我遇到过这样一种情况:UFW 无法阻止来自 VPN 主机、通过 VPN 接口、然后通过网桥并最终到达虚拟机的数据包。我可以在虚拟机上配置另一个防火墙(我可能会这样做),但我想阻止 VPN 用户可以直接从主机访问的地方。我在以下“图表”中表示了我想要实现的目标:
这是我的 UFW 配置的实际状态:
To Action From
-- ------ ----
<public_ip> 51821/udp ALLOW Anywhere
<public_ip> 51820/udp ALLOW Anywhere
10.0.0.10 7443 ALLOW 10.0.11.0/24
Anywhere DENY 10.0.11.0/24
Anywhere ALLOW 10.0.10.0/24
<public_ip> 22/tcp DENY Anywhere
<public_ip> 8006/tcp DENY Anywhere
Anywhere DENY FWD 10.0.11.0/24 on wg1
Anywhere (v6) on eth0 ALLOW FWD Anywhere (v6) on vmbr0
预期的行为是,我可以从子网 10.0.11.0/24 连接到 10.0.0.10:7443,而通过允许该 ip:port 并拒绝所有其余部分(ufw 条目 3 和 4),则不能连接到其他任何地方,但我仍然可以从 10.0.11.2 之类的 IP 连接到 10.0.0.10:22(ssh)
在端口 8006 和 7443 的应用程序服务中已经应用了一些“拒绝”,它们分别仅允许来自 10.0.10.0/24 和 10.0.0.0/16 的连接。