LINUX.ORG.RU
ФорумAdmin

Ограничение доступа к серверу по IP

 , ,


0

1

Есть сервер на Debian 10 в локалке, соответственно настройка файрвола производится с помощью ufw.
И есть старый, но очень хороший роутер Linksys, который не хочется менять на что-нибудь другое, а также менять штатную прошивку.

Понадобилось ограничить внешний доступ к серверу так, чтобы он был доступен только с одного внешнего адреса, например, 85.85.85.85.

К сожалению, в этом Linksys такой фичи нет, поэтому возникает вопрос - можно ли сделать такое ограничение с помощью файрвола Debian?

Кмк, это невозможно, но вдруг я ошибаюсь?

★★★★★

Ответ на: комментарий от chukcha

Тогда, кмк, ты прав, невозможно. Как он, дебиан, отличии пакеты от правильного хоста от остальных, если обратный адрес натится? Но может яи туплю где

pihter ★★★★★
()

И есть старый, но очень хороший роутер Linksys

А можно поконкретней?

julixs ★★★
()
Ответ на: комментарий от chukcha

Single Port Forward

форвордишь нужный порт, а в faerwall ограничиваешь подключение на этот порт только с нужного ип - по идее должно сработать

julixs ★★★
()
Последнее исправление: julixs (всего исправлений: 1)
Ответ на: комментарий от julixs

А можно поконкретней?

Конечно - Linksys 54GL. Неубиенный суперстабильный роутер от Cisco, поэтому не променяю его ни на какой Микротик :-)

форвордишь нужный порт, а в faerwall ограничиваешь подключение на этот порт только с нужного ип - по идее должно сработать

Гложут сомнения... но попробую

chukcha ★★★★★
() автор топика
Ответ на: комментарий от kardapoltsev

Если я ничего не напутал, то вроде пока получилось! :-)

Допустим, я добавляю в конфиг /etc/ufw/user.rules 

-A ufw-user-input -p tcp --dport 22  -j ACCEPT

параметр -s 85.85.85.85 и она стает такой:

-A ufw-user-input -p tcp --dport 22 -s 85.85.85.85 -j ACCEPT
Пока сервер пускает со всех адресов.
Но когда делаю полный ребут сервера, то ура! - пускает только с 85.85.85.85

Но полный ребут не совсем гут, лучше перезапустить только файрвол ufw,
и для этого у него вроде как предсмотрена команда reload, о которой гуголь говорит так:

reload - перезагрузить файервол;

Хорошо, перезагружаю. Но вместо ожидаемого результата из конфига выбрасывается -s 85.85.85.85 и брюки преращаются в исходный вид:

-A ufw-user-input -p tcp --dport 22  -j ACCEPT
Для чего вообще тогда этот непонятный reload, если он херит (c) Всё, что нажито непосильным трудом??

chukcha ★★★★★
() автор топика
Последнее исправление: chukcha (всего исправлений: 1)
Ответ на: комментарий от chukcha 
Так для чего нужен этот непонятный "reload" в "ufw" ??


Я понимаю, что сегодня сюда мало сетевиков набежало, но может хоть завтра появятся...

chukcha ★★★★★
() автор топика
Ответ на: комментарий от chukcha

М-да, как оказалось, лоровцам этот простой вопрос не по зубам :-(
Поспрошаю еще на опенете.

chukcha ★★★★★
() автор топика
Ответ на: комментарий от chukcha

а если на Debian 10 сделать так:

  1. разрешаем доступ с любого tcp порта с адреса 85.85.85.85

sudo ufw allow proto tcp from 85.85.85.85/32

или

  1. разрешаем доступ с определенных tcp портов с адреса 85.85.85.85

sudo ufw allow proto tcp from 85.85.85.85 to any port 22,443,5000,8080

Если нужен доступ с udp портов, то те же команды, только меняем tcp на udp.

Кстати, покажите вывод команды до и после перезагрузки сервера:

sudo ufw status

vdk10
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin