Zobacz skonfigurowane reguły, nawet gdy są nieaktywne

71

Zastanawiam się, czy można uzyskać od UFW listę skonfigurowanych reguł zapory, nawet jeśli nie jest włączona. Mam obecnie dostęp tylko do ssh do serwera i nie chcę włączać UFW, jeśli nie skonfigurowano reguły zezwalającej na ssh. Ponieważ jednak UFW nie jest obecnie włączone, po prostu otrzymuję komunikat „nieaktywny”, gdy uruchamiam „status ufw”.

Czy istnieje specjalna flaga, której mogę użyć, a nawet jakiś plik konfiguracyjny, na który mogę patrzeć, aby zobaczyć, jakie reguły są skonfigurowane, nawet gdy zapora jest wyłączona?

Bryan
źródło
4
Aktualna odpowiedź jest dostępna ufw show addeddzięki uprzejmości @simon.
ctbrown

Odpowiedzi:

24

Obecnie nie ma możliwości wyświetlenia wprowadzonych reguł przed włączeniem zapory za pomocą polecenia CLI. Możesz jednak przejrzeć pliki reguł bezpośrednio. /lib/ufw/user*.rules zawiera reguły kontrolowane za pomocą komendy CLI „ufw”. Na przykład:

 $ sudo grep '^### tuple' /lib/ufw/user*.rules

Spowoduje to wyświetlenie danych wyjściowych w następujący sposób (dla reguły dodanej z „sudo ufw zezwól na OpenSSH):

 /lib/ufw/user.rules:### tuple ### allow tcp 22 0.0.0.0/0 any 0.0.0.0/0 OpenSSH - in

„Krotka” jest skrótem używanym wewnętrznie przez ufw do śledzenia reguł i może być interpretowana jako jedna z tych:

 ### tuple ### <action> <proto> <dst port> <dst> <src port> <src> <direction>
 ### tuple ### <action> <proto> <dst port> <dst> <src port> <src> <dst app name> <src app name> <direction>

Przydatne może być dodanie innego polecenia statusu w celu obsługi tego. Proszę rozważyć zgłoszenie błędu.

jdstrand
źródło
5
umieszczanie plików /libjest moim zdaniem dość dziwne
pqnet
11
Dodali polecenie ufw show added, patrz także odpowiedź @Simon poniżej
RedPixel
109

Istnieje teraz ufw show addedpolecenie, które wyświetli listę skonfigurowanych reguł, nawet gdy zapora jest nieaktywna. Został dodany jako poprawka do tego raportu o błędach i dodany w v0.33

Teraz możesz zrobić:

# ufw status
Status: inactive
# ufw allow ssh
Rules updated
Rules updated (v6)
# ufw show added
Added user rules (see 'ufw status' for running firewall):
ufw allow 22
# ufw enable
Firewall is active and enabled on system startup
# ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)

Format wyjścia z ufw show addedznacznie ułatwia napisanie komendy usuwania dla każdej reguły.

Szymon
źródło
3
Raport o błędach: został dodany w wersji ufw 0.33, wydanej w sierpniu 2012 r.
ConvexMartian
18

Ogólne zasady są w /etc/ufw. Reguły zdefiniowane przez użytkownika są w /lib/ufw/user*.

zorganizować
źródło
Magia - /lib/ufw/user.rules ma czytelne dla człowieka reguły w sekcji ### RULES ###. Dzięki.
Scaine
9

W Ubuntu 16.04 reguły zdefiniowane przez użytkownika są przechowywane w /etc/ufw/user.rules. Dlatego możesz zobaczyć reguły za pomocą:

sudo cat /etc/ufw/user.rules
pstadler
źródło
1
Dlatego w Ubuntu 16.04 możesz użyć tego: sudo grep '^### tuple' /etc/ufw/user*.rulesdo sformatowanej listy reguł dodanych przez użytkownika.
Ville,
2
@Ville, nie rób tego. Użyj sudo ufw show addedzamiast tego.
ctbrown
Dzięki, nie wiedziałem, że @ctbrown. Wydaje się również działać, gdy ufw jest wyłączony.
pstadler
4

Z wiersza poleceń nie ma drogi. Jeśli jednak korzystasz z SSH z poziomu Ubuntu (do Ubuntu), możesz wypróbować tę nieco skomplikowaną metodę:

Zasadniczo zainstaluj gufw na zdalnym urządzeniu, a następnie połącz się z X forwarding i uruchom GUI.

Na zdalnym urządzeniu, po połączeniu z -Xopcją:

sudo apt-get install gufw
sudo gufw

To pokaże zestaw reguł bez konieczności jego aktywacji.

Ostrzegamy, że jeśli zdalne urządzenie jest prawdziwym serwerem „bezgłowym”, wówczas instalacja GUFW może zniszczyć nieprzyjemną liczbę zależności. Ale jeśli ktoś tutaj nie zna sztuczki, aby UFW pokazywał potrzebne dane wyjściowe bez uprzedniej aktywacji, może to być Twoja jedyna opcja.

Próbowałem sudo ufw show raw, ale pokazuje to wynik iptables, z którego nie mogę zrobić głowy ani ogona.

Scaine
źródło
Dzięki za ciekawostkę na temat „ufw show raw” - musiałem przegapić to na stronach podręcznika. Kiedy go uruchamiam, nie widzę niczego, co wyskoczyłoby na mnie jako reguły, co oznacza, że ​​mogę nie mieć żadnych skonfigurowanych, ale nie chcę jeszcze ryzykować. I tak, instalacja gufw wymagałaby zainstalowania bardzo dużej liczby zależności, więc myślę, że uniknę tego podejścia.
Bryan,