Ubuntu ufw: définir une règle par interface

30

Je veux créer une règle qui autorise n'importe qui sur eth1 à accéder au port 80. UFW peut-il le faire ou dois-je recommencer à utiliser Shorewall?

Pour clarifier: c'est une question de capacité, ufw peut-il gérer les interfaces comme cible?

Antonius Bloch
la source
Je cherche spécifiquement à spécifier l'interface, pas l'ip ou le réseau.
Antonius Bloch
Il s'agit d'un serveur de poste de travail de gestion / cordonnier / marionnette. Il dispose de 4 interfaces le connectant à 4 réseaux différents, 2 réseaux publics & 1 réseau multi-locataire & 1 réseau de gestion privé. Je veux m'assurer que les serveurs tftp, dhcp et autres services de provisioning ne sont disponibles que sur le réseau de gestion et non sur les autres réseaux.
Antonius Bloch

Réponses:

51

J'ai finalement lu la page de manuel:

By default, ufw will apply rules to all available interfaces. To
limit  this,  specify DIRECTION on INTERFACE, where DIRECTION is
one of in or out (interface aliases  are  not  supported).   For
example,  to  allow  all  new incoming http connections on eth0,
use:

ufw allow in on eth0 to any port 80 proto tcp

Pour élaborer un peu, la réponse est oui, ufw peut utiliser l'interface comme cible. Ma règle particulière ressemblait à ceci:

ufw allow in on eth1 to [eth1 ip addr] port 80 proto tcp
Antonius Bloch
la source
3

Oui, si eth1 est juste une interface normale avec sa propre adresse IP (et cette adresse IP est celle à laquelle vous essayez d'accorder l'accès):

ufw allow from any to [eth1 ip addr] port 80

Mais s'il y a quelque chose de plus compliqué que cela, alors nous avons besoin de plus d'informations sur la configuration de ce système.

Shane Madden
la source
Voir mes commentaires ci-dessus, car il est possible que les locataires puissent modifier les paramètres réseau et accéder à cette adresse IP, cela pourrait ne pas fonctionner correctement.
Antonius Bloch
S'ils peuvent modifier les paramètres réseau, ils ont root et peuvent également modifier les règles de pare-feu, quel que soit le pare-feu logiciel utilisé.
Shane Madden