6 votes

renam.antunes avatar

Configurer UFW pour autoriser uniquement les connexions établies et connexes (sur IPv4)

Demandé el 27 de Mars, 2015
Quand la question a-t-elle été
7946 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je veux configurer ufw pour refuser tout sauf les connexions liées et établies. Sur iptables, je faisais généralement :

  -P INPUT DROP
  -P FORWARD DROP
  -P OUTPUT ACCEPT
  -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT
  -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

J'ai lu que le code suivant sur ufw est étroitement lié :

 ufw default deny incoming
 ufw default deny forwarding
 ufw default allow outgoing
 ufw allow 443/tcp
 ufw allow 53/tcp
 ................

Le problème est qu'avec ce code ufw, je permets TOUT le trafic entrant de ces ports. Avec iptables, seules les connexions établies étaient autorisées. Comment pourrais-je configurer les mêmes règles sur ufw?

Demandé el 27 de Mars, 2015 par renam.antunes

Réponses

Trop de publicités?

4voto

F1Linux avatar
F1Linux Points 753

Il semble que vous n'ayez rien à faire pour autoriser les connexions RELATED/ESTABLISHED.

Dans la ver. 0.36 d'UFW que je regarde sur Ubuntu Core 16.04, les règles pour autoriser les connexions RELATED/ESTABLISHED sont là par défaut.

Ouvrez le fichier des règles before.rules, vous verrez que le travail a été fait pour vous :

# traiter rapidement les paquets pour lesquels nous avons déjà une connexion
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
Répondu el 8 de Mai, 2019 par F1Linux (753 Points )

1voto

heemayl avatar
heemayl Points 85741

ufw est considéré comme une interface simple pour iptables. Il ne prend pas en charge toutes les fonctionnalités fournies par iptables et le filtrage basé sur l'état de la connexion n'est pas encore pris en charge.

ufw a été initialement mis en place afin que tout utilisateur puisse comprendre ou modifier les règles de pare-feu de base sans avoir à passer par les complexités de iptables. Vous pouvez consulter ce wiki ubuntu pour avoir une meilleure idée des fonctionnalités déjà prises en charge. Notez que si vous connaissez iptables, alors ufw n'est pas nécessaire.

Répondu el 27 de Mars, 2015 par heemayl (85741 Points )

1voto

rumanzo avatar
rumanzo Points 11

Essayez d'ajouter à /etc/ufw/before.rules

*filter
:INPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
Répondu el 14 de Mars, 2017 par rumanzo (11 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X