UFWファイアウォールルールの注文?
UFW内のサーバーに次のルールがあります。
To Action From
-- ------ ----
22 ALLOW 217.22.12.111
22 ALLOW 146.200.200.200
80 ALLOW Anywhere
443 ALLOW Anywhere
22/tcp ALLOW 109.104.109.0/26
最初の2つのルールは、常にSSHで(ポート22)接続できるようにする内部IPです。次の2つのルールは、任意のIPアドレスからどこからでもHTTPおよびHTTPSを表示できるようにすることです。最後のルールは、コードデプロイメントシステムからのSSHを許可することです。
ufw default denyルールアップしましたが、表示されていないようです。すべてを拒否する最終ルールも必要ですか?
すべて拒否のルールを追加した場合、ルールが上に表示される順序は違いますか?おそらく、このリストが拒否ルールの上に別の許可ルールを追加することが長くなる場合は不可能です。つまり、いくつかのルールを削除して再度追加する必要がありますか?
UFWルールの並べ替えに興味がある場合は、これが1つの方法です。
$ Sudo ufw status numbered
To Action From
-- ------ ----
[ 1] 22 ALLOW IN Anywhere
[ 2] 80 ALLOW IN Anywhere
[ 3] 443 ALLOW IN Anywhere
[ 4] 22 (v6) ALLOW IN Anywhere (v6)
[ 5] 80 (v6) ALLOW IN Anywhere (v6)
[ 6] 443 (v6) ALLOW IN Anywhere (v6)
[ 7] Anywhere DENY IN [ip-to-block]
誤って最後にルールを追加したが、上位にしたいとします。
最初に、それを下部から削除し(7)、再び追加します。
$ Sudo ufw delete 7
複数のルールを次々と削除することに注意してください。それらの位置は変わる可能性があります!
ルールを最上部に追加します(1):
$ Sudo ufw insert 1 deny from [ip-to-block] to any
コマンドufw status verboseはデフォルトのルールを表示します。あなたの設定については、おそらくそれを言ってほしい
デフォルト:拒否(受信)、許可(送信)
その場合、個別の「すべてを拒否」ルールは必要なく、他のルールの順序は関係ありません。順序を変更したい場合は、ufw insert [position] [rule text]を使用して、特定の場所にルールを追加できます。 ufw status numberedを使用すると、ルールの番号付きリストを取得できます。
iptables-saveコマンドによって生成されたルールの形式に精通している場合は、/etc/ufw/user.rulesおよび/etc/ufw/user6.rulesでufwの構成ファイルを編集するだけで済みます。そうでない場合でも、ユーザーが追加したルールごとに、参照用に一致したufwコマンドを示すコメントがあります。
注文を希望どおりに変更して保存します。次にSudo ufw reloadを実行すると、新しい注文が作成されます。
この方法はdeleteおよびinsertコマンドよりも高速ですが、自信がない場合は編集前にバックアップする必要があります。