Ubuntu ufw: arabirim bazında bir kural belirleyin

30

Eth1’deki herkesin 80 numaralı bağlantı noktasına erişmesine izin veren bir kural oluşturmak istiyorum. UFW bunu yapabilir mi yoksa Shorewall’a geri dönmeli miyim?

Açıklığa kavuşturmak için: Bu bir yetenek sorusudur, ufw arayüzleri hedef olarak ele alabilir mi?

— Antonius Bloch
kaynak

IP veya ağ değil, arabirim belirtmek için özellikle arıyorum.

— Antonius Bloch

Bu bir yönetim iş istasyonu / ayakkabıcı / kukla sunucusudur. 4 farklı ağa, 2 ortak ağa ve 1 çok kiracılı ağa ve 1 özel yönetim ağına bağlanan 4 arayüze sahiptir. Tftp, dhcp sunucularının ve diğer sağlama hizmetlerinin yalnızca yönetim ağında mevcut olduğundan ve diğer ağlarda bulunmadığından emin olmak istiyorum.

— Antonius Bloch

51

Sonunda man sayfasını okudum:

By default, ufw will apply rules to all available interfaces. To
limit  this,  specify DIRECTION on INTERFACE, where DIRECTION is
one of in or out (interface aliases  are  not  supported).   For
example,  to  allow  all  new incoming http connections on eth0,
use:

ufw allow in on eth0 to any port 80 proto tcp

Biraz detaylandırmak için cevap evet, ufw arayüzü bir hedef olarak kullanabilir. Özel kuralım şöyle gözüküyordu:

ufw allow in on eth1 to [eth1 ip addr] port 80 proto tcp

— Antonius Bloch
kaynak

3

Evet, eth1 sadece kendi IP adresi ile normal bir arayüz ise (ve bu IP adresi, erişmeye çalıştığınız şeyse):

ufw allow from any to [eth1 ip addr] port 80

Fakat bundan daha karmaşık bir şey varsa, o zaman bu sistemin nasıl kurulduğu hakkında daha fazla bilgiye ihtiyacımız var.

— Shane Madden
kaynak

Yukarıdaki yorumlarıma bakın, çünkü kiracılar ağ ayarlarını değiştirebilir ve bu ip adresine erişebilirler, bu iyi sonuç vermeyebilir.

— Antonius Bloch

Ağ ayarlarını değiştirebilirlerse, o zaman kökleri vardır ve hangi yazılım güvenlik duvarının kullanıldığına bakılmaksızın güvenlik duvarı kurallarını da değiştirebilirler.

— Shane Madden