उबंटू: एक iptables नियम कैसे जोड़ा जाए जो UFW नहीं बना सकता है

15

UFW मेरे लिए वास्तव में अच्छी तरह से काम कर रहा है सिवाय उन मामलों में जहां यह नहीं ...

मैं मैन्युअल रूप से एक और नियम जोड़ना चाहता हूं जो बूट पर लागू होगा?

मुझे यह नियम कहां रखना चाहिए?
मुझे इसे बूट पर कैसे शुरू करना चाहिए?
मैं इसे UFW के साथ अच्छी तरह से कैसे खेलते हैं?

ubuntu iptables ufw

1

ufw उनमें से एक है "जो आप देखते हैं वह सब आपको मिलता है" ऐसी चीजें हैं जो न्यूबाय के लिए आसान बनाती हैं। यदि आपको इससे अधिक करने की आवश्यकता है, तो पूरी तरह से iptables पर स्विच करने पर विचार करें। यह "मेरे लिए वास्तव में अच्छी तरह से काम करना" एक अच्छा सबूत है कि आप कुछ (iptables) अधिक जटिल (लेकिन अधिक लचीला भी) की कोशिश कर सकते हैं।

— HALP

14

के अनुसार इस उबंटू विकि पृष्ठ , आप प्राप्त कर सकते हैं क्या आप अपने खुद के रख कर करना चाहते हैं ( "उन्नत कार्यक्षमता" के लिए नीचे स्क्रॉल) iptablesनिम्न फ़ाइलों में नियम:

/etc/ufw/before.rules
/etc/ufw/after.rules

beforeइससे पहले किसी भी फाइल मूल्यांकन किया जाता है ufwनियम लागू होते हैं; afterफ़ाइल के बाद मूल्यांकन किया जाता है। ( आपके नियमों के लिए भी संगत before6और after6नियम फाइलें ip6tablesहैं।)

इन नियमों की फ़ाइलों के iptables-restoreअसंगत सिंटैक्स होने की संभावना है , संभवतया क्योंकि ufwकेवल उनका उपयोग करके लोड होता है iptables-restore। अंत में, ध्यान दें कि ufwनियम फ़ाइलों में कोई भी परिवर्तन करने के बाद आपको रोकना और पुनः आरंभ करना होगा ।

— स्टीवन सोमवार
स्रोत

3

ध्यान दें कि यदि आप इन फ़ाइलों का उपयोग करते समय -I या -A के उपयोग को मानकीकृत करना भूल जाते हैं, तो आप (शायद अनायास ही) iptables नियमों की पूर्ववर्ती स्थिति को बदल सकते हैं। -I (इंसर्ट) श्रृंखला के टॉप में नियमों को जोड़ता है, पहले मूल्यांकन किया जाता है, जबकि -ए (अपेंड) उन्हें चेन के निचले हिस्से में जोड़ता है। उदाहरण के लिए, यदि आप .I के बाद फ़ाइल में उपयोग करते हैं, तो यह अप्रत्याशित परिणाम हो सकता है। सिर्फ एक विचार।

— सैम हेलिके

0

UFW किसी भी साफ करेगा मैन्युअल जोड़ा शासन में /etc/ufw/user.rulesजो है नहीं एक टिप्पणी के साथ आरंभ:

### tuple ### allow tcp 80 0.0.0.0/0 any 0.0.0.0/0 out
-A ufw-user-output -p tcp --dport 80 -j ACCEPT

जब यूएफडब्ल्यू विवेक स्टार्टअप पर नियमों की जांच करता है, तो यह एक टिप्पणी के साथ उम्मीद करता है। यदि यह नहीं है मौजूद , भले ही नियम का सिंटैक्स सही हो, लेकिन यूएफडब्ल्यू अभी भी इसे शुद्ध करेगा।

और केवल किसी भी मनमाने ढंग से टिप्पणी का उपयोग न करें: यह टिप्पणी होनी चाहिए कि UFW सम्मिलित करेगा जब कोई उपयोगकर्ता नियम बनाकर cli, यानी:

sudo ufw allow http/tcp

इसलिए यदि आप एक साधारण फ़ाइल में एक नियम में नियमों की एक श्रृंखला को प्री-सीड करना चाहते हैं, तो आपको अभी भी यूएलडब्ल्यू के सीएलआई इंटरफ़ेस के माध्यम से नियमों को बनाने की आवश्यकता होगी, जो टिप्पणियों के सिंटैक्स को जानने के लिए नियम के सत्यापन और जारी रखने की अपेक्षा करता है। ।

टिप्पणी के साथ और बिना पूर्वगामी प्रयास करें और ऊपर दिए गए HTTP नियम को फिर से लोड करें; आप केवल टिप्पणी के साथ टिप्पणी करेंगे कि मैन्युअल रूप से जोड़ा गया नियम UFW के पुनरारंभ ( ufw सक्षम ) से बचता है ।

यह वास्तव में प्रति-सहज व्यवहार है और बिल्कुल भी प्रलेखित नहीं है।

— F1Linux
स्रोत