Grundsätzlich habe ich zwei Maschinen X und Y.
Ich möchte "http: // <IP-of-Y-Here> / AFolder /" von Maschine X auf HTTP-Port 80 mit ufw blockieren.
Trivial kann dies (schrecklich) mit ufw durch abgeschlossen werden:
sudo ufw deny out 80
Aber ist es möglich, etwas in der Art von:
ufw deny from (X IP ADDRESS) port 80 to (Y IP ADDRESS)/AFolder
Das wird meine Anforderungen erfüllen?
Antworten:
Nein, Sie können ufw nicht verwenden, um den Zugriff auf bestimmte Seiten eines Webservers zu blockieren, andere jedoch nicht.
ufw ist ein Frontend, iptablesdas die Netfilter- Firewall steuert , die in den Linux-Kernel integriert ist. Dies ist eine gewöhnliche Firewall. Sie können sie verwenden, um Pakete anhand ihrer Header zu filtern.
Eine IP-Adresse und ein Port sind in den Headern eines Pakets enthalten, das abgerufene Webdokument jedoch nicht. Stattdessen werden diese Informationen in den Körpern von Paketen übertragen, nachdem bereits eine Verbindung hergestellt wurde.
Wie Sie wahrscheinlich wissen, ist es möglich, den Zugriff auf bestimmte Websites zu blockieren (obwohl es normalerweise für jemanden ziemlich einfach ist, die Blockierung zu umgehen), und es gibt Dienstprogramme, die die Granularität bieten, um bestimmte Seiten zu blockieren und gleichzeitig den Zugriff auf andere Seiten auf der Website zu ermöglichen gleicher Server. Aber um das anzusprechen, was Sie gefragt haben: ufw wird dies nicht tun.
Sie können den Zugriff auf einen Port auf einem Server mit blockieren ufw. man ufwEs gibt eine ganze Reihe von Beispielen, aber wenn es aktiviert ist, sollte es so aussehen:
sudo ufw deny out to <<ip address>> port 80
Ich habe dies gerade gegen meinen eigenen Server getestet und es funktioniert. Denken Sie daran, dass Port 443 für SSL verwendet wird, sodass möglicherweise auch eine Blockierung erforderlich ist.
Denken Sie daran, dass dies den gesamten Port 80 auf diesem Server blockiert.
Wenn Sie mit dem Filtern nach Unterordnern beginnen möchten (einige Pfade zulassen, andere jedoch nicht), benötigen Sie etwas, das die Anforderungen überträgt. Eine Firewall betrachtet nicht den Inhalt, sondern die Verbindungen. Für eine Firewall ist eine Anforderung für / subfolder dieselbe wie eine Anforderung an / a-different-subfolder.
Was Sie also suchen, ist ein transparenter Proxy, mit dem Sie einen Teil Ihres Datenverkehrs vernichten können. Kindersicherungssoftware ist wahrscheinlich die beste Wahl für eine schnelle Einrichtung. So etwas war dansguardiansicherlich sehr beliebt und ich würde sagen, es ist eine Erkundung wert. Weitere Informationen finden Sie im Wiki: