Я бездельничаю с ufw
, так как я никогда не поддерживал iptables
знание достаточно долго, чтобы быть эффективным.
Так, на новой Ubuntu LTS16, как root
, Я пытался дать некоторые команды, подобные этому списку.
ufw default deny incoming
ufw allow ssh
ufw deny http
ufw deny https
ufw enable
Так, вот то, что я получил:
root@dev:~# ufw status
Status: active
To Action From
-- ------ ----
22 ALLOW Anywhere
27017 DENY Anywhere
80 DENY Anywhere
443 DENY Anywhere
22 (v6) ALLOW Anywhere (v6)
27017 (v6) DENY Anywhere (v6)
80 (v6) DENY Anywhere (v6)
443 (v6) DENY Anywhere (v6)
Все же я могу все еще сделать все. Я вижу, что это - веб-страница. Я могу telnet в порт 80, и говорить с веб-сервером. Я перезагрузил.
Поиск по всей сети говорит, что вещи как Докер могут вмешаться, но я не использую ничего как этот.
Я имею, даже перешел к более старому серверу Ubuntu LTS14, к которому у меня есть нахождение здесь, и предпринятый ufw
все, также без эффекта.
Так, два сервера.. нулевой успех.. Что я делаю неправильно?
Это складывается в различных тестированиях ufw
, я, по-видимому, сделал тонну правил iptables. iptables -S
показывал несколько страниц правил. Я сбросил их с iptables -X
и ufw reset
и теперь вижу ожидаемые результаты.
Для внутреннего шага безопасности все еще работают старый/etc/hosts.deny и/etc/hosts.allow файлы. Примеры:
#/etc/hosts.deny
# You may wish to enable this to ensure any programs that don't
# validate looked up hostnames still leave understandable logs. In past
# versions of Debian this has been the default.
# ALL: PARANOID
ALL: ALL
Затем сервисам можно включить один за другим в/etc/hosts.allow.
Это - что-то, что мы сделали прежде iptables брандмауэры существовал. Это всегда работает на меня, так, чтобы, даже если я проваливаю брандмауэр, hosts.deny был там для сохранения меня от меня.
Для разрешения в SSH от конкретных местоположений это легко. Здесь я позволяю в своем локальном клиенте и ком-то в другом случайном адресе, который я выбрал, плюс любые пользователи SSH
#/etc/hosts.allow
#
ALL: 127.0.0.1
ALL: 112.222.41.120
sshd: ALL
sshdfwd-X11: ALL
можно также позволить в особенности подсети, и т.д.