Замовлення правил брандмауера UFW?

У мене є такі правила на нашому сервері в рамках UFW:

To                         Action      From
--                         ------      ----
22                         ALLOW       217.22.12.111
22                         ALLOW       146.200.200.200
80                         ALLOW       Anywhere
443                        ALLOW       Anywhere
22/tcp                     ALLOW       109.104.109.0/26

Перші два правила - це наші внутрішні IP-адреси, які ми хочемо переконатися, що вони завжди можуть входити в SSH (порт 22). Наступні два правила - дозволяти HTTP та HTTPS переглядати з будь-якої IP-адреси де завгодно. Остаточне правило - дозволити SSH з нашої системи розгортання коду.

Я встановив ufw default denyправило, але воно, схоже, не відображається. Чи повинен я також мати остаточне правило, яке заперечує все?

Якщо я додаю правило заперечення у всьому, чи має значення порядок, що відображається вище, правила? Імовірно, якщо цей список збільшується, додавання іншого правила дозволу над правилом заборони неможливо, тобто я повинен буде видалити та повторно додати деякі правила?

Якщо вам цікаво впорядкувати свої правила UFW, це один із способів.

$ sudo ufw status numbered

     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    Anywhere
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 443                        ALLOW IN    Anywhere
[ 4] 22 (v6)                    ALLOW IN    Anywhere (v6)
[ 5] 80 (v6)                    ALLOW IN    Anywhere (v6)
[ 6] 443 (v6)                   ALLOW IN    Anywhere (v6)
[ 7] Anywhere                   DENY IN     [ip-to-block]

Скажіть, ви випадково додали правило до кінця, але хотіли зверху.

Спочатку вам доведеться видалити його знизу (7) і додати його назад.

$ sudo ufw delete 7

Зауважте, будьте обережні, видаляючи кілька правил один за одним, їх положення може змінюватися!

Додати своє правило до самого верху (1):

$ sudo ufw insert 1 deny from [ip-to-block] to any

Команда ufw status verboseпокаже вам правило за замовчуванням. Для вашої конфігурації ви, мабуть, хочете, щоб вона сказала

За замовчуванням: відхилити (вхідний), дозволити (вихідний)

У цьому випадку вам не потрібно окремого правила "заперечувати все", і порядок інших ваших правил не має значення. Якщо ви хочете змінити порядок, ви можете додати правило в певному місці за допомогою ufw insert [position] [rule text]. Ви можете отримати нумерований список правил за допомогою ufw status numbered.

Якщо ви знайомі з форматом правил, згенерованих iptables-saveкомандою, ви можете просто відредагувати конфігураційні файли для ufw в /etc/ufw/user.rulesі /etc/ufw/user6.rules. Навіть якщо ви цього не зробите, для кожного доданого користувачем правила є коментар, що показує збірну команду ufw для вашої довідки.
Змінюйте замовлення за бажанням і зберігайте їх. Потім запустіть sudo ufw reload, нове замовлення буде на місці.
Цей спосіб швидше, ніж deleteі insertкоманди, але, ймовірно, слід створити резервну копію перед редагуванням, якщо ви не дуже впевнені.