¿cómo se crea un perfil de aplicación para ufw?

23

Ufw tiene un comando que enumera los perfiles a los que puede seguir explorando sus definiciones de perfil

$ ufw app list

Y

$ ufw app PROFILE {app profile title}

Me preguntaba cómo puedes crear un perfil para un programa indefinido, como un cuadro virtual, y hacer que ese perfil ejecute las mismas definiciones que he dado a iptables para mi distribución de Ubuntu.

No solo estoy intentando usar el firewall Ubuntus para dar servicio a mi máquina virtual. También tengo una sincera curiosidad por cómo crear un perfil para una aplicación que no viene con uno.

    
pregunta Miphix 22.01.2014 - 05:53

2 respuestas

27

Para responder la pregunta real sobre cómo crear su propio archivo de aplicación, solo necesita saber que está usando el formato de archivo de Windows INI (yuck).

[appname]
title=1-liner here
description=a longer line here
ports=1,2,3,4,5,6,7,8,9,10,30/tcp|50/udp|53

La línea de puertos puede especificar varios puertos, con / udp o / tcp, para limitar el protocolo; de lo contrario, se establece en ambos. Tienes que dividir las secciones de protocolo con |.

Entonces, para un conjunto de ejemplos de la vida real, hice:

[puppet]
title=puppet configuration manager
description=Puppet Open Source from http://www.puppetlabs.com/
ports=80,443,8140/tcp

[AMANDA]
title=AMANDA Backup
description=AMANDA the Advanced Maryland Automatic Network Disk Archiver
ports=10080

Puede enumerar varias versiones de la aplicación en un solo archivo, como este de apache:

===start of apache2.2-common file===
[Apache]
title=Web Server
description=Apache v2 is the next generation of the omnipresent Apache web server.
ports=80/tcp

[Apache Secure]
title=Web Server (HTTPS)
description=Apache v2 is the next generation of the omnipresent Apache web server.
ports=443/tcp

[Apache Full]
title=Web Server (HTTP,HTTPS)
description=Apache v2 is the next generation of the omnipresent Apache web server.
ports=80,443/tcp

===end of file===

Una vez que haya definido su archivo de aplicación, colóquelo en /etc/ufw/applications.d, luego indíquele que vuelva a cargar las definiciones de la aplicación con

ufw app update appname
ufw app info appname

Úselo con algo como:

ufw allow from 192.168.1.10 to any app amanda
ufw allow amanda

suponiendo que 192.168.1.10 es la IP de su servidor amanda.

    
respondido por el user207998 26.06.2014 - 22:07
9

En realidad, todo está en la página de manual en la sección "Integración de la aplicación".

La sintaxis básica es:

ufw allow <app_name>

O puede usar la sintaxis extendida para ser más específico:

ufw allow from <some_address> to any app <app_name>

La página de manual dice específicamente no para especificar un número de puerto:

  

No debe especificar el protocolo con sintaxis, y con el          sintaxis extendida, use la aplicación en lugar de la cláusula de puerto.

Esto probablemente significa que permitirá que <app_name> use el puerto que quiera ...

Otros comandos útiles:

ufw app info <app_name>

que enumera la información del perfil de <app_name> .

ufw app update <app_name>  

Que actualiza el perfil de <app_name> . Puede usar all para actualizar todos los perfiles de las aplicaciones.

Puedes usar el:

ufw app update --add-new <app_name>  

comando para agregar un nuevo perfil para <app_name> y actualizarlo, siguiendo las reglas que estableces con ufw app default <policy> .

Los perfiles de las aplicaciones se almacenan en /etc/ufw/applications.d y algunas veces /etc/services .

Para obtener más información, consulte man ufw .

    
respondido por el Seth 22.01.2014 - 06:16

Lea otras preguntas en las etiquetas