LoginSignup
7
6

More than 5 years have passed since last update.

@JhonnyBravo

rules.before 覚書

Posted at

/etc/ufw/before.rules のコメント行の和訳。

before.rules には ufw コマンド行がルールへ追加される前に実行するべきルールを記述する。
設定するルールは下記のチェーンの一つとして登録する:

  • ufw-before-input
  • ufw-before-output
  • ufw-before-forward

下記の行を削除してはならない。これを削除した場合、エラーが発生する。

*filter
:ufw-before-input - [0:0]
:ufw-before-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-not-local - [0:0]

必須の行はここまで。

loopback における送受信を許可する。

-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT

既に存在する接続のパケットを処理する。

-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

不正なパケットを破棄する。(loglevel が medium 以上である場合に記録を残す)

-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP

受信における icmp コードを受入れる。

-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT

転送における icmp コードを受入れる。

-A ufw-before-forward -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type source-quench -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type echo-request -j ACCEPT

dhcp クライアントの動作を許可する。

-A ufw-before-input -p udp --sport 67 --dport 68 -j ACCEPT

ufw-not-local

-A ufw-before-input -j ufw-not-local

if LOCAL, RETURN

-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN

if MULTICAST, RETURN

-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN

if BROADCAST, RETURN

-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN

上記以外の non-local パケットは破棄する。

-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP

MULTICAST mDNS のサービス探査を許可する。
(必ず前述の MULTICAST 行のコメントを外しておくこと)

-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

MULTICAST UPnP のサービス探査を許可する。
(必ず前述の MULTICAST 行のコメントを外しておくこと)

-A ufw-before-input -p udp -d 239.255.255.250 --dport 1900 -j ACCEPT

COMMIT 行を削除してはならない。削除した場合、ルールは適用されない。

COMMIT
7
6
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
7
6