basicamente eu tenho duas máquinas X e Y.
Quero bloquear "http: // <IP-of-Y-Here> / AFolder /" da máquina X na porta HTTP 80 usando ufw.
Trivialmente, isso pode ser concluído (muito) usando o ufw através de:
sudo ufw deny out 80
Mas é possível fazer algo como:
ufw deny from (X IP ADDRESS) port 80 to (Y IP ADDRESS)/AFolder
Isso irá satisfazer meus requisitos?
Respostas:
Não, você não pode usar o ufw para bloquear o acesso a algumas páginas específicas em um servidor web, mas a outras não.
O ufw é um frontend para o iptablesqual controla o firewall do netfilter , embutido no kernel do Linux. Esse é um firewall comum - você pode usá-lo para filtrar pacotes com base em seus cabeçalhos.
Um endereço IP e uma porta estão incluídos nos cabeçalhos dos pacotes, mas o documento da Web que está sendo recuperado não está. Em vez disso, essas informações são transmitidas nos corpos dos pacotes, depois que uma conexão já está estabelecida.
Como você provavelmente sabe, é possível bloquear o acesso a determinados sites (embora geralmente seja fácil para alguém contornar o bloqueio), e existem utilitários que fornecem granularidade para bloquear páginas específicas, permitindo o acesso a outras páginas na Internet. mesmo servidor. Mas, para resolver o que você pediu: o ufw não fará isso.
Você pode bloquear o acesso a uma porta em um servidor com ufw. man ufwtem uma série de exemplos, mas assumindo que está ativado, deve ser assim:
sudo ufw deny out to <<ip address>> port 80
Acabei de testar isso no meu próprio servidor e funciona. Lembre-se de que a porta 443 é usada para SSL, portanto também pode ser necessário bloquear.
Lembre-se, isso bloqueia toda a porta 80 neste servidor.
Se você deseja começar a filtrar com base em subpastas (permitindo alguns caminhos, mas não outros), precisará de algo que proxies as solicitações. Um firewall não analisa o conteúdo, analisa as conexões. Para um firewall, uma solicitação para / subpasta é igual a uma solicitação para / uma subpasta diferente.
Então, o que você está procurando é um proxy transparente que você possa transformar em parte do seu tráfego. O software de controle dos pais é provavelmente a melhor opção para uma configuração rápida. Algo como dansguardiancertamente costumava ser popular e eu diria que merece exploração. Mais informações estão disponíveis no wiki: