У меня есть несколько пользователей sudo на Ubuntu 16 PC. UFW отключен на этом компьютере сейчас. Мне нужно включить UFW для sudouser1
. Мне нужно сделать следующую конфигурацию:
1) разрешить все и любые входящие и исходящие соединения только из подсети (например, 123.44. . ), но для всех портов и протоколов
2a) разрешить исходящие все и любые соединения только с указанным IP-адресом вне подсети
ИЛИ
2b) запретить ЛЮБЫЕ соединения с указанным IP-адресом
Я пробую это, но кажется я абсолютно дурак Это вообще возможно?
Мне это нужно не по соображениям безопасности, так как (благодаря Чарльзу Грину) пользователь sudo может просто отключить UFW. Мне это нужно для нескольких программ, которые работают на этом компьютере. Если это невозможно сделать для одного пользователя, хорошо, я готов сделать это для всех.
После моих экспериментов у меня есть:
CMT:~$ sudo ufw status
Status: active
To Action From
-- ------ ----
Anywhere ALLOW Anywhere
Anywhere DENY 21.110.11.57
21.110.11.57 DENY Anywhere
Anywhere DENY 21.110.0.0/16
21.110.0.0/16 DENY Anywhere
Anywhere (v6) ALLOW Anywhere (v6)
Но команда: netstat -nputw
вывод:
(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 1.1.1.1:1234 21.110.11.57 ESTABLISHED
Что не так?
Частично из: IP-адреса белого списка для ufw
1) Разрешить все подключения с IP-адресов
ufw allow from 10.10.0.1/16
заменить на любую подсеть / IP-адрес, который вы хотите
2b) блокировать входящий трафик с IP
ufw deny from 10.10.0.1/16
заменить на любой IP / подсеть, который вы хотите
Для исходящего трафика, отметьте , используя ufw, чтобы заблокировать исходящий трафик на сайт
Упрощенно:
ufw deny out from any to 10.10.0.1
или, чтобы выпустить
ufw allow out from any to 10.10.0.1