Мені потрібно додати правила до ufw, редагуючи user.rules з якоїсь причини, коли я додаю до нього правила і роблю перезавантаження sudo ufw , правил більше немає. Будь-яка причина, чому це відбувається, і як я можу додати правила, вручну редагуючи файл user.rules?

ніж заздалегідь

Якщо ви додасте власні правила в /etc/ufw/before*.rules або після * .rules замість цього, вони не зникнуть після перезавантаження.

Коли в оболонку вводяться дійсні команди ufw , тобто власні користувацькі правила, вони переходять у файли /etc/ufw/user*.rules, і вони зберігаються.

root@ubuntu:~# ufw allow 22/tcp
Rule added
Rule added (v6)
root@ubuntu:~# grep tcp.*22 /etc/ufw/user*.rules
/etc/ufw/user6.rules:### tuple ### allow tcp 22 ::/0 any ::/0 in
/etc/ufw/user6.rules:-A ufw6-user-input -p tcp --dport 22 -j ACCEPT
/etc/ufw/user.rules:### tuple ### allow tcp 22 0.0.0.0/0 any 0.0.0.0/0 in
/etc/ufw/user.rules:-A ufw-user-input -p tcp --dport 22 -j ACCEPT
root@ubuntu:~# iptables -L -n | grep dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22

Якщо ви редагуєте користувача * .rules безпосередньо, додані правила (якщо вони дійсні) завантажуватимуться з перезавантаженням ufw, але не зберігатимуться при наступному перезапуску служби ufw.

Тому замість цього додайте власні правила в /etc/ufw/before*.rules або після * .rules.

Список літератури:

• https://serverfault.com/questions/198398/ubuntu-how-to-add-an-iptables-rule-that-ufw-cant-create
• https://bugs.launchpad.net/ufw/+bug/728128

Я просто наткнувся на цей сценарій набір правил для автоматизації побудови хоста. Проблема полягає у тому, як UFW перевіряє/etc/ufw/user.rules

Просто вручну додаючи правило до /etc/ufw/user.rulesтаких, як:

-A ufw-user-output -p tcp --dport 80 -j ACCEPT

Чиститься, коли набір правил перевіряється, коли UFW починається БЕЗ супровідного коментаря:

### tuple ### allow tcp 80 0.0.0.0/0 any 0.0.0.0/0 out

Отже, щоб вручну додати правило, що дозволяє TCP / 80, яке переживає перезавантаження UFW:

### tuple ### allow tcp 80 0.0.0.0/0 any 0.0.0.0/0 out
-A ufw-user-output -p tcp --dport 80 -j ACCEPT

БУДЬ ЛАСКА, ЗАПИШИ:

Коментар, що додає правило, додане вручну, НЕ МОЖЕ бути довільним: це повинен бути коментар, який створює UFW, коли ви додаєте правило через CLI. У цьому прикладі з використанням TCP / 80 було б:

sudo ufw allow http/tcp

Перевірка цього рішення:

Кроки для відтворення ПОСТУПНОГО :

• sudo ufw disable

• sudo vi /etc/ufw/user.rules

• Додати -A ufw-user-output -p tcp --dport 80 -j ACCEPTБЕЗ коментаря

• зберегти та закрити /etc/ufw/user.rules

• sudo ufw enable

Ваше правило, додане вручну, буде НАПРЕЧЕНО ; вона не переживе перезавантаження UFW

Кроки для відтворення РІШЕННЯ :

• sudo ufw disable

• sudo vi /etc/ufw/user.rules

• Додайте ### tuple ### allow tcp 80 0.0.0.0/0 any 0.0.0.0/0 out

• Додайте -A ufw-user-output -p tcp --dport 80 -j ACCEPT

• зберегти та закрити /etc/ufw/user.rules

• sudo ufw enable

Ваше додане вручну правило буде PERSIST

Так, абсолютно божевільно, що правило з правильним синтаксисом, який не є заздалегідь коментарем, не вдасться до валідації та очищення. Як іронічно інтерфейс між брандмауером, який вважає НЕЗАКОНЕНО ;-).

Це пригнало мені банани. Сподіваюся, що це рішення врятувало інших людей -