私のネットワークに関して、`ufw` とその暗黙の拒否ルールの範囲は何ですか?

tag-icon tag-icon networking firewall ufw
私のネットワークに関して、`ufw` とその暗黙の拒否ルールの範囲は何ですか?

UFW の暗黙的な拒否は、その IP アドレスに接続しているときのみに適用されるのでしょうか、それともネットワーク全体に適用されるのでしょうか? IP アドレスに Telnet を試みましたが、確かに拒否されましたが、ネットワーク内の別の IP に Telnet を試みたところ接続できたので、これも拒否されるべきではないでしょうか?

答え1

ufwあなたのコメントから判断すると、個々のシステム上のソフトウェア ファイアウォールとは何か、またその適用範囲はどこまでなのかを理解していないように思われます。

ufwこれは状況の内訳であり、ネットワークの詳細とルールについての洞察を提供します。

  • ufw有効になっているシステム、つまり 1 つのシステムにのみ影響します。つまり、Ubuntu システム #1 (追跡のため) はufw暗黙の拒否ルールで有効になっています。これは Ubuntu システム #1 にのみ影響し、基盤となるiptables/netfilterシステム (これはufw単に「管理しやすい」フロントエンドです) に存在するデフォルトの "ACCEPT" ルールを置き換えます。
  • Ubuntu システム #2 では が有効になっていないためufw、「拒否」ルールはありません。ufwがないため、基盤となるiptables/netfilterシステムは、インストール時に設定されるデフォルトの「受け入れ」ルールを取得します ( はufwこれらのルールを変更し、それらの「管理しやすい」フロントエンドになります)。
  • Windows XP の Windows ファイアウォール (有効になっている場合) は、Windows マシンへの接続を拒否できます。ネットワーク上の他のシステムに影響を与えることはできません。

Ubuntu システム #2 に拒否ルールを適用したい場合は、ufwそのシステムにインストールして有効にすると、暗黙の拒否ルールが存在するようになります。

しかし、必要なのはネットワーク全体のアクセス制御ルールであり、どのトラフィックが許可されるかを制御します。システム。これを実現する唯一の方法は、ファイアウォールとネットワーク制御を独自のデバイス、ネットワーク上のすべてのシステム間のトラフィックのルーティングを処理する別の Ubuntu ボックス、またはこれを実現するハードウェア ファイアウォール (Cisco ASA や pfSense アプライアンスなど) に移動することです。

次のネットワークを考えてみましょう。

私は LAN ネットワークを持っており、LAN からインターネット (または他のネットワーク) への接続を処理するルーターがあります。すべてのコンピューターは、静的アドレス指定の 192.168.252.XXX を持っています。ネットワークのそのセグメントには 5 台のコンピューターがあります。マシン間の通信をICMP PINGパケットのみに制限し、その制限をすべてのマシンに適用したいと考えています。

実装のオプションは次のとおりです。

  • 各マシンにソフトウェア ファイアウォールをインストールし、ネットワーク上の他のマシンから各コンピュータへの特定の種類のトラフィックのみを受け入れるようにソフトウェア ファイアウォールを構成します。ただし、各システムとゲートウェイ/ルーター間のすべてのトラフィックを許可します。

  • ルーターの代わりにネットワーク設定に適したハードウェアファイアウォールをインストールし、許可されたネットワーク内トラフィック(特定のLANの内部)とネットワーク間トラフィック(ネットワーク間の通信、つまりLANの外部)の明確なルール定義を提供します。次のように設定します。

    • ハードウェア ファイアウォールを構成して、インターネットへの送信を許可します (基本的に、内部のものすべて -> 内部以外のもの (192.168.252.0/24 以外) はすべて許可するというルール)。
    • LAN 自体のハードウェア ファイアウォールを、システム間トラフィック (この場合は ICMP のみ) を許可するように設定します (基本的に、プロトコルが ICMP である 192.168.252.0/24 から 192.168.252.0/24 までのすべてを規定するルール)。
    • 前述のルールに一致しないトラフィック パターンは自動的に拒否されます。

  • ルーターを、ネットワークとワイヤレスに十分な接続を提供できる十分なイーサネット ポートを備えた Ubuntu ボックスに置き換え、DHCP、NAT などを実行するように構成し、ネットワークの内外のトラフィックを処理するように Ubuntu ボックスのファイアウォール ルールを構成します (前と同様)。

ただし、この回答の根拠となる別の観点をお伝えすると、自宅のネットワークには多数の LAN セグメント (VLAN、または仮想 LAN) があります。私はハードウェア ファイアウォール (pfSense アプライアンス、約 500 ドル) を使用して、ネットワーク上の VLAN (DHCP、インターネットへの NAT など) と、アクセスを制限するセグメント間の相互通信ルールを処理しています。私がアクティブに使用するマシンは 1 つの VLAN 上に存在し、アクセスが制限されているマシンは別の VLAN とネットワーク範囲に存在します。これらのマシンへの通信は、セグメント間で通過できるトラフィックを規定する両側のルールによって制限されます。基本的に、これは上記の 2 番目のオプションをはるかに高度な方法で実装したものです。

関連情報