LINUX.ORG.RU

UFW (Uncomplicated Firewall) без GUI как удобная альтернатива шаманству с iptables - для ленивых

 , ,


0

1

Добрый вечер!

В Debian есть такая интересная вещь, как утилита UFW, ставится из реп:

sudo apt update
sudo apt install ufw

Типовая конфигурация:

sudo ufw default deny incoming
sudo ufw default allow outgoing

Включить UFW:

sudo ufw enable

Отключить:

sudo ufw disable

Проверить статус:

sudo ufw status verbose

Подробнее:

https://manpages.debian.org/bullseye/ufw/ufw.8.en.html

https://www.digitalocean.com/community/tutorials/how-to-set-up-a-firewall-wit...

На первый взгляд, отличная вещь.

Может предложите ложку дегтя, чтобы не было лишних иллюзий?

И вот, из непонятного:

~$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

При этом, попытка прописать по аналогии с приведенными выше конструкциями:

~$ sudo ufw default allow routed
Default routed policy changed to 'allow'
(be sure to update your rules accordingly)

Вроде и отрабатывает, но не дает ничего, ибо по прежнему:

~$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

В общем, непонятно.


Ответ на: комментарий от Anoxemian

А потому, что уже привык - если все кажется слишком радужным, то чего-то недосмотрел. А так-то да, обрывочность моих познаний удручает. Но стараюсь исправляться. Не без помощи ЛОР-а, кстати. )

UNX
() автор топика

Как активный пользователь этой фигни, скажу откровенно, глючит она периодически. Вроде правила помнит, но в iptables при загрузке может чего-то не попасть, порт не открыть и доступ к машине теряется. Такие пироги.

Не знаю может за годы это пофиксили, но года 4 назад точно было так.

unDEFER ★★★★★
()
Последнее исправление: unDEFER (всего исправлений: 1)
Ответ на: комментарий от animechaos

А я этого зверя в системе не встречал вроде. Сейчас почитаю.

Забавно, что мне человек еще вчера посоветовал: iptables: Все входящие бесплатно, а исходящие в 2 раза дешевле! (комментарий)

Но я подумал, что это к какому-то другому дистрибутиву, и отложил «на разобраться потом». А это вообще подсистема ядра.

UNX
() автор топика
Последнее исправление: UNX (всего исправлений: 1)
Ответ на: комментарий от UNX

Если относительно свежая система используется и не требуется docker-podman, то всяко лучше чем iptables.

Для vps или виртуалок с простыми правилами уж точно.

animechaos ★★
()
Последнее исправление: animechaos (всего исправлений: 1)
Ответ на: комментарий от animechaos

Debian 11, но наверное, лучше сразу изучать что-то новое, чем потом переучиваться. Спасибо, что посоветовали! И, кстати, конфиг в ext лежит. Не обращал до этого внимания.

UNX
() автор топика
Ответ на: комментарий от Anoxemian

А в чём проблема задавать правила точно также из консоли, если уж хочется?

О чём речь?

Генерировать правила через shеll-скрипт никто не запрещал, так-то…

animechaos ★★
()
Последнее исправление: animechaos (всего исправлений: 1)
Ответ на: комментарий от animechaos

А в чём проблема задавать правила точно также из консоли

О том и речь, о том и речь… Но нет, надо питонолапшу-обертку мутить, которая еще и глючит. Г - гениально.

Anoxemian ★★★★★
()
Ответ на: комментарий от Anoxemian

Разрабы Netfilter: Ну да, ну да. Пошли мы нах_р.

Вот вам старые добрые:

iptables
ip6tables
ebtables
arptables
ipset

ЛюбитесЪ


питонолапшу

Может хватит? Эти правила не в iptables превращаются, всё же.

animechaos ★★
()
Последнее исправление: animechaos (всего исправлений: 3)
Ответ на: комментарий от Entmatix

В репо нет, а при попытке зайти на сайт https://www.opensnitch.io/ «Country not allowed».

Как говорится, спасибо, тебе, разраб, за честность. Не пришлось тратить время и заморачиваться с аудитом кода. )

UNX
() автор топика
Ответ на: комментарий от Entmatix

Эх! Вы правы. Зашел через прокси - автор просто не продлил домен и он, похоже, ушел на парковку. Ну а парковщики, понятное дело, настраивали исходя из монетизации.

UNX
() автор топика
Последнее исправление: UNX (всего исправлений: 1)