UFW Firewall Правила заказа?

У меня есть следующие правила на нашем сервере в UFW:

To                         Action      From
--                         ------      ----
22                         ALLOW       217.22.12.111
22                         ALLOW       146.200.200.200
80                         ALLOW       Anywhere
443                        ALLOW       Anywhere
22/tcp                     ALLOW       109.104.109.0/26

Первые два правила - это наши внутренние IP-адреса, которые мы хотим гарантировать, чтобы всегда можно было использовать SSH (порт 22). Следующие два правила разрешают просмотр HTTP и HTTPS с любых IP-адресов в любом месте. Последнее правило - разрешить SSH из нашей системы развертывания кода.

Я установил ufw default denyправило, но оно не показывается. Должен ли я также иметь окончательное правило, которое отрицает все?

Если я добавлю правило «запретить все», изменится ли порядок, в котором указаны правила, выше? Предположительно, если этот список станет длиннее, добавление другого правила разрешения выше запрещающего правила невозможно, то есть мне придется удалить и повторно добавить некоторые правила?

Если вы заинтересованы в изменении порядка ваших правил UFW, это один из способов сделать это.

$ sudo ufw status numbered

     To                         Action      From
     --                         ------      ----
[ 1] 22                         ALLOW IN    Anywhere
[ 2] 80                         ALLOW IN    Anywhere
[ 3] 443                        ALLOW IN    Anywhere
[ 4] 22 (v6)                    ALLOW IN    Anywhere (v6)
[ 5] 80 (v6)                    ALLOW IN    Anywhere (v6)
[ 6] 443 (v6)                   ALLOW IN    Anywhere (v6)
[ 7] Anywhere                   DENY IN     [ip-to-block]

Скажем, вы случайно добавили правило до конца, но вы хотели наверх.

Сначала вам нужно будет удалить его снизу (7) и добавить обратно.

$ sudo ufw delete 7

Обратите внимание, будьте осторожны, удаляя несколько правил одно за другим, их позиция может измениться!

Добавьте ваше правило в самый верх (1):

$ sudo ufw insert 1 deny from [ip-to-block] to any

Команда ufw status verboseпокажет вам правило по умолчанию. Для вашей конфигурации вы, вероятно, хотите сказать

По умолчанию: deny (входящий), allow (исходящий)

В этом случае вам не нужно отдельное правило «отрицать все», и порядок других ваших правил не имеет значения. Если вы хотите изменить порядок, вы можете добавить правило в определенном месте с помощью ufw insert [position] [rule text]. Вы можете получить нумерованный список правил с помощью ufw status numbered.

Если вы знакомы с форматом правил, сгенерированных iptables-saveкомандой, вы можете просто отредактировать файлы конфигурации для ufw в /etc/ufw/user.rulesи /etc/ufw/user6.rules. Даже если это не так, для каждого добавленного пользователем правила есть комментарий, показывающий соответствующую команду ufw для вашей справки.
Измените заказы по своему желанию и сохраните его. Затем запустите sudo ufw reload, новый заказ будет на месте.
Этот способ быстрее, чем deleteи insertкоманды, но вы, вероятно, должны сделать резервную копию перед редактированием, если вы не очень уверены.