Ver reglas configuradas incluso cuando está inactivo

Me pregunto si es posible hacer que UFW enumere las reglas de firewall configuradas incluso cuando no está habilitado. Solo tengo acceso ssh al servidor en este momento, y no quiero habilitar UFW si no hay una regla configurada que permita ssh. Sin embargo, dado que UFW no está habilitado actualmente, solo recibo un mensaje "inactivo" cuando ejecuto "ufw status".

¿Hay una bandera especial que pueda usar o incluso algún archivo de configuración que pueda mirar para ver qué reglas están configuradas incluso cuando el firewall está desactivado?

Actualmente no hay una manera de mostrar las reglas que ha ingresado antes de habilitar el firewall a través del comando CLI. Sin embargo, puede inspeccionar los archivos de reglas directamente. /lib/ufw/user*.rules contienen las reglas controladas a través del comando 'ufw' CLI. P.ej:

 $ sudo grep '^### tuple' /lib/ufw/user*.rules

Esto mostrará resultados como los siguientes (para la regla agregada con 'sudo ufw allow OpenSSH):

 /lib/ufw/user.rules:### tuple ### allow tcp 22 0.0.0.0/0 any 0.0.0.0/0 OpenSSH - in

La 'tupla' es la abreviatura utilizada internamente por ufw para realizar un seguimiento de las reglas, y puede interpretarse como una de estas:

 ### tuple ### <action> <proto> <dst port> <dst> <src port> <src> <direction>
 ### tuple ### <action> <proto> <dst port> <dst> <src port> <src> <dst app name> <src app name> <direction>

Puede ser útil poder agregar otro comando de estado para admitir esto. Por favor considere presentar un error.

Ahora hay un ufw show addedcomando que enumerará las reglas configuradas para usted, incluso cuando el firewall esté inactivo. Se agregó como una solución para este informe de error y se agregó en v0.33

Entonces ahora puedes hacer:

# ufw status
Status: inactive
# ufw allow ssh
Rules updated
Rules updated (v6)
# ufw show added
Added user rules (see 'ufw status' for running firewall):
ufw allow 22
# ufw enable
Firewall is active and enabled on system startup
# ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)

El formato de la salida de ufw show addedhace que sea mucho más fácil escribir el comando de eliminación para cada regla también.

Las reglas generales están en /etc/ufw. Las reglas definidas por el usuario están en /lib/ufw/user*.

En Ubuntu 16.04, las reglas definidas por el usuario se almacenan en /etc/ufw/user.rules. Por lo tanto, puede ver las reglas con:

sudo cat /etc/ufw/user.rules

Desde la línea de comando, no parece haber una manera. Sin embargo, si está haciendo SSH desde un cuadro de Ubuntu (a un cuadro de Ubuntu), es posible que desee probar este método ligeramente complicado:

Básicamente, instale gufw en la caja remota, luego conéctese con X forwarding y ejecute la GUI.

En el dispositivo remoto, después de conectarse -Xcomo una opción:

sudo apt-get install gufw
sudo gufw

Eso le mostrará el conjunto de reglas sin tener que activarlo.

Tenga en cuenta que si el dispositivo remoto es un verdadero servidor "sin cabeza", la instalación de GUFW podría reducir una cantidad desagradable de dependencias. Pero a menos que alguien aquí conozca un truco para que UFW le muestre el resultado que necesita sin activarlo primero, entonces esta podría ser su única opción.

Lo intenté sudo ufw show raw, pero eso muestra la salida de iptables, de la que no puedo hacer cabeza ni cola.