Позвольте ufw порты для PREROUTING, но не публично видимые
У меня есть следующая установка отображения для ufw:
Status: active
To Action From
-- ------ ----
443/tcp ALLOW Anywhere
80/tcp ALLOW Anywhere
36022 ALLOW Anywhere
8080/tcp ALLOW Anywhere
8443/tcp ALLOW Anywhere
443/tcp (v6) ALLOW Anywhere (v6)
80/tcp (v6) ALLOW Anywhere (v6)
36022 (v6) ALLOW Anywhere (v6)
8080/tcp (v6) ALLOW Anywhere (v6)
8443/tcp (v6) ALLOW Anywhere (v6)
Я только имею 8080 и 8443 откройтесь потому что мое выполнение приложения Движения оба 0.0.0.0:8080 и 0.0.0.0:8443. К моему домену обращаются 80 и 443 и ufw делает PREROUTING к внутренним портам.
Это не серовато-синее беспокойство безопасности, но я хотел бы сделать https://example.com:8443 не публично видимый. Даже tho это совпадает с нормальным https://example.com было бы хорошо просто сохранить 8080 и 8443 порты внутренне.
Я попробовал это за обоих 8080 и 8443 и на обоих 127.0.0.1 и 0.0.0.0:
ufw allow from 127.0.0.1 proto tcp to any port 8443
.. но это, кажется, не работает. Веб-сайт затем испытывает таймаут на http://example.com и https://example.com.
Что я делаю неправильно?
1 ответ
Некоторое разъяснение. Все правила, что Вы перечислили, INPUT. Когда Вы enable Вы UFW Вы также делаете enable и
XXX@XXX:~$ sudo ls /etc/ufw/
after6.rules after.rules before6.rules before.rules ufw.conf user.rules
after.init applications.d before.init sysctl.conf user6.rules
И так далее...
Очень простой, возможно, глупый, объяснение обработки правил
- пакет com для взаимодействия через интерфейс
- применение
before.rulesиначеPREROUTING - применение
user.rulerиначеINPUT - применение
after.rules-POSTRUTING - ...
С перечисленными правилами Вы не применяете никого PREROUTING
IPTABLES сделайте это на этом пути
Частный иначе не общедоступный адрес
10.0.0.0 - 10.255.255.255 | 10.0.0.0/8
172.16.0.0 - 172.31.255.255 | 172.16.0.0/12
192.168.0.0 - 192.168.255.255 | 192.168.0.0/16
Если Вы привычка предоставить доступ от этого адреса а не от общественности, создайте правила
ufw allow from 10.0.0.0/8 proto tcp to any port 8443
ufw allow from 10.0.0.0/8 proto tcp to any port 8080
ufw allow from 172.16.0.0/12 proto tcp to any port 8443
ufw allow from 172.16.0.0/12 proto tcp to any port 8080
ufw allow from 192.168.0.0/16 proto tcp to any port 8443
ufw allow from 192.168.0.0/16 proto tcp to any port 8080
ufw allow port 80
ufw allow port 443
Это управляет, позволит соединение от private network на порте 8443 и 8080и запретите доступа от public networkна этом порте, но позволяют 80 и 443 отовсюду. Private network не направляются через Интернет, но он направляется в локальной сети.
UFW allow или deny трафик на основе ip address, protocol или/и port
Если Вы находитесь позади некоторого маршрутизатора с nat затем необходимо создать другое правило, которое маршрутизатор не делает туземный...
Возможно, я не понимаю Вас.
РЕДАКТИРОВАНИЕ 1
Возможно, лучше для предоставления доступа только от локальной сети на порте 8080 и 8443
ufw allow from XXX.XXX.XXX.XXX/YY proto tcp to any port 8443
ufw allow from XXX.XXX.XXX.XXX/YY proto tcp to any port 8080
XXX.XXX.XXX.XXX/YY - Вы локальная сеть
Еще одна вещь. Oreder линейки также важен
ufw отклоняют от первичного tcp ZZZ.ZZZ.ZZZ.ZZZ/XX до любого порта, который 8443 ufw позволяют 8443
Этот подшипник запрещает доступа только из сети ZZZ.ZZZ.ZZZ.ZZZ/XX на порте 8443 использование tcp и позвольте из всей другой сети.