UFW 的隐式拒绝是否仅适用于人们连接到其 IP 地址的情况,还是适用于整个网络?我尝试通过 telnet 连接到该 IP 地址,确实被拒绝了,但是当我尝试通过 telnet 连接到网络中的另一个 IP 时,它能够连接,难道不应该也拒绝它吗?
答案1
根据您的评论,我认为您未能理解什么ufw是软件防火墙,以及单个系统上的软件防火墙的覆盖范围是什么。
这是情况的细分,并深入了解了ufw网络的具体情况和规则:
ufw只会影响一个系统 - 启用它的系统。也就是说,Ubuntu 系统 #1(为了保持跟踪)已启用隐式拒绝规则。这只会影响 Ubuntu 系统 #1,并替换底层/系统ufw上存在的默认“接受”规则(其中只是一个“易于管理”的前端)。iptablesnetfilterufw- 由于 Ubuntu 系统 #2 未
ufw启用,因此没有“拒绝”规则。由于ufw没有,底层iptables系统netfilter会获取安装时设置的默认“接受”规则(ufw更改这些规则,并且只是这些规则的“易于管理”前端)。 - Windows XP 上的 Windows 防火墙(如果已启用)将能够拒绝与 Windows 计算机的连接。它不会影响网络上的其他系统
如果您希望 Ubuntu 系统 #2 具有拒绝规则,请ufw在该系统上安装并启用它,然后隐式拒绝规则就会存在。
但你需要的是网络范围的访问控制规则,控制允许哪些流量之间系统。实现此目的的唯一方法是将防火墙和网络控制移至其自己的设备、单独的 Ubuntu 盒来处理网络上所有系统之间的流量路由,或使用硬件防火墙来实现此目的(例如 Cisco ASA 或 pfSense 设备)。
考虑以下网络:
我有一个 LAN 网络,并且有一个路由器处理从 LAN 到 Internet(或其他网络)的连接。每台计算机的 IP 地址为 192.168.252.XXX,具有静态寻址。该网络段上有五台计算机。我想将机器之间的通信限制为ICMP PING仅以数据包形式进行,并将该限制应用于所有机器。
我的实施方案如下:
在每台机器上安装软件防火墙,并配置软件防火墙以仅接受网络上其他机器到每台计算机的某些类型的流量。但是,允许每个系统和网关/路由器之间的所有流量。
安装适合您网络设置的硬件防火墙来替换路由器,并为允许的网络内流量(特定 LAN 内部)和网络间流量(网络之间的通信,因此在您的 LAN 之外)提供明确的规则定义。配置如下
- 配置硬件防火墙以允许出站到 Internet(规则基本上说任何内部内容 -> 任何非内部内容(非 192.168.252.0/24)都是允许的)。
- 为 LAN 本身配置硬件防火墙,以允许系统间流量,在本例中仅限 ICMP(规则基本上规定了从 192.168.252.0/24 到 192.168.252.0/24 的任何内容,其中协议是 ICMP)。
- 任何不符合上述规则的流量模式都会被自动拒绝。
用具有足够以太网端口的 Ubuntu 盒替换路由器,以便为您的网络和无线提供足够的连接(如果需要),将其配置为执行 DHCP、NAT 等,并在 Ubuntu 盒上配置防火墙规则以处理网络内部和外部的流量(类似于以前)。
不过,为了向您提供另一个观点,也就是这个答案的驱动力,我家里的网络有很多 LAN 段(作为 VLAN 或虚拟 LAN)。我使用硬件防火墙(pfSense 设备,500 美元左右)来处理我网络上的 VLAN(DHCP、NAT 到 Internet 等),以及段之间的通信规则,这些规则限制了访问。我积极使用的机器存在于一个 VLAN 上,而限制访问的机器存在于单独的 VLAN 和网络范围内。与这些机器的通信受到双方规则的限制,该规则规定了允许在段之间传递哪些流量。本质上,这是上面的第二个选项,以更高级的方式实现。