Ubuntu 20.04 Server - логика работы UFW
Доброе время суток. UFW включен.
sudo ufw status verbose выдает такую информацию:
Цитата:
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: deny
To Action From
-- ------ ----
3389/tcp ALLOW IN Anywhere
22/tcp ALLOW IN Anywhere
3389/tcp (v6) ALLOW IN Anywhere (v6)
22/tcp (v6) ALLOW IN Anywhere (v6)
|
В /etc/default/ufw правила такие:
Цитата:
IPV6=yes
DEFAULT_INPUT_POLICY="DROP"
DEFAULT_OUTPUT_POLICY="ACCEPT"
DEFAULT_FORWARD_POLICY="DROP"
DEFAULT_APPLICATION_POLICY="DROP"
|
Но при этом, комп с этим брандмауэром пропускает, например ICMPv4 пакеты. Он пингуется. Не могу понять почему ? Ведь, судя по тому что входящие правила по умолчанию запрещены, в разрешенных нет правила для ICMPv4, или конкретно для пинга, а пинг проходит.
|
Так же вопрос: где ufw хранит свои правила ? Например, правила после команды ufw status verbose, не написаны в файле /etc/default/ufw . Видимо есть еще какой-то файл ?
|
Уже нашел ответ. По умолчанию ICMPv4 типа echo request разрешены в ufw:
Цитата:
Enabling ufw creates a ruleset that is intended to protect the host while
allowing some common traffic such as DHCP, ping and mDNS. These defaults are
setup in the before*.rules and after*.rules files (see 'man iptables' for
terminology):
- Default DROP on INPUT
- Default DROP on FORWARD
- Default ACCEPT on OUTPUT
- ACCEPT all on lo
- DROP packets with RH0 headers
- ACCEPT all RELATED and ESTABLISHED on INPUT and OUTPUT
- ACCEPT all RELATED and ESTABLISHED on FORWARD (ip forwarding must be enabled
via sysctl for this to be in effect)
- DROP INVALID packets (packets not associated with a known connection)
- ACCEPT certain icmp packets (INPUT and FORWARD):
- destination-unreachable, source-quench, time-exceeded, parameter-problem,
and echo-request for IPv4
- destination-unreachable, packet-too-big, time-exceeded, parameter-problem,
and echo-request
- ACCEPT certain icmpv6 packets for stateless autoconfiguration (INPUT):
neighbor-solicitation, neighbor-advertisement, router-solicitation
- ACCEPT mDNS (zeroconf/bonjour/avahi 224.0.0.251 for IPv4 and ff02::fb for
IPv6) for service discovery (INPUT)
- ACCEPT UPnP (239.255.255.250 for IPv4 and ff02::f for IPv6) for service
discovery (INPUT)
- ACCEPT ping replies from IPv6 link-local (ffe8::/10) addresses (INPUT)
- ACCEPT DHCP client traffic (INPUT)
- Log all blocked packets not matching the default policy with rate limiting
If you are using a packaged version of ufw supplied by your distribution, the
default ruleset may be different.
|
Не совсем это конечно удобно. Удобнее когда отключил абсолютно все, а потом нужные параметры включаешь. Понял так что этот функционал дает iptables, но он якобы сложнее в настройке. Почитаю.
|
__sa__nya, ufw это не более чем надстройка над iptables, призванная генерировать правила iptables простым, юзер-френдли способом.
Собственно правила лежат в /var/lib/ufw/user.rules (так на Centos/Rocky, в убунте может и в другом месте)
|
Да, я уже из чтения Google так и понял что ufw это надстройка. Но очень удобная. Реально все интуитивно понятно.
|
Время: 00:11.
© OSzone.net 2001-