UFW правила брандмауэра, вопрос для начинающих

Позвольте мне принять немного более техническую сторону к этому. Учтите, что ufw - это просто дружественный интерфейс пользователя (ish) для базовой системы netfilter / iptables, встроенной в ядро.

Имея это в виду, давайте прочитаем ваши правила в перспективе iptables.

Ваше первое правило будет таким:

iptables -A INPUT -p tcp --dport 80 -s 95.95.95.95 -j ACCEPT

Ваше второе правило будет таким:

iptables -A INPUT -p tcp --dport 80 -s 95.95.95.95 -d 207.15.15.15 -j ACCEPT

По своей сути, они оба принимают порт 80 по протоколу TCP от 95,95,95,95. Разница лишь в том, что вы указываете IP-адрес назначения в фильтре.

Если ваша система имеет только один IP-адрес, который является общедоступным, и ваша система не находится за маршрутизатором или NAT, то правила идентичны. То есть, если ваш IP-адрес 207.15.15.15 остается неизменным все время. Если IP-адрес изменится, второе введенное вами правило больше не будет работать должным образом.

Однако, если ваша система отстает от NAT, то вы не должны использовать второй метод, который обозначает целевой IP-адрес, потому что ваша система NAT не будет правильно читать пакеты таким образом, чтобы это будет соответствовать правилу «ПРИНЯТЬ». В этом случае вы должны использовать только первый. (Поскольку NAT переписывает адрес назначения пакета на внутренний IP-адрес, вместо 207.15.15.15 ваша система увидит, например, пункт назначения 192.168.6.6, поэтому добавленное вами дополнительное «назначение» не позволит ПРИНЯТЬ пакет .)

По сути, если вы не используете несколько IP-адресов и разные сервисы на каждом с разными портами и наборами правил, вам на самом деле не нужно указывать «целевой» IP-адрес в вашем правиле ufw с помощью to 207.15.15.15 часть.