Ubuntu ufw: defina uma regra por interface

30

Quero criar uma regra que permita que qualquer pessoa no eth1 acesse a porta 80. A UFW pode fazer isso ou devo voltar a usar o Shorewall?

Para esclarecer: esta é uma questão de capacidade, o ufw pode lidar com interfaces como um alvo?

— Antonius Bloch
fonte

Estou procurando especificamente especificar a interface, não o ip ou a rede.

— Antonius Bloch

Este é um servidor de estação de trabalho de gerenciamento / sapateiro / fantoche. Possui 4 interfaces conectando-o a 4 redes diferentes, 2 redes públicas e 1 rede multilocatário e 1 rede de gerenciamento privado. Quero garantir que os servidores tftp, dhcp e outros serviços de provisionamento estejam disponíveis apenas na rede de gerenciamento e não nas outras redes.

— Antonius Bloch

51

Finalmente li a página de manual:

By default, ufw will apply rules to all available interfaces. To
limit  this,  specify DIRECTION on INTERFACE, where DIRECTION is
one of in or out (interface aliases  are  not  supported).   For
example,  to  allow  all  new incoming http connections on eth0,
use:

ufw allow in on eth0 to any port 80 proto tcp

Para elaborar um pouco a resposta é sim, o ufw pode usar a interface como alvo. Minha regra específica era assim:

ufw allow in on eth1 to [eth1 ip addr] port 80 proto tcp

— Antonius Bloch
fonte

3

Sim, se eth1 for apenas uma interface normal com seu próprio endereço IP (e esse é o que você está tentando conceder acesso):

ufw allow from any to [eth1 ip addr] port 80

Mas se houver algo mais complicado que isso, precisamos de mais informações sobre como esse sistema é configurado.

— Shane Madden
fonte

Veja meus comentários acima, já que é possível que os inquilinos possam alterar as configurações de rede e acessar o endereço IP, isso pode não funcionar bem.

— Antonius Bloch

Se eles podem alterar as configurações de rede, eles têm raiz e também podem alterar as regras de firewall, independentemente de qual firewall de software é usado.

— Shane Madden