Ubuntu ufw: đặt quy tắc trên cơ sở mỗi giao diện

30

Tôi muốn tạo một quy tắc cho phép mọi người trên eth1 truy cập cổng 80. UFW có thể làm điều này hay tôi nên quay lại sử dụng Shorewall?

Để làm rõ: đây là một câu hỏi capabilties, ufw có thể xử lý các giao diện như là một mục tiêu?

— Antonius Bloch
nguồn

Tôi đặc biệt đang tìm cách chỉ định giao diện, không phải ip hoặc mạng.

— Antonius Bloch

Đây là một máy trạm quản lý / máy chủ cobbler / con rối. Nó có 4 giao diện kết nối nó với 4 mạng khác nhau, 2 mạng công cộng và 1 mạng nhiều bên thuê và 1 mạng quản lý riêng. Tôi muốn đảm bảo rằng các máy chủ tftp, dhcp và các dịch vụ cung cấp khác chỉ có sẵn trên mạng quản lý chứ không phải trên các mạng khác.

— Antonius Bloch

51

Cuối cùng tôi đã đọc trang người đàn ông:

By default, ufw will apply rules to all available interfaces. To
limit  this,  specify DIRECTION on INTERFACE, where DIRECTION is
one of in or out (interface aliases  are  not  supported).   For
example,  to  allow  all  new incoming http connections on eth0,
use:

ufw allow in on eth0 to any port 80 proto tcp

Để giải thích một chút câu trả lời là có, ufw có thể sử dụng giao diện làm mục tiêu. Quy tắc cụ thể của tôi trông như thế này:

ufw allow in on eth1 to [eth1 ip addr] port 80 proto tcp

— Antonius Bloch
nguồn

3

Có, nếu eth1 chỉ là một giao diện bình thường có địa chỉ IP của chính nó (và địa chỉ IP đó là thứ bạn đang cố gắng cấp quyền truy cập):

ufw allow from any to [eth1 ip addr] port 80

Nhưng nếu có gì phức tạp hơn thế, thì chúng ta cần thêm thông tin về cách hệ thống này được thiết lập.

— Shane Madden
nguồn

Xem ý kiến của tôi ở trên, vì có thể người thuê có thể thay đổi cài đặt mạng và truy cập địa chỉ IP này, điều này có thể không hoạt động tốt.

— Antonius Bloch

Nếu họ có thể thay đổi cài đặt mạng thì họ cũng có quyền root và cũng có thể thay đổi quy tắc tường lửa, bất kể tường lửa phần mềm nào được sử dụng.

— Shane Madden