【已完成】建议【安全】规则中的IP规则优先级要高于端口...

本帖最后由堡塔运维香菜卷于 2023-3-25 11:03 编辑

增加功能：不算增加，应该算调整，建议在【安全】版块中让IP规则的优先级高于端口规则，如果能增加优先级设置功能就更高了。

需求描述：做软交换服务，经常被世界各地的扫描器扫描，所以我们要经常对服务器设置拒绝指定IP访问，然而当我在IP规则中添加了屏蔽的IP后，发现竟然没有生效，后来在终端执行ufw status一查才发现，端口规则的优先级高于IP规则，导致当端口被访问到时，优先匹配了allow的规则，那么后面对指定IP的deny规则就等于形同虚设了。

期望结果：在端口规则中设置开放指定端口给任意来源，在IP规则中设置屏蔽指定IP的访问（IP黑名单），那么IP黑名单中的来源即使请求了开放的端口也是要拒绝访问的。

发现问题的环境：
操作系统：debian10.7
面板版本：7.9.4

谢花郎 · 发表于 2023-1-10 14:34:11

您好，这类系统防火墙并非我们能操作的优先级，有些系统默认防火墙它本身有自己的工作原理和机制。

AaronChen · 发表于 2023-1-10 22:00:10

谢花郎发表于 2023-1-10 14:34
您好，这类系统防火墙并非我们能操作的优先级，有些系统默认防火墙它本身有自己的工作原理和机制。
...

我想可能会有办法做到吧，比如使用ufw命令手动插入一个IP黑名单的话，可以使用命令

ufw insert 1 deny from IP

复制代码

它会把这个屏蔽IP的规则添加到规则列表的第1条位置，那么如果每一个面板中的IP规则在添加时都加上这个insert 1呢，不知是否可行。

再或者，如果手动编辑文件/etc/ufw/before.rules添加规则，这里的优先级就要高于/etc/ufw/user.rules。

我只是提个思路，至于如何实现，当然宝塔团队更专业。

█ 菠萝云-免费装宝塔,4G内存68 █	速智云-高性能高防服务器/五折起	★香港CN2云/站群/高防/特价机★	A4招租，联系qq394030111	【多途云】高防CDN
高防服务器，无视一切流量攻击	+++++高防BGP云4C4G69元+++++	OV/EV SSL证书，可当日签发	【阿里云】宝塔一键部署，5.5折	宝塔一键部署DV,EV,OV,SSL证书
█ 易探云·香港/美国vps仅9元 █	===真高防===CDN99元起\|全球节点	★香港VPS首月免费★续费68元★	【阿里云】2核2G，3M，45.1元/年	在线网站测速、批量PING运维工具