Estou tentando aplicar a solução alternativa do iptables para o seguinteCVE. O comando iptables fornecido
sudo iptables -A INPUT -p tcp -m tcpmss --mss 1:500 -j DROP
funciona, mas infelizmente estamos usando ufw, existe uma maneira de converter explicitamente o comando iptables em um comando ufw funcional ou uma maneira de fornecer uma regra off iptable para o ufw para que ele persista durante as reinicializações do sistema?
Responder1
O link no meu comentário está correto, consegui adicionar a regra iptables bruta ao /etc/ufw/after.rulesarquivo assim:
# CVE-2019-11479
-A INPUT -p tcp -m tcpmss --mss 1:500 -j DROP
seguido por um recarregamento, sudo ufw reloadmeu iptables mostra a regra correta em sua lista
DROP tcp -- anywhere anywhere tcpmss match 1:500