Я пытаюсь применить обходной путь iptables для следующегоCVE. Команда iptables предоставила
sudo iptables -A INPUT -p tcp -m tcpmss --mss 1:500 -j DROP
работает, но, к сожалению, мы используем ufw. Есть ли способ явно преобразовать команду iptables в работающую команду ufw или способ предоставить одноразовые правила iptable для ufw, чтобы они сохранялись при перезагрузках системы?
решение1
Ссылка в моем комментарии верна, мне удалось добавить необработанное правило iptables в /etc/ufw/after.rulesфайл следующим образом:
# CVE-2019-11479
-A INPUT -p tcp -m tcpmss --mss 1:500 -j DROP
после перезагрузки sudo ufw reloadмой iptables показывает правильное правило в своем списке
DROP tcp -- anywhere anywhere tcpmss match 1:500