UFW - Reichweite von IP-Adressen zulassen?

7

Ich kann mithilfe der UFW-Firewall eine Regel hinzufügen, die es einer einzelnen bekannten IP ermöglicht 192.168.1.32, auf meinen Test-Webserver ( 192.168.1.48(in einem lokalen, meist vertrauenswürdigen Netzwerk) unter Ubuntu 14.04 zuzugreifen.

sudo ufw allow proto tcp from 192.168.1.23 to 192.168.1.48 port 80

Gibt es eine Möglichkeit, eine Reihe von Adressaten hinzuzufügen (z. B. 192.168.1.30-192.168.1.50um mehr Computer in meinem aktuellen Netzwerk zuzulassen) ? Verwenden 192.168.1.30-192.168.1.50und 192.168.1.30-192.168.1.50nicht arbeiten und führt zu ERROR: Bad source address.

networking configuration firewall ufw Wilf
quelle
1
Für 14 Hosts (192.168.1.17 bis 192.168.1.30) 192.168.1.23/28, Für 30 Hosts 192.168.1.0/27 (192.168.1.1 - 192.168.1.30), aber nichts für 20 Hosts.
AB
Wohin gingen die vorherigen Kommentare? Der Text der Frage stimmt nicht mit dem Beispiel der ufw-Zeile überein. (?) @AB Eine Maske mit 28 Bit würde 16 Hostadressen durchlassen und eine Maske mit 27 Bit würde 32 Hostadressen durchlassen. Wäre es nicht? Haftungsausschluss: Ich benutze iptables und nicht ufw.
Doug Smythies
@Doug Wenn es mein Kommentar wäre, hätte ich ihn möglicherweise entfernt, weil ich ihn nicht bearbeiten und die falschen Informationen kopieren konnte :). Beide Antworten (die ich für gut halte :( und von denen ich bei Bedarf Screenshots geben könnte) wurden zwar gelöscht, aber hier ist ein Screenshot der Sache, von der ich denke, dass Sie auch geantwortet haben
Wilf
@AB Die Antwort, die Sie gegeben haben, hat funktioniert (der zweite Befehl hat sowieso funktioniert, der erste überhaupt nicht). Die Adressen, von denen ich getestet habe, waren diejenigen, von denen ich glaube, dass sie Zugriff haben könnten 192.168.1.10-192.168.1.50(sorry, wenn nicht klar, sie) scheinen ziemlich zufällig vergeben zu sein ...). Ich wollte von anderen Adressen aus testen, aber ich denke, Ihre Antwort könnte die Lösung sein. Übrigens, da Doug weniger als 10.000 hat, kann er Ihre Antwort nicht sehen.
Wilf
Für 192.168.1.10-192.168.1.50 würde die nächste, aber größere Regel 192.168.1.0/26 verwenden, was 192.168.1.0-192.168.1.63 sein würde
Doug Smythies

Antworten:

5

Sie müssen eine Binärzahl (2,4,8,16, 32) verwenden, damit Sie entweder einen größeren oder einen kleineren Bereich verwenden. Genau 20 Hosts sind mit einer Bitmaske in einer einzigen Regel einfach nicht möglich:

  • 16 Hosts (192.168.1.16 bis 192.168.1.31):

    sudo ufw allow proto tcp from  192.168.1.16/28 to 192.168.1.48 port 80

    Einzelheiten

    Address:   192.168.1.16          11000000.10101000.00000001.0001 0000
Rule Mask: 255.255.255.240 = 28  11111111.11111111.11111111.1111 0000
Wildcard:  0.0.0.15              00000000.00000000.00000000.0000 1111

HostMin:   192.168.1.16          11000000.10101000.00000001.0001 0000
HostMax:   192.168.1.31          11000000.10101000.00000001.0000 1111

  • 32 Hosts (192.168.1.0 - 192.168.1.31)

    sudo ufw allow proto tcp from 192.168.1.0/27 to 192.168.1.48 port 80

    Einzelheiten

    Address:   192.168.1.0           11000000.10101000.00000001.000 00000
Rule Mask: 255.255.255.224 = 27  11111111.11111111.11111111.111 00000
Wildcard:  0.0.0.31              00000000.00000000.00000000.000 11111

HostMin:   192.168.1.0           11000000.10101000.00000001.000 00000
HostMax:   192.168.1.31          11000000.10101000.00000001.000 11111

  • 64 Hosts (192.168.1.0 - 192.168.1.63)

    sudo ufw allow proto tcp from 192.168.1.0/26 to 192.168.1.48 port 80

    Einzelheiten

    Address:   192.168.1.0           11000000.10101000.00000001.00 000000
Rule Mask: 255.255.255.192 = 26  11111111.11111111.11111111.11 000000
Wildcard:  0.0.0.63              00000000.00000000.00000000.00 111111

HostMin:   192.168.1.0           11000000.10101000.00000001.00 000000
HostMax:   192.168.1.63          11000000.10101000.00000001.00 111111

Erläuterung

Ich kann keine bessere Erklärung geben als Wikipedia

AB
quelle
Hmmmm .... die zweite funktioniert ab IPs 192.168.1.23, 192.168.1.27 und 192.168.1.31, 192.168.1.0/28funktioniert aber mit keiner. Welchen Grund haben sie für die Verengung der Bereiche?
Wilf
@ Wilf Sorry, ich kann keine bessere Erklärung geben als Wikipedia : \
AB
@ Wilf Nur für 192.168.1.23, 192.168.1.27 und 192.168.1.31?
AB
Sie definieren kein Subnetz mit einer Bitmasken-Zulassungsregel für iptables oder ufw. Eine Maske von 28 erlaubt 16 Hostadressen und eine Maske von 27 erlaubt 32 Hostadressen durch. Aber ja, es hängt davon ab, was Ihre echte Subnetzmaske ist und ob Sie die Grenzen überschreiten oder nicht. Das 28-Bit-Maskenbeispiel überlappt den gewünschten Bereich überhaupt nicht, es sollte 192.168.1.16/28192.168.1.16 bis einschließlich 192.168.1.31 abdecken.
Doug Smythies