¿Cómo puedo desactivar el tráfico externo a mi puerto 80?

3

No quiero que otros en la misma red (¡o cualquier otra red!) Puedan acceder a mi máquina en el puerto 80, donde tengo sitios web de desarrollo.

Intenté agregar esta regla a ipfw:

deny tcp from any to any dst-port 80 in

lo que funciona, pero también me impide poder acceder a mi raíz web cada vez que obtengo una nueva IP (cambiar a una nueva red inalámbrica, por ejemplo) hasta que actualice mi interfaz de red.

¿Hay alguna regla que pueda agregar ipfwo (ya que aparentemente está en desuso) pfctlque no permita el tráfico externo al puerto 80?

Editar: la respuesta de bmike es simplemente perfecta. Esto es lo que he hecho, para que otros lo vean:

sudo ipfw add 00100 allow ip from any to any via lo0
sudo ipfw add 90100 deny tcp from any to any dst-port 80 in
sudo ipfw add 90100 deny tcp from any to any dst-port 443 in
sudo ipfw add 90100 deny tcp from any to any dst-port 3306 in

Esto permite todos los puertos localmente, pero no permite ninguna conexión entrante a 80 (Apache), 443 (https) y 3306 (MySQL, que ya he restringido a localhost, pero aún así agregué esto solo para asegurarlo).

Charlie Schliesser
fuente

Respuestas:

2

Deberá asegurarse de tener una regla de permiso con un número menor que la regla de denegación.

Así que tal vez:

00100 allow ip from any to any via lo0
90100 deny tcp from any to any dst-port 80 in

Esto pone el permiso muy bajo (asegúrese de que no tiene ninguna regla de denegación en el rango de números de regla 0-99) y coloca la regla de denegación general en un número muy alto (presumiblemente no permitirá nada en el puerto 80 más alto) que 90101).

Si no está definiendo un archivo de reglas para cargar todos los comandos de una sola vez, eche un vistazo a esta respuesta para una versión ligeramente diferente de los puertos de restricción: ¿Cómo uso ipfw para permitir el acceso LAN pero denegar el acceso a Internet?

bmike
fuente