우분투 : UFW가 만들 수없는 iptables 규칙을 추가하는 방법


15

UFW는 그렇지 않은 경우를 제외하고는 정말 잘 작동합니다.

부팅시 적용될 다른 규칙을 수동으로 추가 할 수 있습니까?

  • 이 규칙을 어디에 두어야합니까?
  • 부팅 할 때 어떻게 시작해야합니까?
  • UFW로 멋지게 플레이하려면 어떻게해야합니까?

1
ufw는 초보자가 쉽게 사용할 수있는 "당신이 보는 모든 것"입니다. 할 수있는 것보다 더 많은 것을해야한다면, iptables로 완전히 전환하십시오. "정말 잘 작동한다"는 것은 당신이 무언가 (iptables)를 더 복잡하게 (그러나 더 유연하게) 시도 할 수 있다는 좋은 증거입니다.
halp

답변:


14

에 따르면 이 우분투 위키 페이지 , 당신은 당신이 당신의 자신의 퍼팅에 의해 원하는 것을 얻을 수 있습니다 ( "고급 기능"아래로 스크롤) iptables다음 파일로 규칙을 :

  • /etc/ufw/before.rules
  • /etc/ufw/after.rules

before어떤 전에 파일이 평가 ufw규칙이 적용된다 after파일이 후 평가됩니다. (도 해당된다 before6after6당신을 위해, 규칙 파일을 ip6tables규칙.)

이 규칙 파일은 iptables-restore호환 가능한 구문 일 것으로 예상됩니다 . 아마도 ufw이를 사용하여로드하기 때문일 것 iptables-restore입니다. 마지막으로 ufw규칙 파일을 변경 한 후 중지했다가 다시 시작해야 합니다.


3
이러한 파일을 사용할 때 -I 또는 -A의 사용을 표준화하는 것을 잊어 버린 경우 iptables 규칙의 우선 순위를 변경할 수 있습니다 (아마도 실수로). -I (삽입)는 먼저 체인의 TOP에 규칙을 추가하고 -A (추가)는 규칙을 체인의 맨 아래에 추가합니다. 예를 들어 .after 파일에서 -I를 사용하면 예기치 않은 결과가 발생할 수 있습니다. 그냥 생각이야
Sam Halicke

0

UFW는 제거됩니다 수동 으로 추가 규칙 /etc/ufw/user.rules되는 NOT 코멘트로 시작을 :

### tuple ### allow tcp 80 0.0.0.0/0 any 0.0.0.0/0 out
-A ufw-user-output -p tcp --dport 80 -j ACCEPT

UFW 온 전성이 시작시 규칙을 확인하면 함께 주석이 표시됩니다. 그것의 경우 NOT 현재, 규칙의 구문이 올바른 경우에도, UFW는 여전히 그것을 제거됩니다.

그리고 단지 임의의 주석을 사용하지 않는 : 해야 CLI를 예를 통해 사용자 규칙을 만들 때 UFW 삽입 것이라는 의견 수 :

sudo ufw allow http/tcp

따라서 간단한 파일의 규칙 세트에서 일련의 규칙을 미리 시드하려면 UFW의 CLI 인터페이스를 통해 규칙을 작성하여 규칙이 유효성 검증을 통과하고 지속될 것으로 예상되는 주석의 구문을 학습해야합니다. .

주석을 사용하거나 사용하지 않고 상기 내용을 시도하고 위의 표본 HTTP 규칙을 다시로드하십시오. 수동으로 추가 한 규칙 이 UFW 의 다시 시작 ( ufw enable ) 후에도 주석으로 표시됩니다.

이것은 실제로 반 직관적 인 동작이며 전혀 문서화되지 않았습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.