Настройте UFW, чтобы разрешить только установленные и связанные соединения (на IPv4)

Question 1

Я хочу настроить ufw, чтобы запретить все, кроме связанных и установленных соединений. На iptables я обычно делал:

  -P INPUT DROP
  -P FORWARD DROP
  -P OUTPUT ACCEPT
  -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT
  -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Я читал, что следующий код на ufw тесно связан:

 ufw default deny incoming
 ufw default deny forwarding
 ufw default allow outgoing
 ufw allow 443/tcp
 ufw allow 53/tcp
 ................

Проблема в том, что с этим кодом ufw я разрешаю ВСЕМ трафик, поступающий из этих портов. С iptables были разрешены только установленные соединения. Как я могу настроить те же правила на UFW?

Question 2

ufw рассматривается как простой frontend для iptables. Это не поддерживает все технические возможности, обеспеченные iptables, и filetering на основе соответствия состоянию соединения еще не поддерживается.

ufw в основном инициировался так, чтобы любой пользователь мог понять или отредактировать основные правила брандмауэра, не имея необходимость проходить сложности iptables. Можно проверить этот ubuntu wiki для получения большей идеи, на которой функции поддерживаются все же. Обратите внимание, что, если Вы знаете iptables тогда, нет никакой потребности в ufw.

Question 3

Question 4

Попытка добавляет к/etc/ufw/before.rules

*filter
:INPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT

Question 5

Похож на Вас, не должны делать, что-либо для разрешения ИМЕЛО ОТНОШЕНИЕ/УСТАНАВЛИВАЛО Соединения.

В ver. 0.36 из UFW, на который я смотрю по телефону Ядро Ubuntu 16.04 , правила позволить СВЯЗАННЫЕ / УСТАНОВЛЕННЫЕ СОЕДИНЕНИЯ, там по умолчанию.

Взломано-открытый правила before.rules, Вы будете видеть, что задание было сделано для Вас:

# quickly process packets for which we already have a connection
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

heemayl · Answer 1 · 27 March 2015 в 23:19

ufw рассматривается как простой frontend для iptables. Это не поддерживает все технические возможности, обеспеченные iptables, и filetering на основе соответствия состоянию соединения еще не поддерживается.

ufw в основном инициировался так, чтобы любой пользователь мог понять или отредактировать основные правила брандмауэра, не имея необходимость проходить сложности iptables. Можно проверить этот ubuntu wiki для получения большей идеи, на которой функции поддерживаются все же. Обратите внимание, что, если Вы знаете iptables тогда, нет никакой потребности в ufw.

rumanzo · Answer 2 · 27 March 2015 в 23:19

Попытка добавляет к/etc/ufw/before.rules

*filter
:INPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT

1

ответ дан rumanzo 27 March 2015 в 23:19

F1Linux · Answer 3 · 5 October 2019 в 11:42

Похож на Вас, не должны делать, что-либо для разрешения ИМЕЛО ОТНОШЕНИЕ/УСТАНАВЛИВАЛО Соединения.

В ver. 0.36 из UFW, на который я смотрю по телефону Ядро Ubuntu 16.04 , правила позволить СВЯЗАННЫЕ / УСТАНОВЛЕННЫЕ СОЕДИНЕНИЯ, там по умолчанию.

Взломано-открытый правила before.rules, Вы будете видеть, что задание было сделано для Вас:

# quickly process packets for which we already have a connection
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

Настройте UFW, чтобы разрешить только установленные и связанные соединения (на IPv4)

3 ответа

Другие вопросы по тегам:

Похожие вопросы: