grundsätzlich habe ich zwei Maschinen, X und Y.
Ich möchte „http:// <IP-von-Y-Hier> /AFolder/“ von Maschine X auf HTTP-Port 80 mithilfe von ufw blockieren.
Dies kann trivialerweise (furchtbar) mit ufw wie folgt abgeschlossen werden:
sudo ufw deny out 80
Aber ist es möglich, etwas in der Art von:
ufw deny from (X IP ADDRESS) port 80 to (Y IP ADDRESS)/AFolder
Das wird meinen Anforderungen genügen?
Antwort1
Nein, Sie können ufw nicht verwenden, um den Zugriff auf einige bestimmte Seiten auf einem Webserver zu blockieren, auf andere jedoch nicht.
ufw ist ein Frontend füriptablesdas steuert dieNetzfilterFirewall, die in den Linux-Kernel integriert ist. Dies ist eine normale Firewall. Sie können damit Pakete anhand ihrer Header filtern.
Eine IP-Adresse und ein Port sind in den Headern eines Pakets enthalten, aberwelches Webdokumentabgerufen wird, nicht. Stattdessen werden diese Informationen im Hauptteil von Paketen übertragen, nachdem bereits eine Verbindung hergestellt wurde.
Wie Sie wahrscheinlich wissen, ist es möglich, den Zugriff auf bestimmte Websites zu blockieren (obwohl es normalerweise ziemlich einfach ist, die Blockierung zu umgehen), und es gibt Dienstprogramme, die die Granularität bieten, bestimmte Seiten zu blockieren und gleichzeitig den Zugriff auf andere Seiten auf demselben Server zuzulassen. Aber um auf Ihre Frage einzugehen: ufw wird dies nicht tun.
Antwort2
Sie können den Zugriff auf einen Port auf einem Server mit blockieren ufw. man ufwEs gibt eine ganze Reihe von Beispielen, aber vorausgesetzt, es ist aktiviert, sollte es so aussehen:
sudo ufw deny out to <<ip address>> port 80
Ich habe dies gerade auf meinem eigenen Server getestet und es funktioniert. Denken Sie daran, dass Port 443 für SSL verwendet wird, daher sollte dieser möglicherweise ebenfalls blockiert werden.
Denken Sie daran, dass dadurch der gesamte Port 80 auf diesem Server blockiert wird.
Wenn Sie mit dem Filtern auf der Grundlage von Unterordnern beginnen möchten (wobei einige Pfade zugelassen werden, andere jedoch nicht), benötigen Sie etwas, das die Anfragen weiterleitet. Eine Firewall betrachtet nicht den Inhalt, sondern die Verbindungen. Für eine Firewall ist eine Anfrage für /subfolder dasselbe wie eine Anfrage für /a-different-subfolder.
Sie suchen also nach einem transparenten Proxy, den Sie so manipulieren können, dass er einen Teil Ihres Datenverkehrs blockiert. Für eine schnelle Einrichtung ist eine Kindersicherungssoftware wahrscheinlich die beste Lösung. So etwas wie dansguardianwar früher sicherlich beliebt und ich würde sagen, es lohnt sich, es näher zu untersuchen. Weitere Informationen finden Sie im Wiki: