Ubuntu ufw: imposta una regola in base all'interfaccia


30

Voglio creare una regola che consenta a chiunque su eth1 di accedere alla porta 80. UFW può farlo o dovrei tornare a utilizzare Shorewall?

Per chiarire: questa è una domanda relativa alle capacità, è possibile gestire le interfacce come target?


Sto specificatamente cercando di specificare l'interfaccia, non l'ip o la rete.
Antonius Bloch,

Questa è una workstation di gestione / calzolaio / server fantoccio. Dispone di 4 interfacce che lo collegano a 4 reti diverse, 2 reti pubbliche e 1 rete multi-tenant e 1 rete di gestione privata. Voglio assicurarmi che i server tftp, dhcp e altri servizi di provisioning siano disponibili solo sulla rete di gestione e non sulle altre reti.
Antonius Bloch,

Risposte:


51

Finalmente ho letto la pagina man:

By default, ufw will apply rules to all available interfaces. To
limit  this,  specify DIRECTION on INTERFACE, where DIRECTION is
one of in or out (interface aliases  are  not  supported).   For
example,  to  allow  all  new incoming http connections on eth0,
use:

ufw allow in on eth0 to any port 80 proto tcp

Per elaborare un po 'la risposta è sì, uww può usare l'interfaccia come target. La mia regola particolare sembrava così:

ufw allow in on eth1 to [eth1 ip addr] port 80 proto tcp

3

Sì, se eth1 è solo una normale interfaccia con un proprio indirizzo IP (e quell'indirizzo IP è ciò a cui stai tentando di concedere l'accesso):

ufw allow from any to [eth1 ip addr] port 80

Ma se c'è qualcosa di più complicato di così, allora abbiamo bisogno di maggiori informazioni su come è impostato questo sistema.


Vedi i miei commenti sopra, poiché è possibile che gli inquilini possano modificare le impostazioni di rete e accedere a quell'indirizzo IP che potrebbe non funzionare bene.
Antonius Bloch,

Se possono modificare le impostazioni di rete, hanno root e possono cambiare anche le regole del firewall, indipendentemente dal firewall software utilizzato.
Shane Madden
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.