我尝试创建以下 ufw 规则:
ufw default deny
ufw allow 51820/udp comment 'wireguard port'
ufw allow 22/tcp comment 'ssh'
ufw enable
但不知何故我也得到了很多不同的规则:
To Action From
-- ------ ----
[---]
Anywhere on vxlan.calico ALLOW Anywhere
Anywhere on cali+ ALLOW Anywhere
Anywhere ALLOW OUT Anywhere on vxlan.calico
Anywhere ALLOW OUT Anywhere on cali+
Anywhere (v6) ALLOW OUT Anywhere (v6) on vxlan.calico
Anywhere (v6) ALLOW OUT Anywhere (v6) on cali+
背景信息:我安装了 microk8s(一个迷你 kubernetes),它将 calico 安装为网络。我真的想保护我的服务器并避免向我的 kubernetes 开放端口,以便只能通过 wireguard vpn 访问它。
有人可以帮助我避免这个自动创建的 ufw 规则吗?
谢谢 ;)
答案1
有些软件包会检查已安装的防火墙,即使未启用防火墙也会更新特定的配置。
UFW 本身并不是防火墙,它是一个防火墙管理系统(firewalld和其他一些系统一样)。它将配置/etc/ufw分为两部分。第一部分是应用程序,其中包含应用程序在被允许的情况下需要从防火墙获取的信息。第二部分是带有实际配置的脚本(如果启用了防火墙)。
我不了解该microk8s软件包的详细信息,但我认为它会找到ufw已安装的软件包,并在 中的一个规则文件中写入所需的配置,/etc/ufw以确保在启用防火墙时激活该配置。检查规则文件中的单词vxlan.calico和,您将找到配置 iptables 防火墙的cali+基本命令。或者检查中的软件包安装脚本,看看它对 做了什么。iptablesmicrok8s/var/lib/dpkg/infoufw
当我编写一个需要一些防火墙配置的包时,我所做的也是一样。