basicamente eu tenho duas máquinas X e Y.
Quero bloquear "http:// <IP-of-Y-Here> /AFolder/" da máquina X na porta HTTP 80 usando ufw.
Trivialmente, isso pode ser concluído (terrivelmente) usando o ufw por meio de:
sudo ufw deny out 80
Mas é possível fazer algo como:
ufw deny from (X IP ADDRESS) port 80 to (Y IP ADDRESS)/AFolder
Isso irá satisfazer meus requisitos?
Responder1
Não, você não pode usar o ufw para bloquear o acesso a algumas páginas específicas em um servidor web, mas não a outras.
ufw é uma interface paraiptablesque controla ofiltro de redefirewall, que está embutido no kernel do Linux. Este é um firewall comum – você pode usá-lo para filtrar pacotes com base em seus cabeçalhos.
Um endereço IP e uma porta estão incluídos nos cabeçalhos de um pacote, masque documento da webestá sendo recuperado, não está. Em vez disso, essas informações são transmitidas nos corpos dos pacotes, após uma conexão já ter sido estabelecida.
Como você provavelmente sabe, é possível bloquear o acesso a determinados sites (embora geralmente seja muito fácil para alguém contornar o bloqueio), e existem utilitários que fornecem granularidade para bloquear páginas específicas e, ao mesmo tempo, permitir o acesso a outras páginas no site. mesmo servidor. Mas para responder ao que você perguntou: o ufw não fará isso.
Responder2
Você pode bloquear o acesso a uma porta em um servidor com ufw. man ufwtem uma série de exemplos, mas supondo que esteja ativado, deveria ser assim:
sudo ufw deny out to <<ip address>> port 80
Acabei de testar isso em meu próprio servidor e funciona. Lembre-se de que a porta 443 é usada para SSL, portanto, também pode ser necessário bloqueá-la.
Lembre-se de que isso bloqueia toda a porta 80 deste servidor.
Se você quiser começar a filtrar com base em subpastas (permitindo alguns caminhos, mas não outros), você precisará de algo que faça proxy das solicitações. Um firewall não analisa o conteúdo, mas sim as conexões. Para um firewall, uma solicitação para /subpasta é o mesmo que uma solicitação para /uma-subpasta diferente.
Então, o que você está procurando é um proxy transparente que você possa usar para eliminar parte do seu tráfego. O software de controle dos pais é provavelmente sua melhor aposta para uma configuração rápida. Algo como dansguardiancertamente costumava ser popular e eu diria que merece exploração. Mais informações estão disponíveis no wiki: