По сути у меня есть две машины X и Y.
Я хочу заблокировать «http:// <IP-of-Y-Here> /AFolder/» с машины X на HTTP-порту 80 с помощью ufw.
Проще говоря, это можно сделать (ужасно) с помощью UFW:
sudo ufw deny out 80
Но возможно ли сделать что-то вроде:
ufw deny from (X IP ADDRESS) port 80 to (Y IP ADDRESS)/AFolder
Это удовлетворит мои требования?
решение1
Нет, вы не можете использовать UFW, чтобы заблокировать доступ к некоторым определенным страницам на веб-сервере, но не к другим.
ufw — это интерфейс дляiptablesкоторый контролируетсетевой фильтрбрандмауэр, встроенный в ядро Linux. Это обычный брандмауэр — вы можете использовать его для фильтрации пакетов на основе их заголовков.
IP-адрес и порт включены в заголовки пакета, нокакой веб-документизвлекается не является. Вместо этого эта информация передается в телах пакетов, после того как соединение уже установлено.
Как вы, вероятно, знаете, можно заблокировать доступ к определенным веб-сайтам (хотя обычно кто-то может довольно легко обойти блокировку), и существуют утилиты, которые обеспечивают гранулярность для блокировки определенных страниц, разрешая при этом доступ к другим страницам на том же сервере. Но отвечая на ваш вопрос: ufw этого не сделает.
решение2
Вы можете заблокировать доступ к порту на сервере с помощью ufw. man ufwесть целый ряд примеров, но если предположить, что он включен, то это должно быть примерно так:
sudo ufw deny out to <<ip address>> port 80
Я только что проверил это на своем собственном сервере, и это работает. Помните, что порт 443 используется для SSL, так что его тоже можно заблокировать.
Помните, это блокирует весь порт 80 на этом сервере.
Если вы хотите начать фильтрацию на основе подпапок (разрешая некоторые пути, но не другие), вам понадобится что-то, что проксирует запросы. Брандмауэр не смотрит на содержимое, он смотрит на соединения. Для брандмауэра запрос на /subfolder такой же, как запрос на /a-different-subfolder.
Итак, то, что вы ищете, — это прозрачный прокси, который вы можете использовать для блокировки части вашего трафика. Программное обеспечение родительского контроля, вероятно, является вашим лучшим выбором для быстрой настройки. Что-то вроде этого, dansguardianбезусловно, было популярно, и я бы сказал, что это заслуживает изучения. Более подробная информация доступна на вики: