ufw에 대한 앱 프로필을 어떻게 만듭니 까?

31

Ufw에는 프로파일 정의를 추가로 탐색 할 수있는 프로파일을 나열하는 명령이 있습니다.

$ ufw app list


$ ufw app PROFILE {app profile title}

가상 상자와 같이 정의되지 않은 프로그램에 대한 프로파일을 작성하고 해당 프로파일이 내 우분투 배포판에 iptables를 제공 한 것과 동일한 정의를 실행하도록하는 방법이 궁금합니다.

가상 머신을 서비스하기 위해 Ubuntus 방화벽을 사용하려고 할뿐만 아니라 또한 제공되지 않는 응용 프로그램에 대한 프로필을 만드는 방법에 대해 궁금합니다.

firewall  iptables  ufw 
미 픽스
소스

답변:

36

자신의 응용 프로그램 파일을 만드는 방법에 대한 실제 질문에 대답하려면 Windows INI 파일 형식 (yuck)을 사용하고 있다는 것만 알면됩니다.

[appname]
title=1-liner here
description=a longer line here
ports=1,2,3,4,5,6,7,8,9,10,30/tcp|50/udp|53

포트 라인은 프로토콜을 제한하기 위해 / udp 또는 / tcp와 함께 여러 포트를 지정할 수 있습니다. 그렇지 않으면 기본값은 둘 다입니다. 프로토콜 섹션을 |으로 분리해야합니다.

따라서 실제 예제 세트를 위해 다음과 같이 만들었습니다.

[puppet]
title=puppet configuration manager
description=Puppet Open Source from http://www.puppetlabs.com/
ports=80,443,8140/tcp

[AMANDA]
title=AMANDA Backup
description=AMANDA the Advanced Maryland Automatic Network Disk Archiver
ports=10080

아파치에서와 같이 하나의 파일에 여러 버전의 앱을 나열 할 수 있습니다.

===start of apache2.2-common file===
[Apache]
title=Web Server
description=Apache v2 is the next generation of the omnipresent Apache web server.
ports=80/tcp

[Apache Secure]
title=Web Server (HTTPS)
description=Apache v2 is the next generation of the omnipresent Apache web server.
ports=443/tcp

[Apache Full]
title=Web Server (HTTP,HTTPS)
description=Apache v2 is the next generation of the omnipresent Apache web server.
ports=80,443/tcp

===end of file===

응용 프로그램 파일을 정의한 후에는 파일을 넣고 /etc/ufw/applications.dufw에 응용 프로그램 정의를 다시로드하도록 지시하십시오.

ufw app update appname
ufw app info appname

다음과 같이 사용하십시오.

ufw allow from 192.168.1.10 to any app amanda
ufw allow amanda

192.168.1.10이 amanda 서버의 IP라고 가정합니다.

사용자 207998
소스
udp와 tcp를 결합하는 구문이 잘못되었습니다. 이어야합니다 xx/tcp|yy/udp. 다시 말해, 프로토콜 사이의 분리는 예제와 같이 쉼표가 아닌 파이프 여야합니다.
Hilikus
내 예제는 그것들을 결합하려고하지 않았으며, 이것은 port-on-udp, some-other-port-on-tcp의 간단한 목록입니다.
user207998
방금 netstat응용 프로그램 이름을 찾기 위해 사용하려고 했습니다 ... 맞습니까? 적어도 나를 위해 일했습니다. 대소 문자를 구분합니까? 응용 프로그램 파일의 "appname"과 제목 대 프로세스 이름 등의 관계가 확실하지 않습니다.
intcreator
Netstat는 특정 포트에 연결된 프로세스 이름 만 나열합니다. 이것은 반드시 응용 프로그램 이름과 일치하지는 않습니다. 예를 들어 postfix 응용 프로그램은 포트 25를 여는 '마스터'프로세스를 포함하여 다양한 프로세스를 시작합니다. 패키지 이름 (예 : 'Postfix'또는 'AMANDA')을 기반으로 ufw 앱 구성 파일의 이름을 지정합니다. 구성 파일에는 해당 패키지에서 열린 포트를 나타내는 하나 이상의 앱 정의가 있습니다. 배수가있을 수 있습니다. 예를 들어 'postfix'패키지를 참조하십시오. 앱 이름은 postfix가 구성된 방식에 따라 다릅니다.
207998
여러 tcp 포트의 경우 전자 또는 전자 포트입니까? xx/tcp,xy/tcp,xz/tcp또는xx/tcp|xy/tcp|xz/tcp
errolflynn
10

맨 페이지의 "애플리케이션 통합"섹션에 있습니다.

기본 구문은 다음과 같습니다. 

ufw allow <app_name>

또는 확장 구문을 사용하여보다 구체적으로 지정할 수 있습니다. 

ufw allow from <some_address> to any app <app_name>

맨 페이지는 구체적 으로 포트 번호를 지정 하지 말라고 지시합니다.

구문 중 하나를 사용하여 프로토콜을 지정하지 말고 확장 구문을 사용하여 포트 절 대신 app을 사용하십시오.

이것은 아마도 <app_name>원하는 포트를 사용할 수 있음을 의미합니다 .

다른 유용한 명령들 : 

ufw app info <app_name>

<app_name>의 프로필 정보가 나와 있습니다. 

ufw app update <app_name>

어떤 업데이트 <app_name>의 프로필입니다. all모든 응용 프로그램 프로필을 업데이트 하는 데 사용할 수 있습니다 .

당신은 사용할 수 있습니다 : 

ufw app update --add-new <app_name>

명령을 사용하여 <app_name>설정 한 규칙에 따라 새 프로필을 추가 하고 업데이트합니다 ufw app default <policy>.

앱 프로필은 /etc/ufw/applications.d때때로 저장됩니다 /etc/services.

자세한 내용은을 참조하십시오 man ufw.

세스
소스
예, 필요한 경우 앱 정의 파일 자체에 프로토콜이 지정되어 있으므로 'ufw allow'구문에 포트를 지정하지 마십시오.
207998
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.