Какова область действия `ufw` и его неявного правила запрета в отношении моей сети?

Question

Судя по вашим комментариям, я думаю, что вы не поняли ufw, что такое программные брандмауэры на отдельных системах и какова сфера их действия.

Это анализ ситуации, дающий представление о специфике ufwи правилах сети:

ufwповлияет только на одну систему — на систему, на которой он включен. То есть, Ubuntu System #1 (для отслеживания) включила ufwнеявное запрещающее правило. Это влияет только на Ubuntu System #1 и заменяет правило «ACCEPT» по умолчанию, которое существует в базовой системе iptables/ netfilter(которая ufwявляется просто «легкоуправляемым» внешним интерфейсом для).
Поскольку Ubuntu System #2 не включена ufw, в ней нет правила "deny". Поскольку ufwего нет, базовая система iptables/ netfilterполучает правило "ACCEPT" по умолчанию, которое устанавливается при установке ( ufwизменяет эти правила и является просто "легкоуправляемым" интерфейсом для них).
Брандмауэр Windows на Windows XP (если включен) сможет запретить подключения к машине Windows. Он не может повлиять на другие системы в сети.

Если вы хотите, чтобы в Ubuntu System #2 было запрещающее правило, установите его ufwв этой системе, включите его, и тогда неявное запрещающее правило будет существовать.

Однако вам нужно правило контроля доступа для всей сети, контролирующее, какой трафик разрешен.междусистемы. Единственный способ добиться этого — перенести управление брандмауэром и сетью на его собственное устройство, отдельную коробку Ubuntu, обрабатывающую маршрутизацию трафика между всеми системами в вашей сети, или аппаратный брандмауэр для достижения этого (например, Cisco ASA или устройство pfSense).

Рассмотрим следующую сеть:

У меня есть сеть LAN, и есть маршрутизатор, обрабатывающий соединения из LAN в Интернет (или другие сети). Каждый компьютер имеет 192.168.252.XXX со статической адресацией. Пять компьютеров находятся в этом сегменте сети. Я хочу ограничить связь между машинами только пакетами ICMP PINGи применить это ограничение ко всем машинам.

Мои варианты реализации следующие:

Установите программные брандмауэры на каждой машине и настройте программные брандмауэры так, чтобы они принимали только определенные типы трафика от других машин в сети к каждому компьютеру. Однако разрешите весь трафик между каждой системой и шлюзом/маршрутизатором.
Установите аппаратный брандмауэр, который подходит для ваших сетевых настроек, чтобы заменить маршрутизатор, и предоставьте явное определение правил для разрешенного внутрисетевого трафика (внутреннего для конкретной локальной сети) и межсетевого трафика (взаимодействия между сетями, т. е. за пределами вашей локальной сети). Настройте следующим образом
- Настройте аппаратный брандмауэр так, чтобы разрешить исходящий трафик в Интернет (правило, по сути, гласит: «Всё внутреннее -> Всё не внутреннее (НЕ 192.168.252.0/24) РАЗРЕШЕНО»).
- Настройте аппаратный брандмауэр для самой локальной сети для РАЗРЕШЕННОГО межсистемного трафика, в данном случае только ICMP (правило, по сути, означающее все от 192.168.252.0/24 до 192.168.252.0/24, где протоколом является ICMP).
- Любые схемы трафика, не соответствующие вышеуказанным правилам, автоматически отклоняются.
Замените маршрутизатор на Ubuntu-бокс с достаточным количеством портов Ethernet для обеспечения достаточного количества подключений для вашей сети и беспроводной сети, если она вам нужна, настройте его для выполнения DHCP, NAT и т. д., а также настройте правила брандмауэра на Ubuntu-боксе для обработки трафика как внутри, так и за пределами сети (аналогично предыдущему варианту).

Чтобы предоставить вам другую точку зрения, которая, однако, обуславливает этот ответ, моя домашняя сеть имеет много сегментов LAN (как VLAN или виртуальных LAN). Я использую аппаратный брандмауэр (устройство pfSense, около 500 долларов) для управления VLAN в моей сети (DHCP, NAT для выхода в Интернет и т. д.), а также правила взаимодействия между сегментами, которые ограничивают доступ. Машины, которые я активно использую, находятся в одной VLAN, тогда как машины с ограниченным доступом находятся в отдельной VLAN и сетевом диапазоне. Связь с ними ограничена правилом с обеих сторон, которое определяет, какой трафик разрешен для передачи между сегментами. По сути, это второй вариант сверху, реализованный гораздо более продвинутым способом.

Answer 1

Судя по вашим комментариям, я думаю, что вы не поняли ufw, что такое программные брандмауэры на отдельных системах и какова сфера их действия.

Это анализ ситуации, дающий представление о специфике ufwи правилах сети:

ufwповлияет только на одну систему — на систему, на которой он включен. То есть, Ubuntu System #1 (для отслеживания) включила ufwнеявное запрещающее правило. Это влияет только на Ubuntu System #1 и заменяет правило «ACCEPT» по умолчанию, которое существует в базовой системе iptables/ netfilter(которая ufwявляется просто «легкоуправляемым» внешним интерфейсом для).
Поскольку Ubuntu System #2 не включена ufw, в ней нет правила "deny". Поскольку ufwего нет, базовая система iptables/ netfilterполучает правило "ACCEPT" по умолчанию, которое устанавливается при установке ( ufwизменяет эти правила и является просто "легкоуправляемым" интерфейсом для них).
Брандмауэр Windows на Windows XP (если включен) сможет запретить подключения к машине Windows. Он не может повлиять на другие системы в сети.

Если вы хотите, чтобы в Ubuntu System #2 было запрещающее правило, установите его ufwв этой системе, включите его, и тогда неявное запрещающее правило будет существовать.

Однако вам нужно правило контроля доступа для всей сети, контролирующее, какой трафик разрешен.междусистемы. Единственный способ добиться этого — перенести управление брандмауэром и сетью на его собственное устройство, отдельную коробку Ubuntu, обрабатывающую маршрутизацию трафика между всеми системами в вашей сети, или аппаратный брандмауэр для достижения этого (например, Cisco ASA или устройство pfSense).

Рассмотрим следующую сеть:

У меня есть сеть LAN, и есть маршрутизатор, обрабатывающий соединения из LAN в Интернет (или другие сети). Каждый компьютер имеет 192.168.252.XXX со статической адресацией. Пять компьютеров находятся в этом сегменте сети. Я хочу ограничить связь между машинами только пакетами ICMP PINGи применить это ограничение ко всем машинам.

Мои варианты реализации следующие:

Установите программные брандмауэры на каждой машине и настройте программные брандмауэры так, чтобы они принимали только определенные типы трафика от других машин в сети к каждому компьютеру. Однако разрешите весь трафик между каждой системой и шлюзом/маршрутизатором.
Установите аппаратный брандмауэр, который подходит для ваших сетевых настроек, чтобы заменить маршрутизатор, и предоставьте явное определение правил для разрешенного внутрисетевого трафика (внутреннего для конкретной локальной сети) и межсетевого трафика (взаимодействия между сетями, т. е. за пределами вашей локальной сети). Настройте следующим образом
- Настройте аппаратный брандмауэр так, чтобы разрешить исходящий трафик в Интернет (правило, по сути, гласит: «Всё внутреннее -> Всё не внутреннее (НЕ 192.168.252.0/24) РАЗРЕШЕНО»).
- Настройте аппаратный брандмауэр для самой локальной сети для РАЗРЕШЕННОГО межсистемного трафика, в данном случае только ICMP (правило, по сути, означающее все от 192.168.252.0/24 до 192.168.252.0/24, где протоколом является ICMP).
- Любые схемы трафика, не соответствующие вышеуказанным правилам, автоматически отклоняются.
Замените маршрутизатор на Ubuntu-бокс с достаточным количеством портов Ethernet для обеспечения достаточного количества подключений для вашей сети и беспроводной сети, если она вам нужна, настройте его для выполнения DHCP, NAT и т. д., а также настройте правила брандмауэра на Ubuntu-боксе для обработки трафика как внутри, так и за пределами сети (аналогично предыдущему варианту).

Чтобы предоставить вам другую точку зрения, которая, однако, обуславливает этот ответ, моя домашняя сеть имеет много сегментов LAN (как VLAN или виртуальных LAN). Я использую аппаратный брандмауэр (устройство pfSense, около 500 долларов) для управления VLAN в моей сети (DHCP, NAT для выхода в Интернет и т. д.), а также правила взаимодействия между сегментами, которые ограничивают доступ. Машины, которые я активно использую, находятся в одной VLAN, тогда как машины с ограниченным доступом находятся в отдельной VLAN и сетевом диапазоне. Связь с ними ограничена правилом с обеих сторон, которое определяет, какой трафик разрешен для передачи между сегментами. По сути, это второй вариант сверху, реализованный гораздо более продвинутым способом.

Какова область действия `ufw` и его неявного правила запрета в отношении моей сети?

решение1

Связанный контент