UFW 방화벽 규칙 주문?


23

UFW 내의 서버에 다음 규칙이 있습니다.

To                         Action      From
--                         ------      ----
22                         ALLOW       217.22.12.111
22                         ALLOW       146.200.200.200
80                         ALLOW       Anywhere
443                        ALLOW       Anywhere
22/tcp                     ALLOW       109.104.109.0/26

처음 두 규칙은 항상 내부에 SSH를 연결할 수 있도록하는 내부 IP입니다 (포트 22). 다음 두 규칙은 모든 IP 주소에서 HTTP 및 HTTPS를 볼 수 있도록하는 것입니다. 마지막 규칙은 코드 배포 시스템에서 SSH를 허용하는 것입니다.

ufw default deny규칙을 설정 했지만 표시되지 않는 것 같습니다. 또한 모든 것을 거부하는 최종 규칙이 있어야합니까?

모든 항목 거부 규칙을 추가하면 위의 규칙 순서에 차이가 있습니까? 이 목록이 길어지면 거부 규칙 위에 다른 허용 규칙을 추가하는 것이 불가능할 수 있습니다. 즉, 일부 규칙을 제거하고 다시 추가해야합니까?

답변:


34

UFW 규칙의 순서를 바꾸려면이 방법을 사용하십시오.

$ sudo ufw status numbered

     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    Anywhere
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 443                        ALLOW IN    Anywhere
[ 4] 22 (v6)                    ALLOW IN    Anywhere (v6)
[ 5] 80 (v6)                    ALLOW IN    Anywhere (v6)
[ 6] 443 (v6)                   ALLOW IN    Anywhere (v6)
[ 7] Anywhere                   DENY IN     [ip-to-block]

실수로 규칙을 끝에 추가했지만 상단을 원한다고 가정하십시오.

먼저 바닥 (7)에서 제거한 다음 다시 추가하십시오.

$ sudo ufw delete 7

여러 규칙을 차례로 제거하면 위치가 변경 될 수 있습니다.

규칙을 맨 위에 다시 추가하십시오 (1).

$ sudo ufw insert 1 deny from [ip-to-block] to any

13

이 명령 ufw status verbose은 기본 규칙을 보여줍니다. 구성의 경우 아마도 말하고 싶을 것입니다.

기본값 : 거부 (들어오는), 허용 (나가는)

이 경우 별도의 '모두 거부'규칙이 필요하지 않으며 다른 규칙의 순서는 중요하지 않습니다. 순서를 변경하려면을 사용하여 특정 장소에 규칙을 추가 할 수 있습니다 ufw insert [position] [rule text]. 로 번호가 매겨진 규칙 목록을 얻을 수 있습니다 ufw status numbered.


3

iptables-save명령으로 생성 된 규칙의 형식에 익숙한 경우 ufw in /etc/ufw/user.rules및 의 구성 파일을 편집하면 /etc/ufw/user6.rules됩니다. 그렇지 않은 경우에도 모든 사용자 추가 규칙에 대해 참조를 위해 일치하는 ufw 명령을 표시하는 주석이 있습니다.
원하는대로 주문을 변경하고 저장하십시오. 그런 다음을 실행 sudo ufw reload하면 새 주문이 완료됩니다.
이 방법은 deleteinsert명령 보다 빠르지 만 확신이 없으면 편집하기 전에 백업해야합니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.