Я хочу настроить ufw, чтобы запретить все, кроме связанных и установленных соединений. На iptables я обычно делал:
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Я читал, что следующий код на ufw тесно связан:
ufw default deny incoming
ufw default deny forwarding
ufw default allow outgoing
ufw allow 443/tcp
ufw allow 53/tcp
................
Проблема в том, что с этим кодом ufw я разрешаю ВСЕМ трафик, поступающий из этих портов. С iptables были разрешены только установленные соединения. Как я могу настроить те же правила на UFW?
ufw
рассматривается как простой frontend для iptables
. Это не поддерживает все технические возможности, обеспеченные iptables
, и filetering на основе соответствия состоянию соединения еще не поддерживается.
ufw
в основном инициировался так, чтобы любой пользователь мог понять или отредактировать основные правила брандмауэра, не имея необходимость проходить сложности iptables
. Можно проверить этот ubuntu wiki для получения большей идеи, на которой функции поддерживаются все же. Обратите внимание, что, если Вы знаете iptables
тогда, нет никакой потребности в ufw
.
Попытка добавляет к/etc/ufw/before.rules
*filter
:INPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
Похож на Вас, не должны делать, что-либо для разрешения ИМЕЛО ОТНОШЕНИЕ/УСТАНАВЛИВАЛО Соединения.
В ver. 0.36 из UFW, на который я смотрю по телефону Ядро Ubuntu 16.04 , правила позволить СВЯЗАННЫЕ / УСТАНОВЛЕННЫЕ СОЕДИНЕНИЯ, там по умолчанию.
Взломано-открытый правила before.rules, Вы будете видеть, что задание было сделано для Вас:
# quickly process packets for which we already have a connection
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT