Ubuntu ufw: Legen Sie eine Regel pro Schnittstelle fest

30

Ich möchte eine Regel erstellen, die es jedem Benutzer von eth1 ermöglicht, auf Port 80 zuzugreifen. Kann UFW dies tun oder sollte ich wieder Shorewall verwenden?

Zur Verdeutlichung: Dies ist eine Frage der Fähigkeiten. Kann ufw Schnittstellen als Ziel behandeln?

Antonius Bloch
quelle
Ich suche speziell die Schnittstelle, nicht die IP oder das Netzwerk anzugeben.
Antonius Bloch
Dies ist ein Management-Workstation / Cobbler / Puppet-Server. Es verfügt über 4 Schnittstellen, die es mit 4 verschiedenen Netzwerken, 2 öffentlichen Netzwerken und einem mandantenfähigen Netzwerk sowie einem privaten Verwaltungsnetzwerk verbinden. Ich möchte sicherstellen, dass die TFTP-, DHCP-Server und andere Bereitstellungsdienste nur im Verwaltungsnetzwerk und nicht in den anderen Netzwerken verfügbar sind.
Antonius Bloch

Antworten:

51

Ich habe endlich die Manpage gelesen:

By default, ufw will apply rules to all available interfaces. To
limit  this,  specify DIRECTION on INTERFACE, where DIRECTION is
one of in or out (interface aliases  are  not  supported).   For
example,  to  allow  all  new incoming http connections on eth0,
use:

ufw allow in on eth0 to any port 80 proto tcp

Um es ein wenig zu erläutern: Ja, ufw kann die Schnittstelle als Ziel verwenden. Meine besondere Regel sah so aus:

ufw allow in on eth1 to [eth1 ip addr] port 80 proto tcp
Antonius Bloch
quelle
3

Ja, wenn eth1 nur eine normale Schnittstelle mit einer eigenen IP-Adresse ist (und auf diese IP-Adresse möchten Sie den Zugriff gewähren):

ufw allow from any to [eth1 ip addr] port 80

Aber wenn es etwas komplizierteres gibt, brauchen wir mehr Informationen darüber, wie dieses System eingerichtet ist.

Shane Madden
quelle
Siehe meine Kommentare oben, da es möglich ist, dass die Mieter Netzwerkeinstellungen ändern und auf diese IP-Adresse zugreifen können, funktioniert dies möglicherweise nicht richtig.
Antonius Bloch
Wenn sie Netzwerkeinstellungen ändern können, verfügen sie über Root und können auch Firewall-Regeln ändern, unabhängig davon, welche Software-Firewall verwendet wird.
Shane Madden