我在 Ubuntu 16.04 主机上运行 ufw,充当 Internet 和 LAN 之间的路由器。 (我使用 ufw 而不是原始 iptables,因为手动解锁足够的 ICMPv6 以使 IPv6 正常工作太混乱了。)
看来,拒绝 WAN 接口上的传入流量的 ufw 规则不会影响发往路由器本身以外的主机的流量。例如,ufw deny in on $WAN_INTERFACE to any proto tcp($WAN_INTERFACE显然代表路由器的 WAN 接口)不会阻止到 LAN 上非路由器主机的传入 TCP 连接。 (LAN 主机具有全局 IPv6 地址,因此它们是可寻址的。ufw 报告已添加 IPv6 规则。)
如何使用 ufw 默认阻止 WAN 接口上的传入 TCP 连接(无论目标主机如何)以及阻止 WAN 接口上的传入特权端口 UDP 连接(无论目标主机如何)? (我想允许 WebRTC 的上层 UDP 端口。)
答案1
事实证明,route需要关键字来制定适用于转发的规则。因此:ufw route deny in on $WAN_INTERFACE to any proto tcp