Básicamente tengo dos máquinas X e Y.
Quiero bloquear "http:// <IP-of-Y-Here> /AFolder/" de la máquina X en el puerto HTTP 80 usando ufw.
Trivialmente, esto se puede completar (terriblemente) usando ufw a través de:
sudo ufw deny out 80
Pero, ¿es posible hacer algo como:
ufw deny from (X IP ADDRESS) port 80 to (Y IP ADDRESS)/AFolder
¿Eso satisfará mis requisitos?
Respuesta1
No, no puedes usar ufw para bloquear el acceso a algunas páginas específicas en un servidor web pero no a otras.
ufw es una interfaz paraiptablesque controla elfiltro de redfirewall, que está integrado en el kernel de Linux. Este es un firewall común y corriente; puede usarlo para filtrar paquetes según sus encabezados.
Una dirección IP y un puerto se incluyen en los encabezados de un paquete, peroque documento webse está recuperando, no. En cambio, esta información se transmite en el cuerpo de los paquetes, una vez establecida la conexión.
Como probablemente sepa, es posible bloquear el acceso a ciertos sitios web (aunque generalmente es bastante fácil para alguien eludir el bloqueo), y existen utilidades que brindan la granularidad para bloquear páginas específicas y al mismo tiempo permiten el acceso a otras páginas en el sitio. mismo servidor. Pero para abordar lo que usted ha pedido: ufw no hará esto.
Respuesta2
Puede bloquear el acceso a un puerto en un servidor con ufw. man ufwtiene una gran cantidad de ejemplos, pero suponiendo que esté habilitado, debería ser así:
sudo ufw deny out to <<ip address>> port 80
Acabo de probar esto en mi propio servidor y funciona. Recuerde que el puerto 443 se utiliza para SSL, por lo que es posible que también deba bloquearlo.
Recuerde, esto bloquea todo el puerto 80 en este servidor.
Si desea comenzar a filtrar en función de subcarpetas (permitiendo algunas rutas pero no otras), necesitará algo que represente las solicitudes. Un firewall no mira el contenido, mira las conexiones. Para un firewall, una solicitud de /subcarpeta es lo mismo que una solicitud de /una-subcarpeta-diferente.
Entonces, lo que estás buscando es un proxy transparente que puedas modificar para bloquear parte de tu tráfico. El software de control parental es probablemente su mejor opción para una configuración rápida. Algo así dansguardianciertamente solía ser popular y yo diría que merece ser explorado. Más información está disponible en la wiki: