ufwのアプリプロファイルをどのように作成しますか?


31

Ufwには、プロファイル定義をさらに調査できるプロファイルをリストするコマンドがあります

$ ufw app list

そして

$ ufw app PROFILE {app profile title}

仮想ボックスのような未定義プログラムのプロファイルを作成し、Ubuntuディストリビューション用にiptablesに指定したのと同じ定義をそのプロファイルで実行させる方法を知りたいと思いました。


Ubuntuファイアウォールを使用して仮想マシンにサービスを提供しようとしているだけではありません。また、プロファイルが付属していないアプリケーションのプロファイルを作成する方法についても心から興味があります。

回答:


36

独自のアプリケーションファイルの作成方法に関する実際の質問に答えるには、Windows INIファイル形式(yuck)を使用していることを知るだけで済みます。

[appname]
title=1-liner here
description=a longer line here
ports=1,2,3,4,5,6,7,8,9,10,30/tcp|50/udp|53

ポート行では、プロトコルを制限するために、/ udpまたは/ tcpを使用して複数のポートを指定できます。指定しない場合は、デフォルトで両方に設定されます。プロトコルセクションを|で分割する必要があります。

それで、私が作った実例のセットのために:

[puppet]
title=puppet configuration manager
description=Puppet Open Source from http://www.puppetlabs.com/
ports=80,443,8140/tcp

[AMANDA]
title=AMANDA Backup
description=AMANDA the Advanced Maryland Automatic Network Disk Archiver
ports=10080

このapacheのように、アプリの複数のバージョンを1つのファイルにリストできます。

===start of apache2.2-common file===
[Apache]
title=Web Server
description=Apache v2 is the next generation of the omnipresent Apache web server.
ports=80/tcp

[Apache Secure]
title=Web Server (HTTPS)
description=Apache v2 is the next generation of the omnipresent Apache web server.
ports=443/tcp

[Apache Full]
title=Web Server (HTTP,HTTPS)
description=Apache v2 is the next generation of the omnipresent Apache web server.
ports=80,443/tcp

===end of file===

アプリケーションファイルを定義したら、に配置して/etc/ufw/applications.dから、アプリケーション定義をリロードするようにufwに指示します。

ufw app update appname
ufw app info appname

次のようなもので使用します:

ufw allow from 192.168.1.10 to any app amanda
ufw allow amanda

192.168.1.10がamandaサーバーのIPであると仮定します。


udpとtcpを組み合わせるための構文が間違っています。あるはずですxx/tcp|yy/udp。言い換えれば、プロトコル間の分離は、パイプではなく、あなたの例のようにコンマでなければなりません
Hilikus

私の例はそれらを結合しようとするものではなく、this-port-on-udp、some-other-port-on-tcpの単純なリストです。
-user207998

netstatアプリケーション名を見つけるために使用してみました...そうですか?少なくとも私にはうまくいきました。大文字と小文字は区別されますか?アプリケーションファイルの「アプリ名」とタイトルとプロセス名などの関係がどうなっているかはよく
わかりません

Netstatは、特定のポートに接続されているプロセス名をリストするだけです。これは、必ずしもアプリケーションの名前と一致するとは限りません。たとえば、postfixアプリケーションは、ポート25を開く「マスター」プロセスなど、さまざまなプロセスを起動します。たとえば、「Postfix」または「AMANDA」などのパッケージ名に基づいてufwアプリの構成ファイルに名前を付けます。構成ファイル内には、そのパッケージによって開かれたポートを表す1つ以上のアプリ定義があります。複数ある場合があります。例として「postfix」パッケージを参照してください。ここで、アプリ名はpostfixの構成方法によって異なります。
user207998

複数のTCPポートの場合、前者と後者のどちらですか?xx/tcp,xy/tcp,xz/tcpまたはxx/tcp|xy/tcp|xz/tcp
errolflynn

10

実際には、「アプリケーション統合」セクションの下のマンページにあります。

基本的な構文は次のとおりです。

ufw allow <app_name>

または、拡張構文を使用してより具体的にすることもできます。

ufw allow from <some_address> to any app <app_name>

マンページには、特にポート番号を指定しないように記載されています。

どちらの構文でもプロトコルを指定しないでください。拡張構文では、port句の代わりにappを使用してください。

これはおそらく、<app_name>必要なポートを使用できることを意味します。

その他の便利なコマンド:

ufw app info <app_name>

<app_name>のプロフィールの情報を一覧表示します。

ufw app update <app_name>  

<app_name>のプロフィールを更新します。allすべてのアプリケーションプロファイルを更新するために使用できます。

以下を使用できます。

ufw app update --add-new <app_name>  

<app_name>設定したルールに従って、新しいプロファイルを追加して更新するコマンドufw app default <policy>

アプリプロファイルはに保存される/etc/ufw/applications.d場合があり/etc/servicesます。

詳細については、を参照してくださいman ufw


はい、必要に応じてアプリ定義ファイル自体でプロトコルが指定されているため、「ufw allow」構文ではポートを指定しません。
user207998
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.