Qual é o escopo do `ufw` e sua regra de negação implícita em relação à minha rede?

Question

Com base em seus comentários, acho que você não conseguiu entender o que ufwé e qual é o escopo de cobertura dos firewalls de software em sistemas individuais.

Este é um detalhamento da situação e fornece informações sobre as especificidades ufwe as regras de uma rede:

ufwafetará apenas um sistema - o sistema em que está ativado. Ou seja, o Ubuntu System #1 (para manter o controle) foi ufwhabilitado com uma regra de negação implícita. Isso afeta apenas o Ubuntu System # 1 e substitui a regra padrão "ACCEPT" que existe no sistema iptables/ subjacente netfilter(que ufwé apenas um front end 'fácil de gerenciar').
Como o Ubuntu System #2 não está ufwhabilitado, não existe uma regra de "negação" nele. Como ufwnão existe, o iptables/ netfiltersistema subjacente obtém a regra padrão "ACEITAR" que é implementada na instalação ( ufwaltera essas regras e é apenas um front-end 'fácil de gerenciar' para elas).
O Firewall do Windows no Windows XP (se habilitado) poderá negar conexões com a máquina Windows. Não pode afetar outros sistemas na rede

Se você deseja que o sistema Ubuntu nº 2 tenha a regra de negação, instale ufwnesse sistema, habilite-o e então a regra de negação implícita existirá.

O que você deseja, porém, é uma regra de controle de acesso em toda a rede, controlando qual tráfego é permitidoentresistemas. A única maneira de conseguir isso é mover o firewall e os controles de rede para seu próprio dispositivo, uma caixa Ubuntu separada que gerencia o roteamento de tráfego entre todos os sistemas em sua rede ou um Firewall de hardware para conseguir isso (como um Cisco ASA ou um dispositivo pfSense).

Considere a seguinte rede:

Eu tenho uma rede LAN e há um roteador que gerencia conexões da LAN para a Internet (ou outras redes). Todo computador possui 192.168.252.XXX, com endereçamento estático. Cinco computadores estão nesse segmento da rede. Quero restringir a comunicação entre as máquinas apenas a ICMP PINGpacotes e aplicar essa restrição a todas as máquinas.

Minhas opções de implementação são as seguintes:

Instale firewalls de software em cada máquina e configure-os para aceitar apenas determinados tipos de tráfego de outras máquinas na rede para cada computador. No entanto, permita todo o tráfego entre cada sistema e o gateway/roteador.
Instale um firewall de hardware adequado às suas configurações de rede para substituir o roteador e forneça uma definição explícita de regras para o tráfego intra-rede permitido (interno à LAN específica) e o tráfego inter-rede (comunicação entre redes, portanto, fora da sua LAN). Configure da seguinte forma
- Configure o firewall de hardware para permitir saída para a Internet (uma regra basicamente dizendo Qualquer coisa interna -> Qualquer coisa não interna (NÃO 192.168.252.0/24) é PERMITIDA).
- Configure o firewall de hardware para a própria LAN para tráfego entre sistemas PERMITIDO, neste caso apenas ICMP (uma regra basicamente dizendo qualquer coisa de 192.168.252.0/24 a 192.168.252.0/24 onde o protocolo é ICMP).
- Quaisquer padrões de tráfego que não correspondam às regras acima mencionadas serão automaticamente negados.
Substitua o roteador por uma caixa Ubuntu com portas Ethernet suficientes para fornecer conexões suficientes para sua rede e Wireless se você precisar, configure-o para fazer DHCP, NAT, etc., e configure as regras de firewall na caixa Ubuntu para lidar com o tráfego interno e fora da rede (semelhante ao anterior).

Porém, para lhe fornecer outro ponto de vista que impulsiona esta resposta, minha rede em casa tem muitos segmentos de LAN (como VLANs ou LANs virtuais). Eu uso um firewall de hardware (um dispositivo pfSense, US$ 500) para lidar com as VLANs da minha rede (DHCP, NAT para a Internet, etc.), bem como regras de intercomunicação entre os segmentos, que restringem o acesso. As máquinas que uso ativamente existem em uma VLAN, enquanto as máquinas de acesso restrito existem em uma VLAN e um intervalo de rede separados. A comunicação para aqueles é restringida por uma regra em ambos os lados que determina qual tráfego é permitido passar entre os segmentos. Essencialmente, esta é a segunda opção acima, implementada de forma muito mais avançada.

Answer 1

Com base em seus comentários, acho que você não conseguiu entender o que ufwé e qual é o escopo de cobertura dos firewalls de software em sistemas individuais.

Este é um detalhamento da situação e fornece informações sobre as especificidades ufwe as regras de uma rede:

ufwafetará apenas um sistema - o sistema em que está ativado. Ou seja, o Ubuntu System #1 (para manter o controle) foi ufwhabilitado com uma regra de negação implícita. Isso afeta apenas o Ubuntu System # 1 e substitui a regra padrão "ACCEPT" que existe no sistema iptables/ subjacente netfilter(que ufwé apenas um front end 'fácil de gerenciar').
Como o Ubuntu System #2 não está ufwhabilitado, não existe uma regra de "negação" nele. Como ufwnão existe, o iptables/ netfiltersistema subjacente obtém a regra padrão "ACEITAR" que é implementada na instalação ( ufwaltera essas regras e é apenas um front-end 'fácil de gerenciar' para elas).
O Firewall do Windows no Windows XP (se habilitado) poderá negar conexões com a máquina Windows. Não pode afetar outros sistemas na rede

Se você deseja que o sistema Ubuntu nº 2 tenha a regra de negação, instale ufwnesse sistema, habilite-o e então a regra de negação implícita existirá.

O que você deseja, porém, é uma regra de controle de acesso em toda a rede, controlando qual tráfego é permitidoentresistemas. A única maneira de conseguir isso é mover o firewall e os controles de rede para seu próprio dispositivo, uma caixa Ubuntu separada que gerencia o roteamento de tráfego entre todos os sistemas em sua rede ou um Firewall de hardware para conseguir isso (como um Cisco ASA ou um dispositivo pfSense).

Considere a seguinte rede:

Eu tenho uma rede LAN e há um roteador que gerencia conexões da LAN para a Internet (ou outras redes). Todo computador possui 192.168.252.XXX, com endereçamento estático. Cinco computadores estão nesse segmento da rede. Quero restringir a comunicação entre as máquinas apenas a ICMP PINGpacotes e aplicar essa restrição a todas as máquinas.

Minhas opções de implementação são as seguintes:

Instale firewalls de software em cada máquina e configure-os para aceitar apenas determinados tipos de tráfego de outras máquinas na rede para cada computador. No entanto, permita todo o tráfego entre cada sistema e o gateway/roteador.
Instale um firewall de hardware adequado às suas configurações de rede para substituir o roteador e forneça uma definição explícita de regras para o tráfego intra-rede permitido (interno à LAN específica) e o tráfego inter-rede (comunicação entre redes, portanto, fora da sua LAN). Configure da seguinte forma
- Configure o firewall de hardware para permitir saída para a Internet (uma regra basicamente dizendo Qualquer coisa interna -> Qualquer coisa não interna (NÃO 192.168.252.0/24) é PERMITIDA).
- Configure o firewall de hardware para a própria LAN para tráfego entre sistemas PERMITIDO, neste caso apenas ICMP (uma regra basicamente dizendo qualquer coisa de 192.168.252.0/24 a 192.168.252.0/24 onde o protocolo é ICMP).
- Quaisquer padrões de tráfego que não correspondam às regras acima mencionadas serão automaticamente negados.
Substitua o roteador por uma caixa Ubuntu com portas Ethernet suficientes para fornecer conexões suficientes para sua rede e Wireless se você precisar, configure-o para fazer DHCP, NAT, etc., e configure as regras de firewall na caixa Ubuntu para lidar com o tráfego interno e fora da rede (semelhante ao anterior).

Porém, para lhe fornecer outro ponto de vista que impulsiona esta resposta, minha rede em casa tem muitos segmentos de LAN (como VLANs ou LANs virtuais). Eu uso um firewall de hardware (um dispositivo pfSense, US$ 500) para lidar com as VLANs da minha rede (DHCP, NAT para a Internet, etc.), bem como regras de intercomunicação entre os segmentos, que restringem o acesso. As máquinas que uso ativamente existem em uma VLAN, enquanto as máquinas de acesso restrito existem em uma VLAN e um intervalo de rede separados. A comunicação para aqueles é restringida por uma regra em ambos os lados que determina qual tráfego é permitido passar entre os segmentos. Essencialmente, esta é a segunda opção acima, implementada de forma muito mais avançada.

Qual é o escopo do `ufw` e sua regra de negação implícita em relação à minha rede?

Responder1

informação relacionada