ufw не имеет никакого эффекта при включении

Question 1

Я бездельничаю с ufw, так как я никогда не поддерживал iptables знание достаточно долго, чтобы быть эффективным.

Так, на новой Ubuntu LTS16, как root, Я пытался дать некоторые команды, подобные этому списку.

ufw default deny incoming
ufw allow ssh
ufw deny http
ufw deny https
ufw enable

Так, вот то, что я получил:

root@dev:~# ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
27017                      DENY        Anywhere
80                         DENY        Anywhere
443                        DENY        Anywhere
22 (v6)                    ALLOW       Anywhere (v6)
27017 (v6)                 DENY        Anywhere (v6)
80 (v6)                    DENY        Anywhere (v6)
443 (v6)                   DENY        Anywhere (v6)

Все же я могу все еще сделать все. Я вижу, что это - веб-страница. Я могу telnet в порт 80, и говорить с веб-сервером. Я перезагрузил.

Поиск по всей сети говорит, что вещи как Докер могут вмешаться, но я не использую ничего как этот.

Я имею, даже перешел к более старому серверу Ubuntu LTS14, к которому у меня есть нахождение здесь, и предпринятый ufw все, также без эффекта.

Так, два сервера.. нулевой успех.. Что я делаю неправильно?

Question 2

Это складывается в различных тестированиях ufw, я, по-видимому, сделал тонну правил iptables. iptables -S показывал несколько страниц правил. Я сбросил их с iptables -X и ufw reset и теперь вижу ожидаемые результаты.

Question 3

Question 4

Для внутреннего шага безопасности все еще работают старый/etc/hosts.deny и/etc/hosts.allow файлы. Примеры:

#/etc/hosts.deny
# You may wish to enable this to ensure any programs that don't
# validate looked up hostnames still leave understandable logs. In past
# versions of Debian this has been the default.
# ALL: PARANOID
ALL: ALL

Затем сервисам можно включить один за другим в/etc/hosts.allow.

Это - что-то, что мы сделали прежде iptables брандмауэры существовал. Это всегда работает на меня, так, чтобы, даже если я проваливаю брандмауэр, hosts.deny был там для сохранения меня от меня.

Для разрешения в SSH от конкретных местоположений это легко. Здесь я позволяю в своем локальном клиенте и ком-то в другом случайном адресе, который я выбрал, плюс любые пользователи SSH

#/etc/hosts.allow
#
ALL: 127.0.0.1
ALL: 112.222.41.120
sshd: ALL
sshdfwd-X11: ALL

можно также позволить в особенности подсети, и т.д.

mainstreetmark · Answer 1 · 7 November 2019 в 05:27