Ubuntu ufw: establece una regla por interfaz

30

Quiero crear una regla que permita a cualquier persona en eth1 acceder al puerto 80. ¿Puede UFW hacer esto o debería volver a usar Shorewall?

Para aclarar: esta es una pregunta sobre capacidades, ¿puede ufw manejar interfaces como un objetivo?

ubuntu firewall iptables ufw Antonius Bloch
fuente
Estoy buscando específicamente especificar la interfaz, no la ip o la red.
Antonius Bloch
Este es un servidor de estación de trabajo de gestión / cobbler / puppet. Tiene 4 interfaces que lo conectan a 4 redes diferentes, 2 redes públicas y 1 red multiinquilino y 1 red de administración privada. Quiero asegurarme de que los servidores tftp, dhcp y otros servicios de aprovisionamiento solo estén disponibles en la red de administración y no en las otras redes.
Antonius Bloch

Respuestas:

51

Finalmente leí la página del manual:

By default, ufw will apply rules to all available interfaces. To
limit  this,  specify DIRECTION on INTERFACE, where DIRECTION is
one of in or out (interface aliases  are  not  supported).   For
example,  to  allow  all  new incoming http connections on eth0,
use:

ufw allow in on eth0 to any port 80 proto tcp

Para elaborar un poco, la respuesta es sí, ufw puede usar la interfaz como un objetivo. Mi regla particular se veía así:

ufw allow in on eth1 to [eth1 ip addr] port 80 proto tcp
Antonius Bloch
fuente
3

Sí, si eth1 es solo una interfaz normal con su propia dirección IP (y esa dirección IP es a la que está tratando de otorgar acceso):

ufw allow from any to [eth1 ip addr] port 80

Pero si hay algo más complicado que eso, entonces necesitamos más información sobre cómo está configurado este sistema.

Shane Madden
fuente
Vea mis comentarios anteriores, ya que es posible que los inquilinos puedan cambiar la configuración de red y acceder a esa dirección IP, esto podría no funcionar bien.
Antonius Bloch
Si pueden cambiar la configuración de red, entonces tienen root y también pueden cambiar las reglas del firewall, independientemente de qué firewall de software se use.
Shane Madden