В учебнике по UFW здесь

https://help.ubuntu.com/community/UFW

он говорит, что UFW использует правила по умолчанию, если они включены и не настроены. Я проверил папку:

/etc/ufw/

и файлы, которые я нашел там

after.rules
after6.rules
before.rules
before6.rules
sysctl.conf
ufw.conf

Так где же "правила по умолчанию"? Есть 4 разных файла правил, и я не знаю, какой из них он выберет, если я его включу.

Боюсь, если я включу его, он просто заблокирует порт 22, и я потеряю SSH-соединение с моим сервером, которое нелегко восстановить.

Как я могу безопасно запустить брандмауэр?

|источник

1 ответ1

2

Вы можете включить UFW, а затем выполнить эти команды: 

   sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
   sudo iptables -A INPUT -p tcp --dport ssh -j ACCEPT

Это наверняка позволит ssh. Если вам понравилась установка, вы можете написать эти две строки в файле /etc/rc.local, и они будут применены при загрузке (в этом случае sudo не нужен).

РЕДАКТИРОВАТЬ

В основном есть три важных файла: /etc /ufw: sysctl.conf, after.rules, before.rules. Остальные файлы касаются правил для IPv6 (after6 | before6.rules), определения порта, используемого несколькими приложениями (в подкаталоге ./applications.d), и файла для запуска ufw, ufw.conf.

sysctl.conf полностью заменяет /etc/sysctl.conf, поэтому он просто дубликат. Он содержит информацию для ядра, которая предназначена в качестве набора мер безопасности.

Правила разделяются до и после (строки, введенные из командной строки), потому что порядок имеет значение: при чтении серии правил брандмауэр применяет первое релевантное правило, будь то ACCEPT, DROP или что-то еще ; остальные правила тогда даже не читаются. Отсюда следует, что очень конкретные правила предшествуют общим правилам.

Предыдущие правила просты: они разрешают петлю и ICMP (= ping), отбрасывают пакеты INVALID , разрешают прохождение пакетов, если разговор уже начался (эквивалент моего правила 1 выше), разрешают DHCP и локальный трафик, что абсолютно важно для работы локальной сети, т. е. особенно для обнаружения сети, многоадресной и широковещательной рассылки.

Правила после того, как только предотвращают регистрацию портов, которые производят слишком много материала.

Одно правило можно прочитать следующим образом:

   -A ufw-before-input -p udp --sport 67 --dport 68 -j ACCEPT

Это добавляет (-A) к таблице перед вводом правила, согласно которому ПРИНИМАЕТ пакеты протокола UDP, которые были отправлены (sport = исходный порт) из порта 67 и которые предназначены для порта 68 (dport = порт назначения). Эта таблица считывается на INPUT, поэтому она игнорируется всякий раз, когда ядро имеет дело с пакетом OUTPUT или FORWARD (оба типа пакетов выходят, но пакеты OUTPUT возникли на этой машине, в то время как пакеты FORWARD возникли в другом месте и перемещаются по до их конечного пункта назначения).

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .