Ubuntu ufw: встановлення правила на основі кожного інтерфейсу

30

Я хочу створити правило, яке дозволяє кожному, хто працює на eth1, отримувати доступ до порту 80. Чи може це зробити UFW чи я повинен повернутися до використання Shorewall?

Для уточнення: це питання щодо можливостей, чи можна обробляти інтерфейси як ціль?

— Антоній Блох
джерело

Я спеціально прагну вказати інтерфейс, а не ip чи мережу.

— Антоній Блох

Це робоча станція управління / шпилька / ляльковий сервер. У нього є 4 інтерфейси, що з'єднують його з 4 різними мережами, 2 загальнодоступними мережами та 1 мережа з багатьма орендарями та 1 приватна мережа управління. Я хочу переконатися, що сервери tftp, dhcp та інші сервіси надання послуг доступні лише в мережі управління, а не в інших мережах.

— Антоній Блох

51

Я нарешті прочитав сторінку чоловіка:

By default, ufw will apply rules to all available interfaces. To
limit  this,  specify DIRECTION on INTERFACE, where DIRECTION is
one of in or out (interface aliases  are  not  supported).   For
example,  to  allow  all  new incoming http connections on eth0,
use:

ufw allow in on eth0 to any port 80 proto tcp

Щоб трохи детальніше відповісти, так, ufw може використовувати інтерфейс як ціль. Моє особливе правило виглядало так:

ufw allow in on eth1 to [eth1 ip addr] port 80 proto tcp

— Антоній Блох
джерело

3

Так, якщо eth1 - це просто звичайний інтерфейс із власною IP-адресою (і ця IP-адреса - це те, до чого ви намагаєтеся надати доступ):

ufw allow from any to [eth1 ip addr] port 80

Але якщо є щось складніше, ніж це, то нам потрібна додаткова інформація про налаштування цієї системи.

— Шейн Медден
джерело

Дивіться мої коментарі вище, оскільки можливо, що орендарі можуть змінити мережеві налаштування та отримати доступ до цієї ip адреси, можливо, не вийде.

— Антоній Блох

Якщо вони можуть змінити мережеві параметри, вони мають root і можуть змінювати правила брандмауера, незалежно від того, який брандмауер програмного забезпечення використовується.

— Шейн Медден