Когда я добавляю правила в ufw, а затем включаю его, некоторые из моих настроек в sysctl.conf
стать недействительным, поэтому я должен сделать sysctl -p
после выполнения ufw enable
.
Так, например, одна из моих настроек в sysctl.conf
не отвечать на пинг, после включения ufw вы можете снова пинговать сервер.
Почему это?
Вот некоторые из настроек в моем sysctl.conf
:
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv6.conf.default.accept_source_route = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 5
net.ipv4.conf.all.log_martians = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_redirects = 0
net.ipv4.icmp_echo_ignore_all = 1
kernel.panic = 10
net.ipv4.ip_forward = 0
net.ipv4.conf.default.rp_filter = 1
kernel.sysrq = 0
net.ipv4.ip_local_port_range = 1204 65000
net.core.rmem_max = 262140
net.core.rmem_default = 262140
net.ipv4.tcp_rmem = 4096 131072 262140
net.ipv4.tcp_wmem = 4096 131072 262140
net.ipv4.tcp_sack = 0
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_window_scaling = 0
net.ipv4.tcp_keepalive_time = 60000
net.ipv4.tcp_keepalive_intvl = 15000
net.ipv4.tcp_fin_timeout = 30
РЕДАКТИРОВАТЬ
Спасибо, Аарон! Я настолько полагался на Google, что даже не подумал о проверке конфигурационных файлов для ufw в и т. Д. - и это было так просто!
Для тех, кто ищет ответ на этот вопрос, вы можете либо установить свою конфигурацию в этом файле, либо, что еще лучше, отредактировать /etc/default/ufw
файл, поэтому он использует систему по умолчанию sysctl.conf
файл в /etc/sysctl.conf
Несложный брандмауэр
UFW имеет собственные настройки sysctl, которые могут переопределить глобальные настройки системы.
Взгляните на:
/etc/ufw/sysctl.conf
Если этот файл не существует, выполните команду grep по файлам в этом каталоге для всего, что вызывает sysctl.