У меня есть следующая установка отображения для ufw
:
Status: active
To Action From
-- ------ ----
443/tcp ALLOW Anywhere
80/tcp ALLOW Anywhere
36022 ALLOW Anywhere
8080/tcp ALLOW Anywhere
8443/tcp ALLOW Anywhere
443/tcp (v6) ALLOW Anywhere (v6)
80/tcp (v6) ALLOW Anywhere (v6)
36022 (v6) ALLOW Anywhere (v6)
8080/tcp (v6) ALLOW Anywhere (v6)
8443/tcp (v6) ALLOW Anywhere (v6)
Я только имею 8080
и 8443
откройтесь потому что мое выполнение приложения Движения оба 0.0.0.0:8080
и 0.0.0.0:8443
. К моему домену обращаются 80
и 443
и ufw
делает PREROUTING
к внутренним портам.
Это не серовато-синее беспокойство безопасности, но я хотел бы сделать https://example.com:8443
не публично видимый. Даже tho это совпадает с нормальным https://example.com
было бы хорошо просто сохранить 8080
и 8443
порты внутренне.
Я попробовал это за обоих 8080
и 8443
и на обоих 127.0.0.1
и 0.0.0.0
:
ufw allow from 127.0.0.1 proto tcp to any port 8443
.. но это, кажется, не работает. Веб-сайт затем испытывает таймаут на http://example.com
и https://example.com
.
Что я делаю неправильно?
Некоторое разъяснение. Все правила, что Вы перечислили, INPUT
. Когда Вы enable
Вы UFW
Вы также делаете enable
и
XXX@XXX:~$ sudo ls /etc/ufw/
after6.rules after.rules before6.rules before.rules ufw.conf user.rules
after.init applications.d before.init sysctl.conf user6.rules
И так далее...
Очень простой, возможно, глупый, объяснение обработки правил
before.rules
иначе PREROUTING
user.ruler
иначе INPUT
after.rules
- POSTRUTING
С перечисленными правилами Вы не применяете никого PREROUTING
IPTABLES
сделайте это на этом пути
Частный иначе не общедоступный адрес
10.0.0.0 - 10.255.255.255 | 10.0.0.0/8
172.16.0.0 - 172.31.255.255 | 172.16.0.0/12
192.168.0.0 - 192.168.255.255 | 192.168.0.0/16
Если Вы привычка предоставить доступ от этого адреса а не от общественности, создайте правила
ufw allow from 10.0.0.0/8 proto tcp to any port 8443
ufw allow from 10.0.0.0/8 proto tcp to any port 8080
ufw allow from 172.16.0.0/12 proto tcp to any port 8443
ufw allow from 172.16.0.0/12 proto tcp to any port 8080
ufw allow from 192.168.0.0/16 proto tcp to any port 8443
ufw allow from 192.168.0.0/16 proto tcp to any port 8080
ufw allow port 80
ufw allow port 443
Это управляет, позволит соединение от private network
на порте 8443
и 8080
и запретите доступа от public network
на этом порте, но позволяют 80
и 443
отовсюду. Private network
не направляются через Интернет, но он направляется в локальной сети.
UFW
allow
или deny
трафик на основе ip address
, protocol
или/и port
Если Вы находитесь позади некоторого маршрутизатора с nat
затем необходимо создать другое правило, которое маршрутизатор не делает туземный...
Возможно, я не понимаю Вас.
РЕДАКТИРОВАНИЕ 1
Возможно, лучше для предоставления доступа только от локальной сети на порте 8080
и 8443
ufw allow from XXX.XXX.XXX.XXX/YY proto tcp to any port 8443
ufw allow from XXX.XXX.XXX.XXX/YY proto tcp to any port 8080
XXX.XXX.XXX.XXX/YY - Вы локальная сеть
Еще одна вещь. Oreder линейки также важен
ufw отклоняют от первичного tcp ZZZ.ZZZ.ZZZ.ZZZ/XX до любого порта, который 8443 ufw позволяют 8443
Этот подшипник запрещает доступа только из сети ZZZ.ZZZ.ZZZ.ZZZ/XX на порте 8443
использование tcp
и позвольте из всей другой сети.