Sobald die ufw aktiviert wird, gelten bestimmte Grundregeln.
▪ Alles, was nicht erlaubt wird, ist gesperrt.
  Das Aktivieren der Firewall ohne die Definition von Regeln führt bereits dazu, dass alle eingehenden Verbindungen verboten sind!
▪ ufw verwendet ein dreistufiges Regelwerk, welches in mehreren Konfigurationsdateien hinterlegt ist.
 o /etc/ufw/before.rules
 o /var/lib/ufw/user.rules oder /lib/ufw/user.rules hier werden die in der Kommandozeile definierten Regeln abgelegt
 o /etc/ufw/after.rules
▪ Regeln in user.rules ggf. überschreiben die Regeln in before.rules und Regeln in after.rules die von user.rules

Wenn man auf einen Rechner nur per SSH zugreifen kann, besteht die Möglichkeit, dass man sich selber aussperrt. Deshalb sollte man in diesem Fall unbedingt zuerst die Regeln anpassen und die gewünschten Verbindungen explizit erlauben und erst danach die Firewall aktivieren.

Konkret sollten Sie dem Hinweis in der ufw Konfigurationsdatei folgen.



Regeln können schon vor dem Start der ufw festgelegt werden. Dadurch ist es Ihnen möglich, den weiteren Zugang zum Rechner zu garantieren.
Ihre Befehle, die weitere Regeln festlegen, werden in user.rules gesoeichert.
Dabei ist zu unterscheiden, wo die neue Regel eingefügt wird.
Die Syntax ufw allow 22/tcp setzt die Regel als neue Regel an das Ende des Rulesets.
Gäbe es zuvor eine Regel, die den Gebrauch des Ports 22 einschränkt, wäre die allow Regel wirkungslos.
Um sicher zu gehen, dass Ihre Regel wirksam ist, sollten Sie mit ufw insert 1 allow 22/tcp die Regel an den Anfang der Datei stellen.
Allerdings werden folgende insert-Kommandos die Regel von der führenden Position verdrängen.
Einen direkten „Verschiebe-Befehl“ bietet ufw nicht. Sie müssen die Regel durch Löschen und Einfügen an eine neue Position bringen.
Der Befehl sudo ufw delete n löscht die Regel an der Position n.
Beachten Sie dabei, dass sich dann alle folgenden Positionen von Regeln verändern.
Das Löschen eines Bereiches von Regeln sollte daher von der höchsten zur niedrigsten Nummer erfolgen.

Last modified: Saturday, 6 April 2024, 10:38 AM