Frage Ubuntu ufw: Legen Sie eine Regel pro Schnittstelle fest


Ich möchte eine Regel erstellen, die es jedem auf eth1 erlaubt, auf Port 80 zuzugreifen. Kann UFW dies tun, oder sollte ich wieder Shorewall benutzen?

Zur Klärung: Dies ist eine Frage der Fähigkeiten, kann Ufw Schnittstellen als Ziel behandeln?


22
2018-05-17 21:20


Ursprung


Ich suche speziell die Schnittstelle, nicht die IP oder das Netzwerk. - Antonius Bloch
Dies ist ein Management-Workstation / Cobbler / Puppet-Server. Es hat 4 Schnittstellen, die es mit 4 verschiedenen Netzwerken, 2 öffentlichen Netzwerken und 1 Multi-Tenant-Netzwerk und 1 privates Management-Netzwerk verbinden. Ich möchte sicherstellen, dass die TFTP-, dhcp-Server und andere Bereitstellungsdienste nur im Verwaltungsnetzwerk und nicht in den anderen Netzwerken verfügbar sind. - Antonius Bloch


Antworten:


Ich lese endlich die Manpage:

By default, ufw will apply rules to all available interfaces. To
limit  this,  specify DIRECTION on INTERFACE, where DIRECTION is
one of in or out (interface aliases  are  not  supported).   For
example,  to  allow  all  new incoming http connections on eth0,
use:

ufw allow in on eth0 to any port 80 proto tcp

Um ein wenig auszuarbeiten, ist die Antwort ja, ufw kann die Schnittstelle als Ziel verwenden. Meine besondere Regel sah so aus:

ufw allow in on eth1 to [eth1 ip addr] port 80 proto tcp

41
2018-05-18 00:44



Ich komme die ganze Zeit auf diese Antwort zurück. Vielen Dank! - iurisilvio
Lebensretter. Vielen Dank! - Adam K Dean


Ja, wenn eth1 nur eine normale Schnittstelle mit einer eigenen IP-Adresse ist (und die IP-Adresse, auf die Sie zugreifen möchten):

ufw allow from any to [eth1 ip addr] port 80

Aber wenn es etwas komplizierteres gibt, dann brauchen wir mehr Informationen darüber, wie dieses System aufgebaut ist.


3
2018-05-17 21:34



Siehe meine obigen Kommentare, da es möglich ist, dass die Mandanten die Netzwerkeinstellungen ändern und auf diese IP-Adresse zugreifen können, funktioniert das möglicherweise nicht gut. - Antonius Bloch
Wenn sie die Netzwerkeinstellungen ändern können, haben sie root und können auch Firewall-Regeln ändern, unabhängig davon, welche Software-Firewall verwendet wird. - Shane Madden♦