Ubuntu ufw: tetapkan aturan pada basis per antarmuka

30

Saya ingin membuat aturan yang memungkinkan siapa pun di eth1 mengakses port 80. Bisakah UFW melakukan ini atau haruskah saya kembali menggunakan Shorewall?

Untuk memperjelas: ini adalah pertanyaan kapabilitas, bisakah ufw menangani antarmuka sebagai target?

Antonius Bloch
sumber
Saya secara khusus ingin menentukan antarmuka, bukan ip atau jaringan.
Antonius Bloch
Ini adalah workstation manajemen / tukang sepatu / server boneka. Ada 4 antarmuka yang menghubungkannya ke 4 jaringan berbeda, 2 jaringan publik & 1 jaringan multi-tenant & 1 jaringan manajemen pribadi. Saya ingin memastikan bahwa server tftp, dhcp dan layanan penyediaan lainnya hanya tersedia di jaringan manajemen dan bukan di jaringan lain.
Antonius Bloch

Jawaban:

51

Saya akhirnya membaca halaman manual:

By default, ufw will apply rules to all available interfaces. To
limit  this,  specify DIRECTION on INTERFACE, where DIRECTION is
one of in or out (interface aliases  are  not  supported).   For
example,  to  allow  all  new incoming http connections on eth0,
use:

ufw allow in on eth0 to any port 80 proto tcp

Untuk menguraikan sedikit jawabannya adalah ya, ufw dapat menggunakan antarmuka sebagai target. Aturan khusus saya terlihat seperti ini:

ufw allow in on eth1 to [eth1 ip addr] port 80 proto tcp
Antonius Bloch
sumber
3

Ya, jika eth1 hanyalah antarmuka normal dengan alamat IP-nya sendiri (dan alamat IP itulah yang Anda coba berikan akses):

ufw allow from any to [eth1 ip addr] port 80

Tetapi jika ada yang lebih rumit dari itu, maka kita perlu lebih banyak info tentang bagaimana sistem ini diatur.

Shane Madden
sumber
Lihat komentar saya di atas, karena mungkin penyewa dapat mengubah pengaturan jaringan dan mengakses alamat ip ini mungkin tidak berfungsi dengan baik.
Antonius Bloch
Jika mereka dapat mengubah pengaturan jaringan maka mereka memiliki root dan dapat mengubah aturan firewall juga, terlepas dari perangkat lunak yang digunakan firewall.
Shane Madden