ufw правило брандмауэра, вопрос начинающего

Question 1

Глядя на скрипт, ничего особо не устанавливается, пока вы не запустите apt-get install nodejs.

PRE_INSTALL_PKGS=""

if [ ! -e /usr/lib/apt/methods/https ]; then
    PRE_INSTALL_PKGS="${PRE_INSTALL_PKGS} apt-transport-https"
fi

if [ ! -x /usr/bin/lsb_release ]; then
    PRE_INSTALL_PKGS="${PRE_INSTALL_PKGS} lsb-release"
fi

if [ ! -x /usr/bin/curl ] && [ ! -x /usr/bin/wget ]; then
    PRE_INSTALL_PKGS="${PRE_INSTALL_PKGS} curl"
fi

Ничего страшного в этом. Затем, когда скрипт продолжается, он добавляет PPA.

exec_cmd "echo 'deb https://deb.nodesource.com/node_4.x ${DISTRO} main' > /etc/apt/sources.list.d/nodesource.list"
exec_cmd "echo 'deb-src https://deb.nodesource.com/node_4.x ${DISTRO} main' >> /etc/apt/sources.list.d/nodesource.list"

Я бы удалил nodeource.list из apt / sources.list.d /

sudo rm /etc/sources.list.d/nodesource.list

Тогда apt-get update

sudo apt-get update

Question 2

Позвольте мне занять немного более техническую сторону. Считайте, что ufw является просто удобной для пользователя (ish) интерфейсом к базовой системе netfilter / iptables, встроенной в ядро.

Это дает нам возможность прочитать ваши правила в iptables.

Ваше первое правило было бы следующим:

iptables -A INPUT -p tcp --dport 80 -s 95.95.95.95 -j ACCEPT

Второе правило будет следующим:

iptables -A INPUT -p tcp --dport 80 -s 95.95.95.95 -d 207.15.15.15 -j ACCEPT

По своей сути, хотя оба они принимают порт 80 по протоколу TCP от 95.95.95.95. Единственное различие заключается в том, что вы указываете IP-адрес назначения в фильтре.

Если ваша система имеет только один IP-адрес, открытый для вас, и ваша система не находится за маршрутизатором или NAT, тогда правила идентичны. То есть, если ваш IP-адрес 207.15.15.15 остается неизменным все время. Если IP-адрес изменяется, то второе введенное вами правило больше не будет работать должным образом.

Однако, если ваша система находится за NAT, тогда вы не должны использовать второй метод, который обозначает целевой IP-адрес, потому что ваша система NAT'd не будет правильно читать пакеты таким образом, чтобы они соответствовали правилу «ACCEPT». В этом случае вы должны использовать только первый. (Поскольку NAT переписывает адресата пакета на внутренний IP-адрес, поэтому вместо 207.15.15.15 ваша система увидит, например, место назначения 192.168.6.6, поэтому добавленное дополнительное добавление «адресата» предотвратит ACCEPT пакета .)

По сути, если вы не используете несколько IP-адресов и разные службы для каждого с разными портами и наборами правил, вам не нужно указывать IP-адрес назначения в вашем ufw правиле с частью to 207.15.15.15.

Question 3

Question 4

Позвольте мне занять немного более техническую сторону. Считайте, что ufw является просто удобной для пользователя (ish) интерфейсом к базовой системе netfilter / iptables, встроенной в ядро.

Это дает нам возможность прочитать ваши правила в iptables.

Ваше первое правило было бы следующим:

iptables -A INPUT -p tcp --dport 80 -s 95.95.95.95 -j ACCEPT

Второе правило будет следующим:

iptables -A INPUT -p tcp --dport 80 -s 95.95.95.95 -d 207.15.15.15 -j ACCEPT

По своей сути, хотя оба они принимают порт 80 по протоколу TCP от 95.95.95.95. Единственное различие заключается в том, что вы указываете IP-адрес назначения в фильтре.

Если ваша система имеет только один IP-адрес, открытый для вас, и ваша система не находится за маршрутизатором или NAT, тогда правила идентичны. То есть, если ваш IP-адрес 207.15.15.15 остается неизменным все время. Если IP-адрес изменяется, то второе введенное вами правило больше не будет работать должным образом.

Однако, если ваша система находится за NAT, тогда вы не должны использовать второй метод, который обозначает целевой IP-адрес, потому что ваша система NAT'd не будет правильно читать пакеты таким образом, чтобы они соответствовали правилу «ACCEPT». В этом случае вы должны использовать только первый. (Поскольку NAT переписывает адресата пакета на внутренний IP-адрес, поэтому вместо 207.15.15.15 ваша система увидит, например, место назначения 192.168.6.6, поэтому добавленное дополнительное добавление «адресата» предотвратит ACCEPT пакета .)

По сути, если вы не используете несколько IP-адресов и разные службы для каждого с разными портами и наборами правил, вам не нужно указывать IP-адрес назначения в вашем ufw правиле с частью to 207.15.15.15.

Thomas Ward · Answer 1 · 17 July 2018 в 22:56

Позвольте мне занять немного более техническую сторону. Считайте, что ufw является просто удобной для пользователя (ish) интерфейсом к базовой системе netfilter / iptables, встроенной в ядро.

Это дает нам возможность прочитать ваши правила в iptables.

Ваше первое правило было бы следующим:

iptables -A INPUT -p tcp --dport 80 -s 95.95.95.95 -j ACCEPT

Второе правило будет следующим:

iptables -A INPUT -p tcp --dport 80 -s 95.95.95.95 -d 207.15.15.15 -j ACCEPT

По своей сути, хотя оба они принимают порт 80 по протоколу TCP от 95.95.95.95. Единственное различие заключается в том, что вы указываете IP-адрес назначения в фильтре.

Если ваша система имеет только один IP-адрес, открытый для вас, и ваша система не находится за маршрутизатором или NAT, тогда правила идентичны. То есть, если ваш IP-адрес 207.15.15.15 остается неизменным все время. Если IP-адрес изменяется, то второе введенное вами правило больше не будет работать должным образом.

Однако, если ваша система находится за NAT, тогда вы не должны использовать второй метод, который обозначает целевой IP-адрес, потому что ваша система NAT'd не будет правильно читать пакеты таким образом, чтобы они соответствовали правилу «ACCEPT». В этом случае вы должны использовать только первый. (Поскольку NAT переписывает адресата пакета на внутренний IP-адрес, поэтому вместо 207.15.15.15 ваша система увидит, например, место назначения 192.168.6.6, поэтому добавленное дополнительное добавление «адресата» предотвратит ACCEPT пакета .)

По сути, если вы не используете несколько IP-адресов и разные службы для каждого с разными портами и наборами правил, вам не нужно указывать IP-адрес назначения в вашем ufw правиле с частью to 207.15.15.15.

Thomas Ward · Answer 2 · 24 July 2018 в 13:31

Позвольте мне занять немного более техническую сторону. Считайте, что ufw является просто удобной для пользователя (ish) интерфейсом к базовой системе netfilter / iptables, встроенной в ядро.

Это дает нам возможность прочитать ваши правила в iptables.

Ваше первое правило было бы следующим:

iptables -A INPUT -p tcp --dport 80 -s 95.95.95.95 -j ACCEPT

Второе правило будет следующим:

iptables -A INPUT -p tcp --dport 80 -s 95.95.95.95 -d 207.15.15.15 -j ACCEPT

По своей сути, хотя оба они принимают порт 80 по протоколу TCP от 95.95.95.95. Единственное различие заключается в том, что вы указываете IP-адрес назначения в фильтре.

Если ваша система имеет только один IP-адрес, открытый для вас, и ваша система не находится за маршрутизатором или NAT, тогда правила идентичны. То есть, если ваш IP-адрес 207.15.15.15 остается неизменным все время. Если IP-адрес изменяется, то второе введенное вами правило больше не будет работать должным образом.

Однако, если ваша система находится за NAT, тогда вы не должны использовать второй метод, который обозначает целевой IP-адрес, потому что ваша система NAT'd не будет правильно читать пакеты таким образом, чтобы они соответствовали правилу «ACCEPT». В этом случае вы должны использовать только первый. (Поскольку NAT переписывает адресата пакета на внутренний IP-адрес, поэтому вместо 207.15.15.15 ваша система увидит, например, место назначения 192.168.6.6, поэтому добавленное дополнительное добавление «адресата» предотвратит ACCEPT пакета .)

По сути, если вы не используете несколько IP-адресов и разные службы для каждого с разными портами и наборами правил, вам не нужно указывать IP-адрес назначения в вашем ufw правиле с частью to 207.15.15.15.

ufw правило брандмауэра, вопрос начинающего

2 ответа

Другие вопросы по тегам:

Похожие вопросы: