%20%D1%80%D0%B0%D0%B7%D1%80%D0%B5%D1%88%D0%B0%D0%B5%D1%82%20%D0%B2%D1%85%D0%BE%D0%B4%D1%8F%D1%89%D0%B8%D0%B5%20%D0%B8%20%D0%B8%D1%81%D1%85%D0%BE%D0%B4%D1%8F%D1%89%D0%B8%D0%B5%20%D1%81%D0%BE%D0%B5%D0%B4%D0%B8%D0%BD%D0%B5%D0%BD%D0%B8%D1%8F%20%D1%81%20%D0%BE%D0%BF%D1%80%D0%B5%D0%B4%D0%B5%D0%BB%D0%B5%D0%BD%D0%BD%D1%8B%D0%BC%20IP-%D0%B0%D0%B4%D1%80%D0%B5%D1%81%D0%BE%D0%BC%2C%20%D0%B7%D0%B0%D0%BF%D1%80%D0%B5%D1%89%D0%B0%D0%B5%D1%82%20%D0%B2%D1%81%D0%B5%20%D0%BE%D1%81%D1%82%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B5.png)
Я пытаюсь настроить брандмауэр UFW следующим образом:
- Разрешить все входящие и исходящие соединения на IP 1.1.1.1 (все порты);
- Запретить все остальные соединения (входящие и исходящие);
Для первого пункта следующая команда, похоже, работает отлично:
sudo ufw allow from 1.1.1.1
После этого статус UFW будет следующим:
To Action From
-- ------ ----
Anywhere ALLOW IN 1.1.1.1
Мне нужен диапазон портов для этого? Или указать оба протокола UDP и TCP?
-
Теперь по второму пункту. Можно ли просто сказать «отрицать все остальное» с помощью UFW?
Или я могу использовать какой-то подстановочный знак? Например, "deny from [^1.1.1.1]". (я пробовал)
решение1
При использовании UFW есть неявный запрет на все (входящие) соединения, поэтому вам не нужно добавлять правило для этого. (А также неявный запрет на все исходящие соединения.)
Если вы не укажете протокол при добавлении правила UFW, оно будет применяться к TCP и UDP. Аналогично, если вы не укажете порт, это будет означать «все порты».
Это ufw allow from 1.1.1.1сокращение от «разрешить с 1.1.1.1 любой интерфейс, любой порт, любой протокол».
Вы можете проверить полученный набор правил с помощьюiptables -L