UFW Netz einschränken › Fortgeschrittene Netzwerkkonfiguration › Fortgeschrittene Themen › Forum › staging.inyokaproject.org

UFW Netz einschränken

« Vorherige1Nächste »

Status: Ungelöst | Ubuntu-Version: Server 22.04 (Jammy Jellyfish)
Antworten |

Fohnbit Anmeldungsdatum: 31. August 2013 Beiträge: 179	Zitieren 31. Oktober 2023 09:45 (zuletzt bearbeitet: 31. Oktober 2023 09:50) Hallo! Kann ich die UFW Firewall so setzen, das für das Netz: 10.11.0.0/16 folgendes gilt? jeder Client darf nur mit IP 10.11.0.1 kommunizieren 2. außer Clients 10.11.0.2 und 10.11.0.6 dürfen mit allen kommunizieren Falls das möglich ist, wie erreiche ich das? Danke!
lubux Anmeldungsdatum: 21. November 2012 Beiträge: 14402	Zitieren 31. Oktober 2023 09:58 Was genau meinst Du mit: Fohnbit schrieb: 2. außer Clients 10.11.0.2 und 10.11.0.6 dürfen mit allen kommunizieren ?
Fohnbit (Themenstarter) Anmeldungsdatum: 31. August 2013 Beiträge: 179	Zitieren 31. Oktober 2023 09:59 (zuletzt bearbeitet: 31. Oktober 2023 10:02) hmmm .. das scheint zu passen? [23] 10.11.0.1 ALLOW IN 10.11.0.0/16 [24] Anywhere ALLOW IN 10.11.0.1 [25] Anywhere DENY IN 10.11.0.0/16 23: zuerst jedem vom Netz 10.11.0./16 nach 10.11.0.1 zulassen 24: dann 10.11.0.1 nach überall zulassen (die 2 Clients müssen dann da auch noch rein) 25: danach jeden von 10.11.0.0/16 blocken
Fohnbit (Themenstarter) Anmeldungsdatum: 31. August 2013 Beiträge: 179	Zitieren 31. Oktober 2023 10:00 lubux schrieb: Was genau meinst Du mit: Fohnbit schrieb: 2. außer Clients 10.11.0.2 und 10.11.0.6 dürfen mit allen kommunizieren ? Diese 2 Clients dürfen mit jedem in Netz kommunizieren. Genauso wie der Server auf 10.11.0.1
lubux Anmeldungsdatum: 21. November 2012 Beiträge: 14402	Zitieren 31. Oktober 2023 10:08 Fohnbit schrieb: Diese 2 Clients dürfen mit jedem in Netz kommunizieren. Fungiert dein Server auch als Router? ... weil Du Netz schreibst. Geht der gesamte Traffic zwischen den Clients im Netz, über deinen Server?
Fohnbit (Themenstarter) Anmeldungsdatum: 31. August 2013 Beiträge: 179	Zitieren 31. Oktober 2023 10:16 (zuletzt bearbeitet: 31. Oktober 2023 10:17) Der Server hat einen HAProxy. Der HAProxy hat demnach auch 10.11.0.1, oder nicht? Das 10.11.0.0/16 ist ein Wireguard VPN Netz. Verbindungsaufbau kommt ausschließlich vom HAProxy ins 10.11.0.0/16. Dachte das klappt, aber 10.11.0.2 kann 10.11.0.6 pingen: 23] 10.11.0.1 ALLOW IN 10.11.0.0/16 [24] Anywhere ALLOW IN 10.11.0.1 [25] 10.11.0.0/16 ALLOW IN 10.11.0.5 [26] 10.11.0.0/16 ALLOW IN 10.11.0.4 [27] Anywhere DENY IN 10.11.0.0/16 Sollte ^[27] nicht jeglichen Traffic der noch "übrig" bleibt, blocken?
lubux Anmeldungsdatum: 21. November 2012 Beiträge: 14402	Zitieren 31. Oktober 2023 10:19 Fohnbit schrieb: Der Server hat einen HAProxy. Mit HAProxy kenne ich mich nicht aus bzw. habe ich nie benutzt.
Fohnbit (Themenstarter) Anmeldungsdatum: 31. August 2013 Beiträge: 179	Zitieren 31. Oktober 2023 10:22 lubux schrieb: Fohnbit schrieb: Der Server hat einen HAProxy. Mit HAProxy kenne ich mich nicht aus bzw. habe ich nie benutzt. Kein Problem. Es geht hier eh um die UFW. Aber meine Konfig passt noch nicht
lubux Anmeldungsdatum: 21. November 2012 Beiträge: 14402	Zitieren 31. Oktober 2023 11:06 Fohnbit schrieb: Dachte das klappt, aber 10.11.0.2 kann 10.11.0.6 pingen: Wenn der Traffic zwischen .2 und .6 über den Server geht, dann musst Du den in der FORWARD chain blocken. Teste mal mit: sudo iptables -I FORWARD 1 -p icmp -s 19.11.0.2 -d 10.11.0.6 -j REJECT danach den Ping machen und nach dem Ping: sudo iptables -nvx -L FORWARD anschauen. Die Regel löschen mit: sudo iptables -D FORWARD 1

« Vorherige1Nächste »

Antworten |

« Vorheriges Thema Nächstes Thema »