%20Erlaube%20eingehende%20und%20ausgehende%20Verbindungen%20zu%20bestimmten%20IPs%2C%20verweigere%20alles%20andere.png)
Ich versuche, eine UFW-Firewall wie folgt einzurichten:
- Erlauben Sie alle eingehenden und ausgehenden Verbindungen zu IP 1.1.1.1 (alle Ports).
- Alle anderen Verbindungen (eingehend und ausgehend) ablehnen;
Für das erste Element scheint der folgende Befehl einwandfrei zu funktionieren:
sudo ufw allow from 1.1.1.1
Der Status von UFW zeigt danach:
To Action From
-- ------ ----
Anywhere ALLOW IN 1.1.1.1
Benötige ich dafür einen Portbereich? Oder sowohl UDP- als auch TCP-Protokolle angeben?
-
Nun zum zweiten Punkt. Ist es bei UFW möglich, einfach zu sagen: „Alles andere ablehnen“?
Oder kann ich eine Art Platzhalter verwenden? Wie „deny from [^1.1.1.1]“. (ich habe es versucht)
Antwort1
Bei Verwendung von UFW gibt es eine implizite „Verweigerung von allem“ (eingehend), sodass Sie hierfür keine Regel hinzufügen müssen. (Und auch eine implizite „Erlaubung von allem ausgehenden“.)
Wenn Sie beim Hinzufügen der UFW-Regel kein Protokoll angeben, gilt diese für TCP und UDP. Wenn Sie keinen Port angeben, gilt dies „alle Ports“.
Dieses Mittel ufw allow from 1.1.1.1ist eine Abkürzung für „von 1.1.1.1 zu jeder Schnittstelle, jedem Port, jedem Protokoll zulassen“.
Sie können den resultierenden Regelsatz überprüfen mitiptables -L