Добавление правил iptables вручную в UFW
У меня есть случай использования, который требует возможности iptables ограничивать правило идентификатором группы (--gid-owner). Ufw не поддерживает это в его синтаксис правил.
Из моих экспериментов и чтения в Интернете (например, правила UFW исчезают после добавления их вручную в user.rules ubuntu 16.04 ) кажется, что ufw отклонит любые добавленные вручную правила iptables. скажем, я могу отредактировать /etc/ufw/user.rules и добавить -A ufw-user-output ... --gid-owner ... , но потому что он не имеет префикса с волшебным ufw-правильным комментарием (поскольку такого синтаксиса не существует), он игнорируется и стирается.
Должен ли я выбрать один из ufw или iptables, или есть способ получить лучшее из оба мира?
1 ответ
Take посмотрите здесь: Ubuntu: Как добавить правило iptables, которое UFW не может создать
Я добавил помощник netbios-ns в iptables, необработанную таблицу с использованием файлов конфигурации UFW в папке / etc / ufw / .
(Взято из Arch Linux - Samba - исходная команда iptables
iptables -t raw -A OUTPUT -p udp -m udp --dport 137 -j CT --helper netbios-ns
).
Это позволяет просматривать сеть MS Windows на примере Thunar.
Я добавил переведенный синтаксис в файл /etc/ufw/after.rules в начале, сразу после блока начального комментария, см. Ниже:
#
# rules.input-after
#
# Rules that should be run after the ufw command line added rules. Custom
# rules should be added to one of these chains:
# ufw-after-input
# ufw-after-output
# ufw-after-forward
#
# netbios helper function allow browsing windows network
*raw
-A OUTPUT -p udp -m udp --dport 137 -j CT --helper netbios-ns
COMMIT
# Don't delete these required lines, otherwise there will be errors
[...]
Примечание: это тот синтаксис используется iptables-save.
Затем перезапустите UFW.
Обратите внимание, что мне пришлось вставить в начало файла after.rules , в противном случае, если бы я добавлял в конце файла, он добавлял 3 раза одну и ту же запись в цепочку OUTPUT в необработанная таблица после перезапуска ufw .
Это позволило мне избежать использования /etc/ufw/user.rules . Возможно, это вариант, который вы можете рассмотреть.
Надеюсь, это поможет.