Ver reglas configuradas incluso cuando está inactivo

72

Me pregunto si es posible hacer que UFW enumere las reglas de firewall configuradas incluso cuando no está habilitado. Solo tengo acceso ssh al servidor en este momento, y no quiero habilitar UFW si no hay una regla configurada que permita ssh. Sin embargo, dado que UFW no está habilitado actualmente, solo recibo un mensaje "inactivo" cuando ejecuto "ufw status".

¿Hay una bandera especial que pueda usar o incluso algún archivo de configuración que pueda mirar para ver qué reglas están configuradas incluso cuando el firewall está desactivado?

Bryan
fuente
44
La respuesta actual es ufw show addedcortesía de @simon.
ctbrown

Respuestas:

25

Actualmente no hay una manera de mostrar las reglas que ha ingresado antes de habilitar el firewall a través del comando CLI. Sin embargo, puede inspeccionar los archivos de reglas directamente. /lib/ufw/user*.rules contienen las reglas controladas a través del comando 'ufw' CLI. P.ej:

 $ sudo grep '^### tuple' /lib/ufw/user*.rules

Esto mostrará resultados como los siguientes (para la regla agregada con 'sudo ufw allow OpenSSH):

 /lib/ufw/user.rules:### tuple ### allow tcp 22 0.0.0.0/0 any 0.0.0.0/0 OpenSSH - in

La 'tupla' es la abreviatura utilizada internamente por ufw para realizar un seguimiento de las reglas, y puede interpretarse como una de estas:

 ### tuple ### <action> <proto> <dst port> <dst> <src port> <src> <direction>
 ### tuple ### <action> <proto> <dst port> <dst> <src port> <src> <dst app name> <src app name> <direction>

Puede ser útil poder agregar otro comando de estado para admitir esto. Por favor considere presentar un error.

jdstrand
fuente
55
colocar los archivos en /libes bastante extraño en mi opinión
pqnet
11
Han agregado el comando ufw show added, vea también la respuesta de @Simon a continuación
RedPixel
110

Ahora hay un ufw show addedcomando que enumerará las reglas configuradas para usted, incluso cuando el firewall esté inactivo. Se agregó como una solución para este informe de error y se agregó en v0.33

Entonces ahora puedes hacer:

# ufw status
Status: inactive
# ufw allow ssh
Rules updated
Rules updated (v6)
# ufw show added
Added user rules (see 'ufw status' for running firewall):
ufw allow 22
# ufw enable
Firewall is active and enabled on system startup
# ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)

El formato de la salida de ufw show addedhace que sea mucho más fácil escribir el comando de eliminación para cada regla también.

Simon
fuente
3
Por informe de error: esto se agregó en ufw versión 0.33, lanzado en agosto de 2012.
ConvexMartian
18

Las reglas generales están en /etc/ufw. Las reglas definidas por el usuario están en /lib/ufw/user*.

organizar
fuente
Magia - /lib/ufw/user.rules tiene reglas legibles por humanos en la sección ### REGLAS ###. Gracias.
Scaine
9

En Ubuntu 16.04, las reglas definidas por el usuario se almacenan en /etc/ufw/user.rules. Por lo tanto, puede ver las reglas con:

sudo cat /etc/ufw/user.rules
Pstadler
fuente
1
Por lo tanto, en Ubuntu 16.04 puede usar esto: sudo grep '^### tuple' /etc/ufw/user*.rulespara la lista formateada de reglas agregadas por el usuario.
Ville
2
@Ville, no hagas eso. Usar en su sudo ufw show addedlugar.
ctbrown
No sabía que @ctbrown, gracias. También parece funcionar cuando ufw está deshabilitado.
pstadler
4

Desde la línea de comando, no parece haber una manera. Sin embargo, si está haciendo SSH desde un cuadro de Ubuntu (a un cuadro de Ubuntu), es posible que desee probar este método ligeramente complicado:

Básicamente, instale gufw en la caja remota, luego conéctese con X forwarding y ejecute la GUI.

En el dispositivo remoto, después de conectarse -Xcomo una opción:

sudo apt-get install gufw
sudo gufw

Eso le mostrará el conjunto de reglas sin tener que activarlo.

Tenga en cuenta que si el dispositivo remoto es un verdadero servidor "sin cabeza", la instalación de GUFW podría reducir una cantidad desagradable de dependencias. Pero a menos que alguien aquí conozca un truco para que UFW le muestre el resultado que necesita sin activarlo primero, entonces esta podría ser su única opción.

Lo intenté sudo ufw show raw, pero eso muestra la salida de iptables, de la que no puedo hacer cabeza ni cola.

Scaine
fuente
Gracias por el dato sobre "ufw show raw". Debo haberlo perdido en las páginas de manual. Cuando lo ejecuto, no veo nada que me salte a la vista como reglas, lo que significa que es posible que no tenga ninguna configurada, pero todavía no quiero arriesgarme. Y sí, instalar gufw requeriría la instalación de una gran cantidad de dependencias, así que creo que evitaré ese enfoque.
Bryan