当前位置:论坛首页 > 新功能建议 > Linux面板

【已完成】建议【安全】规则中的IP规则优先级要高于端口...

发表在 新功能建议2023-1-10 12:04 [复制链接] 2 2182

本帖最后由 堡塔运维香菜卷 于 2023-3-25 11:03 编辑

增加功能:不算增加,应该算调整,建议在【安全】版块中让IP规则的优先级高于端口规则,如果能增加优先级设置功能就更高了。

需求描述:做软交换服务,经常被世界各地的扫描器扫描,所以我们要经常对服务器设置拒绝指定IP访问,然而当我在IP规则中添加了屏蔽的IP后,发现竟然没有生效,后来在终端执行ufw status一查才发现,端口规则的优先级高于IP规则,导致当端口被访问到时,优先匹配了allow的规则,那么后面对指定IP的deny规则就等于形同虚设了。

期望结果:在端口规则中设置开放指定端口给任意来源,在IP规则中设置屏蔽指定IP的访问(IP黑名单),那么IP黑名单中的来源即使请求了开放的端口也是要拒绝访问的。


发现问题的环境
操作系统:debian10.7
面板版本:7.9.4
使用道具 举报 只看该作者 回复
发表于 2023-1-10 14:34:11 | 显示全部楼层
您好,这类系统防火墙并非我们能操作的优先级,有些系统默认防火墙它本身有自己的工作原理和机制。
使用道具 举报 回复 支持 反对
发表于 2023-1-10 22:00:10 | 显示全部楼层
谢花郎 发表于 2023-1-10 14:34
您好,这类系统防火墙并非我们能操作的优先级,有些系统默认防火墙它本身有自己的工作原理和机制。
...

我想可能会有办法做到吧,比如使用ufw命令手动插入一个IP黑名单的话,可以使用命令
  1. ufw insert 1 deny from IP
复制代码


它会把这个屏蔽IP的规则添加到规则列表的第1条位置,那么如果每一个面板中的IP规则在添加时都加上这个insert 1呢,不知是否可行。

再或者,如果手动编辑文件/etc/ufw/before.rules添加规则,这里的优先级就要高于/etc/ufw/user.rules。

我只是提个思路,至于如何实现,当然宝塔团队更专业。
使用道具 举报 回复 支持 反对
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

普通问题处理

论坛响应时间:72小时

问题处理方式:排队(仅解答)

工作时间:白班:9:00 - 18:00

紧急运维服务

响应时间:3分钟

问题处理方式:宝塔专家1对1服务

工作时间:工作日:9:00 - 18:30

宝塔专业团队为您解决服务器疑难问题

立即付费处理

工作时间:09:00至24:00

快速回复 返回顶部 返回列表