Как запретить в UFW открывать ссылку со всех IP адресов, кроме .192.168.2.0/24?

Question

[volhvrod-qq]

Как запретить в UFW открывать ссылку со всех IP адресов, кроме .192.168.2.0/24?

Comments

[Lynn «Кофеман»]

А как вы умудрились разрешить открывать ссылку с каких-то других адресов?

Answer 1

[Павел]

sudo ufw deny from any to any port 80 proto tcp to 192.168.2.0/24 port 80 \ app http url "example.com"

Comments

[volhvrod-qq]

Это запретит всем доступ к example comкроме этого ip range, так?

[Павел]

volhvrod-qq, да, ну тут уже смотреть может 443 порт тоже надо закрыть, смотря какой сайт

[Anton Kuzmichev]

Павел, причём скорее всего только его и надо будет, а 80 мимо вообще. Но получится ли так закрыть конкретный сайт по 443 порту? урл же зашифрован будет.

[Павел]

Anton Kuzmichev, да тут уже могут быть косяки, но возможности фаервола в этом случае не безграничны

[volhvrod-qq]

Anton Kuzmichev, 80 мимо, потому что там редирект на 443 на нгинксе стоит, который служит прокси для томката. Суть такова, что надо закрыть админ часть сайта от внешки

[volhvrod-qq]

Павел, sudo ufw deny from any to any port 443 proto tcp to 192.168.2.0/24 port 443 \ app http url "localhost/admin/console.action"

ERROR: Invalid syntax

ufw app list
Available applications:
Nginx Full
Nginx HTTP
Nginx HTTPS
OpenSSH

[Павел]

volhvrod-qq, так может сразу на nginx это и сделать?

server {
    listen 443;
    server_name your_domain.com;

    location / {
        allow all;
        deny 192.168.2.0/24;
    }
}

Answer 2

[pfg21]

запретить входящий tcp на порты 80 и 443 с соответствующих адресов :)

Comments

[volhvrod-qq]

Конкретная ссылка, не ко всему серверу.

[pfg21]

volhvrod-qq, ufw оперирует tcp уровнем :)
если нужно резать по http заголовкам, то либо тсп поток на 80 перенаправляешь на прозрачный http-прокси и там фильтруешь, то либо ставишь чтонить из DPI, фаерволл с поддержкой http и т.д.
если нужна фильтрация по https то тут несколько сложнее. с сертификатами надо будет поиграться.

ты лучше поточнее опиши чего желаешь, а то "когда т.з. == хз то и ответ такой же"

если сервер твой, то просто пропиши в настройках http-сервере соответствующие ограничения

[volhvrod-qq]

pfg21, сервер мой, есть nginx, которые закрывает томкат. Спасибо, понял что через UFW не реализовать

[pfg21]

volhvrod-qq, ну вот сразу бы про свой сервер и nginx

поиск дает сразу ответ.

Доступ с определенных IP-адресов
Данная возможность обеспечивается модулем ngx_http_access_module. Как правило, он входит в стандартную установку.

В настройке виртуального домена:

location / {
deny 192.168.0.15;
allow 192.168.0.0/24;
allow 2001:0ab3::/32;
deny all;
}

[volhvrod-qq]

pfg21, Проблема в том, что это не помогает. location /admin/server-info.action ссылается почему-то на /usr/../nginx/admin , а через proxy_pass не работает

[pfg21]

volhvrod-qq, не сильно знаю nginx, (пару раз дефолтом на веб-интерфейс ставил) так что тут уже не помогу.
http-сервер аккурат разбирает и http-строку запроса и ip-адрес отправителя, так что ему фильтровать самое то.
и https организовывает.
для обрезкb в фаерволе обычно надо ставить дополнительные модули для разбора http-заголовков. фаер обычно работает на уровне ip tcp

[Михаил Ливач]

volhvrod-qq, а Вы думали над альтернативными путями? Например:

• вынести админку на поддомен;
  
• поддомен прописать только на внутреннем NS сервере
  

Answer 3

[Alexey Dmitriev]

Никак.
Запрошенный запрет можно сделать только на уровне веб сервера или прокси сервера, а не файрволом.