【已完成】建议【安全】规则中的IP规则优先级要高于端口...
本帖最后由 堡塔运维香菜卷 于 2023-3-25 11:03 编辑增加功能:不算增加,应该算调整,建议在【安全】版块中让IP规则的优先级高于端口规则,如果能增加优先级设置功能就更高了。
需求描述:做软交换服务,经常被世界各地的扫描器扫描,所以我们要经常对服务器设置拒绝指定IP访问,然而当我在IP规则中添加了屏蔽的IP后,发现竟然没有生效,后来在终端执行ufw status一查才发现,端口规则的优先级高于IP规则,导致当端口被访问到时,优先匹配了allow的规则,那么后面对指定IP的deny规则就等于形同虚设了。
期望结果:在端口规则中设置开放指定端口给任意来源,在IP规则中设置屏蔽指定IP的访问(IP黑名单),那么IP黑名单中的来源即使请求了开放的端口也是要拒绝访问的。
发现问题的环境:
操作系统:debian10.7
面板版本:7.9.4
您好,这类系统防火墙并非我们能操作的优先级,有些系统默认防火墙它本身有自己的工作原理和机制。
谢花郎 发表于 2023-1-10 14:34
您好,这类系统防火墙并非我们能操作的优先级,有些系统默认防火墙它本身有自己的工作原理和机制。
...
我想可能会有办法做到吧,比如使用ufw命令手动插入一个IP黑名单的话,可以使用命令
ufw insert 1 deny from IP
它会把这个屏蔽IP的规则添加到规则列表的第1条位置,那么如果每一个面板中的IP规则在添加时都加上这个insert 1呢,不知是否可行。
再或者,如果手动编辑文件/etc/ufw/before.rules添加规则,这里的优先级就要高于/etc/ufw/user.rules。
我只是提个思路,至于如何实现,当然宝塔团队更专业。
页:
[1]