¿Orden de las reglas de firewall de UFW?

23

Tengo las siguientes reglas en nuestro servidor dentro de UFW:

To                         Action      From
--                         ------      ----
22                         ALLOW       217.22.12.111
22                         ALLOW       146.200.200.200
80                         ALLOW       Anywhere
443                        ALLOW       Anywhere
22/tcp                     ALLOW       109.104.109.0/26

Las primeras dos reglas son nuestras IP internas que queremos asegurar que siempre puedan ingresar SSH (puerto 22). Las siguientes dos reglas son permitir la visualización de HTTP y HTTPS desde cualquier dirección IP en cualquier lugar. La regla final es permitir SSH desde nuestro sistema de implementación de código.

Configuré una ufw default denyregla, pero parece que no se muestra. ¿Debería también tener una regla final que lo niegue todo?

Si agrego una regla de negar todo, ¿el orden en que aparecen las reglas hace alguna diferencia? Presumiblemente, si esta lista se prolonga, agregar otra regla de permiso por encima de una regla de denegación es imposible, lo que significa que tendré que eliminar y volver a agregar algunas reglas.

dannymcc
fuente

Respuestas:

34

Si está interesado en reordenar sus reglas UFW, esta es una forma de hacerlo.

$ sudo ufw status numbered

     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    Anywhere
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 443                        ALLOW IN    Anywhere
[ 4] 22 (v6)                    ALLOW IN    Anywhere (v6)
[ 5] 80 (v6)                    ALLOW IN    Anywhere (v6)
[ 6] 443 (v6)                   ALLOW IN    Anywhere (v6)
[ 7] Anywhere                   DENY IN     [ip-to-block]

Digamos que accidentalmente agregaste una regla al final, pero querías estar en la cima.

Primero deberá eliminarlo de la parte inferior (7) y volver a agregarlo.

$ sudo ufw delete 7

Tenga en cuenta que tenga cuidado de eliminar varias reglas una tras otra, ¡su posición puede cambiar!

Agregue nuevamente su regla al principio (1):

$ sudo ufw insert 1 deny from [ip-to-block] to any
Justin Fortier
fuente
13

El comando ufw status verbosele mostrará la regla predeterminada. Para su configuración, probablemente quiera que diga

Valor predeterminado: denegar (entrante), permitir (saliente)

En ese caso, no necesita una regla separada de 'negar todo', y el orden de sus otras reglas no importa. Si desea cambiar el orden, puede agregar una regla en un lugar específico utilizando ufw insert [position] [rule text]. Puede obtener una lista numerada de reglas con ufw status numbered.

Flup
fuente
3

Si está familiarizado con el formato de las reglas generadas por el iptables-savecomando, puede editar los archivos de configuración para ufw en /etc/ufw/user.rulesy /etc/ufw/user6.rules. Incluso si no lo está, para cada regla agregada por el usuario hay un comentario que muestra el comando ufw coincidente para su referencia.
Cambia los pedidos como desees y guárdalos. Luego sudo ufw reload, ejecute , el nuevo orden estará en su lugar.
De esta manera es más rápido que deletey los insertcomandos, pero probablemente no debería hacer una copia de seguridad antes de editar si no tiene mucha confianza.

maullar
fuente