¿Es posible bloquear una página web usando ufw?

8

Básicamente tengo dos máquinas X e Y.

Quiero bloquear "http: // <IP-of-Y-Here> / AFolder /" de la máquina X en el puerto HTTP 80 usando ufw.

Trivialmente, esto se puede completar (terriblemente) usando ufw a través de:

sudo ufw deny out 80

Pero, ¿es posible hacer algo en la línea de:

ufw deny from (X IP ADDRESS) port 80 to (Y IP ADDRESS)/AFolder

¿Eso satisfará mis requisitos?

Ed George
fuente

Respuestas:

6

No, no puede usar ufw para bloquear el acceso a algunas páginas específicas en un servidor web, pero no a otras.

ufw es un frontend para el iptablescual controla el firewall de netfilter , que está integrado en el kernel de Linux. Este es un cortafuegos ordinario: puede usarlo para filtrar paquetes en función de sus encabezados.

Una dirección IP y un puerto están incluidos en los encabezados de un paquete, pero el documento web que se está recuperando no lo está. En cambio, esta información se transmite en los cuerpos de los paquetes, después de que ya se ha establecido una conexión.

Como probablemente sepa, es posible bloquear el acceso a ciertos sitios web (aunque generalmente es bastante fácil para alguien eludir el bloqueo), y hay utilidades que proporcionan la granularidad para bloquear páginas específicas mientras permiten el acceso a otras páginas en el mismo servidor Pero para abordar lo que ha preguntado: ufw no hará esto.

Eliah Kagan
fuente
6

Puede bloquear el acceso a un puerto en un servidor con ufw. man ufwtiene toda una serie de ejemplos, pero suponiendo que esté habilitado, debería ser así:

sudo ufw deny out to <<ip address>> port 80

Acabo de probar esto en mi propio servidor y funciona. Recuerde que el puerto 443 se usa para SSL, por lo que es posible que también desee bloquear.

Recuerde, esto bloquea todo el puerto 80 en este servidor.


Si desea comenzar a filtrar en base a subcarpetas (permitiendo algunas rutas pero no otras), necesitará algo que delegue las solicitudes. Un firewall no mira el contenido, mira las conexiones. Para un firewall, una solicitud para / subcarpeta es lo mismo que una solicitud para / a-different-subfolder.

Entonces, lo que está buscando es un proxy transparente que pueda girar para reducir parte de su tráfico. El software de control parental es probablemente su mejor opción para una configuración rápida. Algo así dansguardianciertamente solía ser popular y yo diría que justifica la exploración. Más información está disponible en la wiki:

Oli
fuente
Simple y perfecto Probado en 16.04
Sam