사람들이 IP 주소에 연결하는 경우에만 UFW를 암시적으로 거부합니까, 아니면 전체 네트워크에 대해 거부합니까? IP 주소에 텔넷을 시도했는데 거부되었습니다. 하지만 네트워크의 다른 IP에 텔넷을 시도했을 때 연결할 수 있었지만 역시 거부되어야 하지 않습니까?
답변1
ufw귀하의 의견에 따르면 개별 시스템의 소프트웨어 방화벽이 무엇인지, 적용 범위가 무엇인지 이해하지 못한 것 같습니다 .
이는 상황을 분석하고 ufw네트워크의 규칙과 세부 사항에 대한 통찰력을 제공합니다.
ufw이는 하나의 시스템, 즉 활성화된 시스템에만 영향을 미칩니다. 즉, Ubuntu 시스템 #1(추적 유지를 위해)은ufw암시적 거부 규칙을 활성화했습니다. 이는 Ubuntu 시스템 #1에만 영향을 미치며 기본iptables/ 시스템 에 존재하는 기본 "ACCEPT" 규칙을 대체합니다netfilter(ufw단지 '관리하기 쉬운' 프런트 엔드임).- Ubuntu 시스템 #2가
ufw활성화되어 있지 않으므로 "거부" 규칙이 없습니다.ufw존재하지 않기 때문에 기본iptables/netfilter시스템은 설치 시 적용되는 기본 "ACCEPT" 규칙을 얻습니다(ufw해당 규칙을 변경하고 이에 대한 '관리하기 쉬운' 프런트 엔드일 뿐입니다). - Windows XP의 Windows 방화벽(활성화된 경우)은 Windows 시스템에 대한 연결을 거부할 수 있습니다. 네트워크의 다른 시스템에는 영향을 미칠 수 없습니다.
Ubuntu 시스템 #2에 거부 규칙을 적용하려면 ufw해당 시스템에 설치하고 활성화하면 암시적 거부 규칙이 존재하게 됩니다.
하지만 원하는 것은 허용되는 트래픽을 제어하는 네트워크 전체 액세스 제어 규칙입니다.~ 사이시스템. 이를 달성하는 유일한 방법은 방화벽과 네트워크 제어를 자체 장치, 네트워크의 모든 시스템 간의 트래픽 라우팅을 처리하는 별도의 Ubuntu 상자 또는 이를 달성하기 위한 하드웨어 방화벽(예: Cisco ASA 또는 pfSense 어플라이언스).
다음 네트워크를 고려하십시오.
LAN 네트워크가 있고 LAN에서 인터넷(또는 다른 네트워크)으로의 연결을 처리하는 라우터가 있습니다. 모든 컴퓨터에는 고정 주소가 지정된 192.168.252.XXX가 있습니다. 네트워크의 해당 세그먼트에는 5대의 컴퓨터가 있습니다. 머신 간의 통신을 ICMP PING패킷으로만 제한하고 해당 제한을 모든 머신에 적용하고 싶습니다.
구현에 대한 내 옵션은 다음과 같습니다.
각 컴퓨터에 소프트웨어 방화벽을 설치하고 네트워크의 다른 컴퓨터에서 각 컴퓨터로 전달되는 특정 유형의 트래픽만 허용하도록 소프트웨어 방화벽을 구성합니다. 그러나 각 시스템과 게이트웨이/라우터 간의 모든 트래픽을 허용하십시오.
라우터를 대체하기 위해 네트워크 설정에 적합한 하드웨어 방화벽을 설치하고 허용된 네트워크 내 트래픽(특정 LAN 내부) 및 네트워크 간 트래픽(네트워크 간 통신, 즉 LAN 외부)에 대한 명시적인 규칙 정의를 제공합니다. 다음과 같이 구성
- 인터넷으로의 아웃바운드를 허용하도록 하드웨어 방화벽을 구성합니다(기본적으로 내부 -> 내부가 아닌 모든 것(192.168.252.0/24가 아님)이 허용된다는 규칙).
- 허용되는 시스템 간 트래픽에 대해 LAN 자체에 대한 하드웨어 방화벽을 구성합니다. 이 경우 ICMP만 해당됩니다(기본적으로 프로토콜이 ICMP인 192.168.252.0/24에서 192.168.252.0/24까지의 규칙을 말하는 규칙).
- 앞서 언급한 규칙과 일치하지 않는 트래픽 패턴은 자동으로 거부됩니다.
라우터를 충분한 이더넷 포트가 있는 Ubuntu 상자로 교체하여 필요한 경우 네트워크 및 무선에 충분한 연결을 제공하고 DHCP, NAT 등을 수행하도록 구성하고 Ubuntu 상자에서 방화벽 규칙을 구성하여 내부 트래픽을 모두 처리하십시오. 네트워크 외부(이전과 유사)
하지만 이 답변을 이끌어내는 또 다른 관점을 제공하기 위해 집에 있는 네트워크에는 많은 LAN 세그먼트(VLAN 또는 가상 LAN)가 있습니다. 나는 하드웨어 방화벽(pfSense 어플라이언스, $500 정도)을 사용하여 내 네트워크의 VLAN(DHCP, 인터넷으로의 NAT 등)과 액세스를 제한하는 세그먼트 간의 상호 통신 규칙을 처리합니다. 내가 적극적으로 사용하는 시스템은 하나의 VLAN에 존재하는 반면, 액세스가 제한된 시스템은 별도의 VLAN 및 네트워크 범위에 존재합니다. 이들에 대한 통신은 세그먼트 간에 통과할 수 있는 트래픽을 지정하는 양측의 규칙에 의해 제한됩니다. 본질적으로 이것은 훨씬 더 발전된 방식으로 구현된 위에서 두 번째 옵션입니다.