Неявное, отклоняют UFW только для того, когда люди соединяются с его IP-адресом или для целой сети? Я попробовал telnet к IP-адресу, и да отклонено, но когда я попробовал к telnet к другому IP в сети, он смог соединиться разве, он не должен быть отклонен также?
На основе Ваших комментариев я думаю, что Вам не удалось понять что ufw
и что объем покрытия для программных брандмауэров в отдельных системах.
Это - разбивка ситуации и обеспечивает понимание специфических особенностей ufw
и правила о сети:
ufw
будет только влиять на одну систему - система, на которой она включена. То есть Система Ubuntu № 1 (ради отслеживания) имеет ufw
включенный с неявным отклоняют правило. Тот единственное влияние Система Ubuntu № 1 и замены значение по умолчанию "ПРИНИМАЕТ" правило, которое существует на базовом iptables
/netfilter
система (который ufw
просто 'легок управлять' фронтэндом для).ufw
включенный на нем, существует, не "отклоняют" правило о нем. С тех пор ufw
нет ли, базовое iptables
/netfilter
система добирается, значение по умолчанию "ПРИНИМАЮТ" правило, которое помещается на месте на установке (ufw
изменения те правила, и просто 'легки управлять' фронтэндом для тех).Если Вы хотите, чтобы Система Ubuntu № 2 имела отклонять правило, установку ufw
в той системе включите его, и затем неявные отклоняют правило, будет существовать.
Что Вы хотите, тем не менее, правило управления доступом всей сети, управляя тем, какой трафик разрешен между системами. Единственный способ достигнуть этого состоит в том, чтобы переместить брандмауэр и управления сетью к его собственному устройству, отдельную маршрутизацию обработки поля Ubuntu трафика между всеми системами в Вашей сети или аппаратный брандмауэр для достижения этого (такие как Cisco ASA или pfSense устройство).
Рассмотрите следующую сеть:
У меня есть локальная сеть, и существует маршрутизатор, обрабатывающий соединения из LAN к Интернету (или другие сети). Каждый компьютер имеет 192.168.252. XXX, со статическим обращением. Пять компьютеров находятся на том сегменте сети. Я хочу ограничить коммуникацию между машинами, чтобы быть ICMP PING
пакеты только, и вводят то ограничение на все машины.
Мои опции для реализации следующие:
Установите программные брандмауэры на каждой машине и настройте программные брандмауэры для принятия только определенных типов трафика от других машин в сети к каждому компьютеру. Однако позвольте весь трафик между каждой системой и шлюзом/маршрутизатором.
Установите аппаратный брандмауэр, который удовлетворяет Вашим настройкам сети, чтобы заменить маршрутизатор и предоставить явное определение правила для разрешенного трафика интрасети (внутренний к определенной LAN) и межсетевого трафика (коммуникация между сетями, так вне Вашей LAN). Настройте следующим образом
Замените маршрутизатор полем Ubuntu с достаточным количеством портов Ethernet для обеспечения достаточных соединений для сети и Беспроводной связи, если Вы нуждаетесь в нем, настраиваете его, чтобы сделать DHCP, NAT, и т.д., и настроить правила брандмауэра о поле Ubuntu для обработки трафика как внутри, так и снаружи сети (подобный предыдущему).
Для предоставления Вам другую точку зрения, тем не менее, которая управляет этим ответом моя сеть дома имеет много сегментов LAN (как VLAN или Виртуальная LAN). Я использую аппаратный брандмауэр (pfSense устройство, выход за 500$) для обработки VLAN в моей сети (DHCP, NAT к Интернету, и т.д.), а также правила общения между сегментами, которые ограничивают доступ. Машины, которые я активно использую, существуют на одном VLAN, тогда как машины ограниченного доступа существуют на отдельном VLAN и сетевом диапазоне. Коммуникация тем ограничивается правилом с обеих сторон, которое диктует то, что трафику разрешают передать между сегментами. По существу это - вторая опция сверху, реализованный намного более усовершенствованным способом.