80 (v6)                    ALLOW IN    Anywhere (v6)
[ 6] 443 (v6)                   ALLOW IN    Anywhere (v6)
[ 7] Anywhere                   DENY IN     [ip-to-block]

Допустим, вы случайно добавили правило в конец, но хотите, чтобы оно было наверху.

Сначала вам нужно удалить его снизу (7) и добавить обратно.

$ sudo ufw delete 7

Обратите внимание, будьте осторожны, удаляя несколько правил одно за другим, их положение может измениться!

Добавьте свое правило в самый верх (1):

$ sudo ufw insert 1 deny from [ip-to-block] to any

Команда ufw status verbose покажет вам правило по умолчанию. Для вашей конфигурации вы, вероятно, захотите сказать

Default: deny (incoming), allow (outgoing)

В этом случае вам не нужно отдельное правило «запретить все», а порядок других правил не имеет значения. Если вы действительно хотите изменить порядок, вы можете добавить правило в определенном месте, используя ufw insert [position] [rule text]. Вы можете получить нумерованный список правил с помощью ufw status numbered.

Если вы знакомы с форматом правил, генерируемых iptables-save , вы можете просто отредактировать файлы конфигурации для ufw в /etc/ufw/user.rules и /etc/ufw/user6.rules. Даже если это не так, для каждого правила, добавленного пользователем, есть комментарий, показывающий совпадающую команду ufw для справки.
Измените заказы по своему усмотрению и сохраните их. Тогда беги sudo ufw reload, новый порядок будет в силе.
Этот способ быстрее, чем delete и insert команды, но вам, вероятно, следует сделать резервную копию перед редактированием, если вы не очень уверены.