GUFW - domyślne ustawienie?

Wsparcie Oprogramowanie
1

GUFW - domyślne ustawienie?
Jakie jest domyślne ustawienie w GUFW profilu Dom?

Pytam, bo wydaje mi się, że było, tak jak to widzę podane w sieci:

Default: deny (incoming), allow (outgoing), deny (routed)

Natomiast na potrzeby Waydroid zmieniłem roboczo ustawienia, w tym:
sudo ufw default allow FORWARD
i teraz nie mogę tego “odkręcić” i mam:

sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), allow (routed)
New profiles: skip

Zatem jak to “odkręcić”, aby było (o ile tak powinno być) domyślne ustawienie: deny (routed) ?

2 
allow (routed)

To jedyna różnica względem domyślnych ustawień. Domyślnie jest

disabled (routed)
3

Ok. Ale jak to zrobić?
Zwykłe usunięcie dadanej wcześniej reguły ( sudo ufw default allow FORWARD ) generuje błąd:

sudo ufw delete default allow FORWARD
ERROR: Invalid syntax

Choć analogiczne usuwanie innych reguł było bezproblemowe. Np.:
sudo ufw delete allow 67

Edit:
Udało się (metodą prób i błędów):

sudo ufw default deny FORWARD
Default routed policy changed to 'deny'
(be sure to update your rules accordingly)

Teraz jest tak, jak to znalazłem w sieci, tj.:

sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), deny (routed)
New profiles: skip

Czy przypadkiem disabled (routed) nie jest tym samym co deny (routed)?

4

Deny i disable to w sumie to samo. Co do resetu to po prostu:

sudo ufw reset

tylko to usunie ci wszystkie reguły, jakie masz skonfigurowane i przywróci ufw do domyślnego stanu. Jak nie chcesz tracić innych reguł to robisz dokładnie tak jak zrobiłeś :wink:

5

Tej komendy nie używałem, jednak robiłem, jak mi się wydawało, to samo z poziomu GUI ( Edycja > Resetuj bieżący profil ). Takie działanie usuwało wszystkie wprowadzone reguły, jednak nie zmieniało ustawienia deny (routed) - przynajmniej wczoraj.
To dopiero zmieniło się dziś, po restarcie systemu i teraz jest już standardowe disabled (routed) .

Czat-GPT4 daje, następujące wyjaśnienie na pytanie:
Jaka jest różnica w ustawieniach UWF pomiędzy “disabled (routed)” a “deny (routed)”?

W ustawieniach UFW (Uncomplicated Firewall) różnica między trybami “disabled (routed)” a “deny (routed)” jest istotna. Pozwól, że to wyjaśnię:

  1. Disabled (routed):

    • W trybie “disabled (routed)”, UFW jest wyłączony, co oznacza, że nie ma żadnych reguł blokujących ani przepuszczających ruch.
    • Nie ma kontroli nad ruchem sieciowym, a UFW nie wpływa na przekierowywanie pakietów.
    • Jeśli UFW jest wyłączone, ruch między interfejsami sieciowymi (np. między maszynami wirtualnymi a hostem) nie jest ograniczany.

  2. Deny (routed):

    • W trybie “deny (routed)”, UFW jest włączony, ale domyślnie blokuje ruch przychodzący (incoming).
    • Jednak ruch przekierowywany (routed) między interfejsami sieciowymi jest dozwolony.
    • To oznacza, że możesz kontrolować ruch między różnymi sieciami, ale nadal blokować ruch przychodzący na hosta.

Aby skonfigurować UFW w trybie “deny (routed)”, upewnij się, że masz włączone przekierowywanie IP (IP forwarding). W pliku /etc/ufw/sysctl.conf ustaw odpowiednie wartości dla net/ipv4/ip_forward i net/ipv6/conf/default/forwarding, a następnie zrestartuj UFW ¹.

Źródło: Konwersacja za pomocą usługi Bing, 15.02.2024
(1) How to configure UFW to allow IP Forwarding? - Ask Ubuntu. firewall - How to configure UFW to allow IP Forwarding? - Ask Ubuntu.
(2) Ubuntu 18.04: Konfiguracja zapory sieciowej UFW - Hostovita.pl. Ubuntu 18.04: Konfiguracja zapory sieciowej UFW.
(3) ufw blocking ssh until “allow outgoing” - Stack Overflow. ubuntu 20.04 - ufw blocking ssh until "allow outgoing" - Stack Overflow.

Natomiast dodatkowe pytanie (Czy to oznacza, że tryb Deny (routed) jest bardziej bezpieczny?), zadane w kontekście powyższej odpowiedzi, sugerowałoby, że “Deny (routed)” jest lepszym wyborem.

Hmm. Ciekawe…Ale czy na pewno zgodne z prawdą?

Tak, tryb Deny (routed) jest bardziej bezpieczny w pewnych kontekstach. Pozwól mi wyjaśnić dlaczego:

  1. Tryb “Disabled (routed)”:
  • W tym trybie UFW jest całkowicie wyłączone, co oznacza, że nie ma żadnych reguł blokujących ani przepuszczających ruch.
  • Nie ma kontroli nad ruchem sieciowym, a UFW nie wpływa na przekierowywanie pakietów.
  • Jeśli UFW jest wyłączone, ruch między interfejsami sieciowymi (np. między maszynami wirtualnymi a hostem) nie jest ograniczany.
  1. Tryb “Deny (routed)”:
  • W trybie “deny (routed)”, UFW jest włączony, ale domyślnie blokuje ruch przychodzący (incoming).
  • Jednak ruch przekierowywany (routed) między interfejsami sieciowymi jest dozwolony.
  • To oznacza, że możesz kontrolować ruch między różnymi sieciami, ale nadal blokować ruch przychodzący na hosta.

W skrócie, jeśli zależy Ci na bezpieczeństwie hosta, tryb “Deny (routed)” jest lepszym wyborem, ponieważ blokuje ruch przychodzący, ale pozwala na przekierowywanie ruchu między interfejsami.

6

Postanowiłem zmienić domyślną regułę na tryb “deny (routed)” i pojawił się niezrozumiały problem.
O ile wcześniej skuteczna zmiana miała miejsce w wyniku komendy:
sudo ufw default deny FORWARD , to w obecnie ta komenda mi nie działa! (?)
Niby wyskakuje komunikat, że zmiana została dokonana:

sudo ufw default deny FORWARD
Default routed policy changed to 'deny'
(be sure to update your rules accordingly)

Ale po sprawdzeniu ciągle jest jak poniżej:

sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

Nic także nie zmienia:

  • komenda sudo ufw default deny routed
  • komenda sudo ufw reload
  • przelogowanie użytkownika
  • restart systemu.

Jak skutecznie zmienić domyślną regułę na tryb “deny (routed)”?