в основном у меня есть две машины X и Y.
Я хочу заблокировать «http: // < IP-of-Y-Here > / AFolder /» с машины X через порт HTTP 80, используя ufw.
Тривиально, это может быть выполнено (ужасно), используя ufw через:
sudo ufw deny out 80
Но возможно ли сделать что-то вроде: 111]
Что удовлетворит мои требования?
Нет, вы не можете использовать UFW для блокировки доступа к некоторым конкретным страницам на веб-сервере, но не к другим.
ufw является интерфейсом для iptables
, который управляет межсетевым экраном netfilter , встроенным в ядро Linux. Это обычный брандмауэр - вы можете использовать его для фильтрации пакетов по их заголовкам.
IP-адрес и порт включены в заголовки пакета, но какой веб-документ извлекается не является. Вместо этого эта информация передается в теле пакетов после того, как соединение уже установлено.
Как вы, наверное, знаете, можно заблокировать доступ к определенным веб-сайтам (хотя обычно это довольно легко обойти), и есть утилиты, которые обеспечивают гранулярность, чтобы блокировать определенные страницы, одновременно предоставляя доступ к другим страницы на одном сервере. Но чтобы ответить на то, что вы спросили: UFW не будет этого делать.
Вы можете заблокировать доступ к порту на сервере с помощью ufw
. man ufw
имеет целый ряд примеров, но при условии, что он включен, это должно быть так:
sudo ufw deny out to <<ip address>> port 80
Я только что проверил это на своем собственном сервере, и он работает. Помните, что порт 443 используется для SSL, поэтому может потребоваться и блокировка.
Помните, это блокирует весь порт 80 на этом сервере.
Если вы хотите начать фильтрацию по подпапкам (допуская некоторые пути, но не другие), вам понадобится что-то, что проксирует запросы. Брандмауэр не смотрит на контент, он смотрит на соединения. Для брандмауэра запрос / подпапки такой же, как запрос к /a-different-subfolder.
Итак, вы ищете прозрачный прокси-сервер, который вы можете использовать для ограничения трафика. Программное обеспечение для родительского контроля, вероятно, является лучшим выбором для быстрой настройки. Нечто подобное dansguardian
, безусловно, было популярно, и я бы сказал, что оно требует исследований. Более подробная информация доступна в вики: