我使用 targetcli 设置了 iSCSI 目标。我想传递除少数 IP 之外的所有连接来访问目标存储。我是这样做的,如下所示:
ufw allow 3260/tcp
ufw deny from 192.168.0.112 to any port 3260 proto tcp
ufw deny from 192.168.0.200 to any port 3260 proto tcp
但我发现建立规则后仍然允许连接。阻止它们之间流量的唯一措施是:
ufw deny 3260/tcp
ufw有什么办法禁止某些IP的流量吗?
答案1
首先,我执行“ufw默认拒绝传入;ufw默认允许传出”,然后执行“ufw允许3260/tcp;ufw拒绝从192.168.0.112到任何端口3260 proto tcp;ufw拒绝从192.168.0.200到任何端口3260 proto tcp”。但这没有用。这种情况适用于各种服务。所以,我跳过了第二步“ufw允许3260/tcp”,并为我允许它进入的IP地址添加“ufw允许来自IP”规则。然后它就起作用了。这也适用于其他服务。因此,我得出的结论是 ufw 或 iptalbe 不允许超过两阶段的规则,这可能会相互冲突。尽管这是符合逻辑的。