Каков объем 'ufw', и ее неявные Отклоняют правило относительно моей сети?

Question 1

Неявное, отклоняют UFW только для того, когда люди соединяются с его IP-адресом или для целой сети? Я попробовал telnet к IP-адресу, и да отклонено, но когда я попробовал к telnet к другому IP в сети, он смог соединиться разве, он не должен быть отклонен также?

Question 2

На основе Ваших комментариев я думаю, что Вам не удалось понять что ufw и что объем покрытия для программных брандмауэров в отдельных системах.

Это - разбивка ситуации и обеспечивает понимание специфических особенностей ufw и правила о сети:

ufw будет только влиять на одну систему - система, на которой она включена. То есть Система Ubuntu № 1 (ради отслеживания) имеет ufw включенный с неявным отклоняют правило. Тот единственное влияние Система Ubuntu № 1 и замены значение по умолчанию "ПРИНИМАЕТ" правило, которое существует на базовом iptables/netfilter система (который ufw просто 'легок управлять' фронтэндом для).
Так как Система Ubuntu № 2 не имеет ufw включенный на нем, существует, не "отклоняют" правило о нем. С тех пор ufw нет ли, базовое iptables/netfilter система добирается, значение по умолчанию "ПРИНИМАЮТ" правило, которое помещается на месте на установке (ufw изменения те правила, и просто 'легки управлять' фронтэндом для тех).
Windows Firewall на Windows XP (если включено) сможет отклонить соединения с машиной Windows. Это не может влиять на другие системы в сети

Если Вы хотите, чтобы Система Ubuntu № 2 имела отклонять правило, установку ufw в той системе включите его, и затем неявные отклоняют правило, будет существовать.

Что Вы хотите, тем не менее, правило управления доступом всей сети, управляя тем, какой трафик разрешен между системами. Единственный способ достигнуть этого состоит в том, чтобы переместить брандмауэр и управления сетью к его собственному устройству, отдельную маршрутизацию обработки поля Ubuntu трафика между всеми системами в Вашей сети или аппаратный брандмауэр для достижения этого (такие как Cisco ASA или pfSense устройство).

Рассмотрите следующую сеть:

У меня есть локальная сеть, и существует маршрутизатор, обрабатывающий соединения из LAN к Интернету (или другие сети). Каждый компьютер имеет 192.168.252. XXX, со статическим обращением. Пять компьютеров находятся на том сегменте сети. Я хочу ограничить коммуникацию между машинами, чтобы быть ICMP PING пакеты только, и вводят то ограничение на все машины.

Мои опции для реализации следующие:

Установите программные брандмауэры на каждой машине и настройте программные брандмауэры для принятия только определенных типов трафика от других машин в сети к каждому компьютеру. Однако позвольте весь трафик между каждой системой и шлюзом/маршрутизатором.
Установите аппаратный брандмауэр, который удовлетворяет Вашим настройкам сети, чтобы заменить маршрутизатор и предоставить явное определение правила для разрешенного трафика интрасети (внутренний к определенной LAN) и межсетевого трафика (коммуникация между сетями, так вне Вашей LAN). Настройте следующим образом
- Настройте аппаратный брандмауэр для разрешения исходящий Интернету (правило, в основном говоря Что-либо Внутреннее-> Что-либо Не Внутреннее (НЕ 192.168.252.0/24) ПОЗВОЛЯЕТСЯ).
- Настройте аппаратный брандмауэр для самой LAN для ПОЗВОЛЕННОГО межсистемного трафика в этом случае ICMP только (правило, в основном говоря что-либо от 192.168.252.0/24 до 192.168.252.0/24, где протоколом является ICMP).
- Любые модели трафика, которые не соответствуют вышеупомянутым правилам, автоматически отклонены.
Замените маршрутизатор полем Ubuntu с достаточным количеством портов Ethernet для обеспечения достаточных соединений для сети и Беспроводной связи, если Вы нуждаетесь в нем, настраиваете его, чтобы сделать DHCP, NAT, и т.д., и настроить правила брандмауэра о поле Ubuntu для обработки трафика как внутри, так и снаружи сети (подобный предыдущему).

Для предоставления Вам другую точку зрения, тем не менее, которая управляет этим ответом моя сеть дома имеет много сегментов LAN (как VLAN или Виртуальная LAN). Я использую аппаратный брандмауэр (pfSense устройство, выход за 500$) для обработки VLAN в моей сети (DHCP, NAT к Интернету, и т.д.), а также правила общения между сегментами, которые ограничивают доступ. Машины, которые я активно использую, существуют на одном VLAN, тогда как машины ограниченного доступа существуют на отдельном VLAN и сетевом диапазоне. Коммуникация тем ограничивается правилом с обеих сторон, которое диктует то, что трафику разрешают передать между сегментами. По существу это - вторая опция сверху, реализованный намного более усовершенствованным способом.

Thomas Ward · Answer 1 · 1 August 2019 в 10:01

На основе Ваших комментариев я думаю, что Вам не удалось понять что ufw и что объем покрытия для программных брандмауэров в отдельных системах.

Это - разбивка ситуации и обеспечивает понимание специфических особенностей ufw и правила о сети:

ufw будет только влиять на одну систему - система, на которой она включена. То есть Система Ubuntu № 1 (ради отслеживания) имеет ufw включенный с неявным отклоняют правило. Тот единственное влияние Система Ubuntu № 1 и замены значение по умолчанию "ПРИНИМАЕТ" правило, которое существует на базовом iptables/netfilter система (который ufw просто 'легок управлять' фронтэндом для).
Так как Система Ubuntu № 2 не имеет ufw включенный на нем, существует, не "отклоняют" правило о нем. С тех пор ufw нет ли, базовое iptables/netfilter система добирается, значение по умолчанию "ПРИНИМАЮТ" правило, которое помещается на месте на установке (ufw изменения те правила, и просто 'легки управлять' фронтэндом для тех).
Windows Firewall на Windows XP (если включено) сможет отклонить соединения с машиной Windows. Это не может влиять на другие системы в сети

Если Вы хотите, чтобы Система Ubuntu № 2 имела отклонять правило, установку ufw в той системе включите его, и затем неявные отклоняют правило, будет существовать.

Что Вы хотите, тем не менее, правило управления доступом всей сети, управляя тем, какой трафик разрешен между системами. Единственный способ достигнуть этого состоит в том, чтобы переместить брандмауэр и управления сетью к его собственному устройству, отдельную маршрутизацию обработки поля Ubuntu трафика между всеми системами в Вашей сети или аппаратный брандмауэр для достижения этого (такие как Cisco ASA или pfSense устройство).

Рассмотрите следующую сеть:

У меня есть локальная сеть, и существует маршрутизатор, обрабатывающий соединения из LAN к Интернету (или другие сети). Каждый компьютер имеет 192.168.252. XXX, со статическим обращением. Пять компьютеров находятся на том сегменте сети. Я хочу ограничить коммуникацию между машинами, чтобы быть ICMP PING пакеты только, и вводят то ограничение на все машины.

Мои опции для реализации следующие:

Установите программные брандмауэры на каждой машине и настройте программные брандмауэры для принятия только определенных типов трафика от других машин в сети к каждому компьютеру. Однако позвольте весь трафик между каждой системой и шлюзом/маршрутизатором.
Установите аппаратный брандмауэр, который удовлетворяет Вашим настройкам сети, чтобы заменить маршрутизатор и предоставить явное определение правила для разрешенного трафика интрасети (внутренний к определенной LAN) и межсетевого трафика (коммуникация между сетями, так вне Вашей LAN). Настройте следующим образом
- Настройте аппаратный брандмауэр для разрешения исходящий Интернету (правило, в основном говоря Что-либо Внутреннее-> Что-либо Не Внутреннее (НЕ 192.168.252.0/24) ПОЗВОЛЯЕТСЯ).
- Настройте аппаратный брандмауэр для самой LAN для ПОЗВОЛЕННОГО межсистемного трафика в этом случае ICMP только (правило, в основном говоря что-либо от 192.168.252.0/24 до 192.168.252.0/24, где протоколом является ICMP).
- Любые модели трафика, которые не соответствуют вышеупомянутым правилам, автоматически отклонены.
Замените маршрутизатор полем Ubuntu с достаточным количеством портов Ethernet для обеспечения достаточных соединений для сети и Беспроводной связи, если Вы нуждаетесь в нем, настраиваете его, чтобы сделать DHCP, NAT, и т.д., и настроить правила брандмауэра о поле Ubuntu для обработки трафика как внутри, так и снаружи сети (подобный предыдущему).

Для предоставления Вам другую точку зрения, тем не менее, которая управляет этим ответом моя сеть дома имеет много сегментов LAN (как VLAN или Виртуальная LAN). Я использую аппаратный брандмауэр (pfSense устройство, выход за 500$) для обработки VLAN в моей сети (DHCP, NAT к Интернету, и т.д.), а также правила общения между сегментами, которые ограничивают доступ. Машины, которые я активно использую, существуют на одном VLAN, тогда как машины ограниченного доступа существуют на отдельном VLAN и сетевом диапазоне. Коммуникация тем ограничивается правилом с обеих сторон, которое диктует то, что трафику разрешают передать между сегментами. По существу это - вторая опция сверху, реализованный намного более усовершенствованным способом.

Каков объем 'ufw', и ее неявные Отклоняют правило относительно моей сети?

1 ответ

Другие вопросы по тегам:

Похожие вопросы: