Возможно ли заблокировать веб-страницу с помощью ufw?

7

в основном у меня две машины X и Y.

Я хочу заблокировать «http: // < IP-of-Y-Here > / AFolder /» из машины X на HTTP-порту 80, используя ufw.

Тривиально, это может быть завершено (ужасно) с помощью ufw через:

sudo ufw deny out 80

Но возможно ли что-то сделать по строкам:

ufw deny from (X IP ADDRESS) port 80 to (Y IP ADDRESS)/AFolder

Это удовлетворит мои требования?

    
задан Ed George 19.03.2013 в 16:07
источник

2 ответа

6

Нет, вы не можете использовать ufw для блокировки доступа к определенным страницам на веб-сервере, но не для других.

ufw является интерфейсом для iptables , который управляет netfilter , который встроен в ядро Linux. Это обычный брандмауэр - вы можете использовать его для фильтрации пакетов на основе своих заголовков.

IP-адрес и порт включены в заголовки пакета, но , который извлекается веб-документ , нет. Вместо этого эта информация передается в телах пакетов после того, как соединение уже установлено.

Как вы, вероятно, знаете, можно заблокировать доступ к определенным веб-сайтам (хотя для кого-то это довольно легко обойти блок), и есть утилиты, которые обеспечивают детализацию для блокировки определенных страниц, позволяя при этом доступ к другим страниц на одном сервере. Но для решения того, что вы просили: ufw этого не сделает.

    
ответ дан Eliah Kagan 19.03.2013 в 16:19
источник
5

Вы можете заблокировать доступ к порту на сервере с ufw . man ufw имеет целый ряд примеров, но при условии, что он включен, он должен выглядеть следующим образом:

sudo ufw deny out to <<ip address>> port 80

Я только что протестировал это на своем собственном сервере, и он работает. Помните, что порт 443 используется для SSL, поэтому может потребоваться блокировка.

Помните, что это блокирует весь порт 80 на этом сервере.

Если вы хотите начать фильтрацию на основе подпапок (разрешая некоторые пути, но не другие), вам понадобится то, что проксирует запросы. Брандмауэр не смотрит на контент, он смотрит на соединения. Для брандмауэра запрос для / подпапки совпадает с запросом в / a-different-subfolder.

Итак, вы ищете прозрачный прокси-сервер, который вы можете перевернуть в какой-то определенный трафик. Программное обеспечение для родительского контроля, вероятно, лучший выбор для быстрой настройки. Что-то вроде dansguardian , безусловно, было популярным, и я бы сказал, что это требует исследования. Дополнительная информация доступна на wiki:

ответ дан Oli 19.03.2013 в 16:17
источник

Ознакомьтесь с другими вопросами по меткам