¿Cuál es el alcance de "ufw" y su regla de denegación implícita con respecto a mi red?

Question

Según sus comentarios, creo que no ha comprendido qué ufwes ni cuál es el alcance de la cobertura de los firewalls de software en sistemas individuales.

Este es un desglose de la situación y proporciona información sobre los detalles ufwy las reglas de una red:

ufwsolo afectará a un sistema: el sistema en el que está habilitado. Es decir, el Sistema Ubuntu #1 (para realizar un seguimiento) se ha ufwhabilitado con una regla de denegación implícita. Eso solo afecta al Sistema Ubuntu #1 y reemplaza la regla predeterminada "ACEPTAR" que existe en el sistema iptables/ subyacente netfilter(del cual ufwes solo una interfaz "fácil de administrar").
Dado que Ubuntu System #2 no está ufwhabilitado, no existe una regla de "denegar". Como ufwno está allí, el sistema iptables/ subyacente netfilterobtiene la regla "ACEPTAR" predeterminada que se implementa durante la instalación ( ufwcambia esas reglas y es solo una interfaz 'fácil de administrar' para ellas).
El Firewall de Windows en Windows XP (si está habilitado) podrá denegar conexiones a la máquina con Windows. No puede afectar a otros sistemas de la red.

Si desea que el Sistema Ubuntu #2 tenga la regla de denegación, instálelo ufwen ese sistema, habilítelo y luego existirá la regla de denegación implícita.

Sin embargo, lo que desea es una regla de control de acceso para toda la red, que controle qué tráfico está permitido.entresistemas. La única forma de lograr esto es mover el firewall y los controles de red a su propio dispositivo, una caja Ubuntu separada que maneje el enrutamiento del tráfico entre todos los sistemas en su red, o un firewall de hardware para lograr esto (como un Cisco ASA o un aparato pfSense).

Considere la siguiente red:

Tengo una red LAN y hay un enrutador que maneja las conexiones de LAN a Internet (u otras redes). Cada computadora tiene 192.168.252.XXX, con direccionamiento estático. Hay cinco computadoras en ese segmento de la red. Quiero restringir la comunicación entre las máquinas para que sea ICMP PINGsolo de paquetes y aplicar esa restricción a todas las máquinas.

Mis opciones de implementación son las siguientes:

Instale firewalls de software en cada máquina y configúrelos para aceptar solo ciertos tipos de tráfico de las otras máquinas en la red a cada computadora. Sin embargo, permita todo el tráfico entre cada sistema y la puerta de enlace/enrutador.
Instale un firewall de hardware que se adapte a la configuración de su red para reemplazar el enrutador y proporcione una definición de reglas explícita para el tráfico intra-red permitido (interno a la LAN específica) y el tráfico entre redes (comunicación entre redes, es decir, fuera de su LAN). Configurar de la siguiente manera
- Configure el firewall de hardware para permitir la salida a Internet (una regla que básicamente dice Todo lo interno -> Todo lo que no sea interno (NO 192.168.252.0/24) está PERMITIDO).
- Configure el firewall de hardware para la propia LAN para el tráfico PERMITIDO entre sistemas, en este caso solo ICMP (una regla que básicamente dice cualquier cosa desde 192.168.252.0/24 hasta 192.168.252.0/24 donde el protocolo es ICMP).
- Cualquier patrón de tráfico que no coincida con las reglas antes mencionadas se rechaza automáticamente.
Reemplace el enrutador con una caja Ubuntu con suficientes puertos Ethernet para proporcionar suficientes conexiones para su red e inalámbrica si lo necesita, configúrelo para hacer DHCP, NAT, etc., y configure las reglas de firewall en la caja Ubuntu para manejar el tráfico interno. y fuera de la red (similar al anterior).

Sin embargo, para brindarle otro punto de vista que impulsa esta respuesta, la red de mi hogar tiene muchos segmentos de LAN (como VLAN o LAN virtuales). Utilizo un firewall de hardware (un dispositivo pfSense, $500) para manejar las VLAN en mi red (DHCP, NAT de salida a Internet, etc.), así como reglas de intercomunicación entre los segmentos, que restringen el acceso. Las máquinas que uso activamente existen en una VLAN, mientras que las máquinas de acceso restringido existen en una VLAN y un rango de red separados. La comunicación con ellos está restringida por una regla en ambos lados que dicta qué tráfico puede pasar entre los segmentos. Básicamente, esta es la segunda opción anterior, implementada de una manera mucho más avanzada.

Answer 1

Según sus comentarios, creo que no ha comprendido qué ufwes ni cuál es el alcance de la cobertura de los firewalls de software en sistemas individuales.

Este es un desglose de la situación y proporciona información sobre los detalles ufwy las reglas de una red:

ufwsolo afectará a un sistema: el sistema en el que está habilitado. Es decir, el Sistema Ubuntu #1 (para realizar un seguimiento) se ha ufwhabilitado con una regla de denegación implícita. Eso solo afecta al Sistema Ubuntu #1 y reemplaza la regla predeterminada "ACEPTAR" que existe en el sistema iptables/ subyacente netfilter(del cual ufwes solo una interfaz "fácil de administrar").
Dado que Ubuntu System #2 no está ufwhabilitado, no existe una regla de "denegar". Como ufwno está allí, el sistema iptables/ subyacente netfilterobtiene la regla "ACEPTAR" predeterminada que se implementa durante la instalación ( ufwcambia esas reglas y es solo una interfaz 'fácil de administrar' para ellas).
El Firewall de Windows en Windows XP (si está habilitado) podrá denegar conexiones a la máquina con Windows. No puede afectar a otros sistemas de la red.

Si desea que el Sistema Ubuntu #2 tenga la regla de denegación, instálelo ufwen ese sistema, habilítelo y luego existirá la regla de denegación implícita.

Sin embargo, lo que desea es una regla de control de acceso para toda la red, que controle qué tráfico está permitido.entresistemas. La única forma de lograr esto es mover el firewall y los controles de red a su propio dispositivo, una caja Ubuntu separada que maneje el enrutamiento del tráfico entre todos los sistemas en su red, o un firewall de hardware para lograr esto (como un Cisco ASA o un aparato pfSense).

Considere la siguiente red:

Tengo una red LAN y hay un enrutador que maneja las conexiones de LAN a Internet (u otras redes). Cada computadora tiene 192.168.252.XXX, con direccionamiento estático. Hay cinco computadoras en ese segmento de la red. Quiero restringir la comunicación entre las máquinas para que sea ICMP PINGsolo de paquetes y aplicar esa restricción a todas las máquinas.

Mis opciones de implementación son las siguientes:

Instale firewalls de software en cada máquina y configúrelos para aceptar solo ciertos tipos de tráfico de las otras máquinas en la red a cada computadora. Sin embargo, permita todo el tráfico entre cada sistema y la puerta de enlace/enrutador.
Instale un firewall de hardware que se adapte a la configuración de su red para reemplazar el enrutador y proporcione una definición de reglas explícita para el tráfico intra-red permitido (interno a la LAN específica) y el tráfico entre redes (comunicación entre redes, es decir, fuera de su LAN). Configurar de la siguiente manera
- Configure el firewall de hardware para permitir la salida a Internet (una regla que básicamente dice Todo lo interno -> Todo lo que no sea interno (NO 192.168.252.0/24) está PERMITIDO).
- Configure el firewall de hardware para la propia LAN para el tráfico PERMITIDO entre sistemas, en este caso solo ICMP (una regla que básicamente dice cualquier cosa desde 192.168.252.0/24 hasta 192.168.252.0/24 donde el protocolo es ICMP).
- Cualquier patrón de tráfico que no coincida con las reglas antes mencionadas se rechaza automáticamente.
Reemplace el enrutador con una caja Ubuntu con suficientes puertos Ethernet para proporcionar suficientes conexiones para su red e inalámbrica si lo necesita, configúrelo para hacer DHCP, NAT, etc., y configure las reglas de firewall en la caja Ubuntu para manejar el tráfico interno. y fuera de la red (similar al anterior).

Sin embargo, para brindarle otro punto de vista que impulsa esta respuesta, la red de mi hogar tiene muchos segmentos de LAN (como VLAN o LAN virtuales). Utilizo un firewall de hardware (un dispositivo pfSense, $500) para manejar las VLAN en mi red (DHCP, NAT de salida a Internet, etc.), así como reglas de intercomunicación entre los segmentos, que restringen el acceso. Las máquinas que uso activamente existen en una VLAN, mientras que las máquinas de acceso restringido existen en una VLAN y un rango de red separados. La comunicación con ellos está restringida por una regla en ambos lados que dicta qué tráfico puede pasar entre los segmentos. Básicamente, esta es la segunda opción anterior, implementada de una manera mucho más avanzada.

¿Cuál es el alcance de "ufw" y su regla de denegación implícita con respecto a mi red?

Respuesta1

información relacionada