確立された関連する接続のみを許可するようにUFWを構成する(IPv4上)
関連および確立された接続以外のすべてを拒否するようにufwを構成します。 iptablesで私は通常:
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Ufwの次のコードは密接に関連していると読みました。
ufw default deny incoming
ufw default deny forwarding
ufw default allow outgoing
ufw allow 443/tcp
ufw allow 53/tcp
................
問題は、そのufwコードで、そのポートから着信するすべてのトラフィックを許可していることです。 iptablesでは、確立された接続のみが許可されました。 ufwで同じルールを設定するにはどうすればよいですか?
ufwは、iptablesのシンプルなフロントエンドと見なされます。 iptablesが提供するすべての機能をサポートしているわけではありません。また、一致する接続状態に基づくファイル処理はまだサポートされていません。
ufwは、基本的に開始されたため、すべてのユーザーがiptablesの複雑さを経験することなく、基本的なファイアウォールルールを理解または編集できます。これを確認してください buntu wiki どの機能がまだサポートされているかについてより多くのアイデアを得ることができます。 iptablesがわかっている場合は、ufwは不要です。
/etc/ufw/before.rulesに追加してみてください
*filter
:INPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
RELATED/ESTABLISHED接続を許可するために何もする必要はないようです。
In ver。0.36 of UFWで見ています Ubuntu Core 16.04、デフォルトでRELATED/ESTABLISHED接続を許可するルールがあります。
before.rulesルールをクラックすると、ジョブが完了したことがわかります。
# quickly process packets for which we already have a connection
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT