UFW 未过滤通过网桥路由的流量

UFW 未过滤通过网桥路由的流量

我遇到过这样一种情况:UFW 无法阻止来自 VPN 主机、通过 VPN 接口、然后通过网桥并最终到达虚拟机的数据包。我可以在虚拟机上配置另一个防火墙(我可能会这样做),但我想阻止 VPN 用户可以直接从主机访问的地方。我在以下“图表”中表示了我想要实现的目标:

图表

这是我的 UFW 配置的实际状态:

To                         Action      From
--                         ------      ----
<public_ip> 51821/udp      ALLOW       Anywhere
<public_ip> 51820/udp      ALLOW       Anywhere
10.0.0.10 7443             ALLOW       10.0.11.0/24
Anywhere                   DENY        10.0.11.0/24
Anywhere                   ALLOW       10.0.10.0/24
<public_ip> 22/tcp         DENY        Anywhere
<public_ip> 8006/tcp      DENY        Anywhere

Anywhere                   DENY FWD    10.0.11.0/24 on wg1
Anywhere (v6) on eth0      ALLOW FWD   Anywhere (v6) on vmbr0

预期的行为是,我可以从子网 10.0.11.0/24 连接到 10.0.0.10:7443,而通过允许该 ip:port 并拒绝所有其余部分(ufw 条目 3 和 4),则不能连接到其他任何地方,但我仍然可以从 10.0.11.2 之类的 IP 连接到 10.0.0.10:22(ssh)

在端口 8006 和 7443 的应用程序服务中已经应用了一些“拒绝”,它们分别仅允许来自 10.0.10.0/24 和 10.0.0.0/16 的连接。

相关内容