我在端口 1339 上运行一项服务。是否可以拒绝来自本地主机对此端口的请求?目前,我有一个 ufw 规则,允许来自指定 IP 的请求,但本地主机也可以访问该端口。我不希望登录到服务器的用户使用 curl 或 wget 访问该 URL,该端口只能从指定 IP 访问。这可能吗?
答案1
我想这应该是可能的,例如:
ufw deny from 127.0.0.1 to any port 1339
根据 ufw 语法,这就是您在特定 IP 上阻止特定端口的方法。
答案2
据我尝试,使用 ufw 是不可能的。
ufw 将用户定义的规则存储到单独的 iptables 链中(ufw-用户输入用于 INPUT 链等等)。
不幸的是,如果你检查 INPUT 链,ufw-用户输入子链是最后一个。第一个叫做ufw-输入前并包含接受所有本地主机通信的规则。由于这一点,iptables 永远不会到达您的本地主机规则,如果在ufw-用户输入。
最后,我通过将该规则作为 INPUT 链中的第一条规则直接插入来禁用本地主机通信。这可以通过以下方式完成:
sudo iptables -I INPUT -p tcp -i lo --dport 5702 -j DROP
这将丢弃所有进入本地主机 TCP 端口 5702 的数据包。
如果要检查 iptables 中的所有链,请使用:
sudo iptables -nvL