やっぱりufw

Arch Linuxでは、iptablesで直接設定していたが、いつまでこの方式が通用するかわからない。それに、Ubuntuではufwを使っているので、そろえたほうがわかりやすい。

# pacman -S ufw
# systemctl stop iptables
# systemctl disable iptables
# systemctl start ufw
# systemctl enable ufw
# ufw allow 22/tcp
# ufw enable
# ufw status verbose

/etc/iptables/iptables.rulesの設定を移していくが、strongswanのVPN設定は、/etc/ufw/before.rulesに追記する。

#*filterセクションに追記
-A ufw-before-forward –match policy –pol ipsec –dir in –proto esp -j ACCEPT
-A ufw-before-forward –match policy –pol ipsec –dir out –proto esp -j ACCEPT
#*natを新設
*nat
-F
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT

# ufw reload
# iptables -L POSTROUTING -t nat
# iptables -L ufw-before-forward

手間は同じような気がするが、可読性が高いと信じよう。
POSTROUTINGのデフォルトポリシーはACCEPTなので、ACCEPTのターゲットは不要。

applications.dに設定ファイルを置くとstatusがわかりやすく表示される。
# ufw app list
# ufw allow OpenSSH

app default ポリシーを変更しても、allでupdateできないのであまり意味がない。でも個別にアップデートできるは少し良いかも。

ipv6を使わないときはオフにすると表示がすっきりする。
# vi /etc/default/ufw
ipv6=no

ルールの確認はiptables -L -vよりiptables -Sの方がわかりやすい。
コマンドラインで設定すると/etc/ufw/user.rulesに保存される。

コメント