it-swarm-es.com

¿Es posible bloquear una página web usando ufw?

básicamente tengo dos máquinas X e Y.

Quiero bloquear "http: // <IP-of-Y-Here>/AFolder /" de la máquina X en el puerto HTTP 80 usando ufw.

Trivialmente, esto se puede completar (terriblemente) usando ufw a través de:

Sudo ufw deny out 80

Pero, ¿es posible hacer algo en la línea de:

ufw deny from (X IP ADDRESS) port 80 to (Y IP ADDRESS)/AFolder

¿Eso satisfará mis requisitos?

8
Ed George

No, no puede usar ufw para bloquear el acceso a algunas páginas específicas en un servidor web, pero no a otras.

ufw es una interfaz para iptablesNAME _ que controla el firewall netfilter , que está integrado en el kernel de Linux. Este es un cortafuegos ordinario: puede usarlo para filtrar paquetes en función de sus encabezados.

Una dirección IP y un puerto están incluidos en los encabezados de un paquete, pero qué documento web está siendo recuperado no lo es. En cambio, esta información se transmite en los cuerpos de los paquetes, después de que ya se ha establecido una conexión.

Como probablemente sepa, es posible bloquear el acceso a ciertos sitios web (aunque por lo general es bastante fácil para alguien eludir el bloqueo), y hay utilidades que proporcionan la granularidad para bloquear páginas específicas mientras permiten el acceso a otras páginas en el mismo servidor Pero para abordar lo que ha preguntado: ufw no hará esto.

6
Eliah Kagan

Puede bloquear el acceso a un puerto en un servidor con ufw. man ufw tiene toda una serie de ejemplos, pero suponiendo que esté habilitado, debería ser así:

Sudo ufw deny out to <<ip address>> port 80

Acabo de probar esto en mi propio servidor y funciona. Recuerde que el puerto 443 se usa para SSL, por lo que es posible que también desee bloquear.

Recuerde, esto bloquea todo el puerto 80 en este servidor.


Si desea comenzar a filtrar en base a subcarpetas (permitiendo algunas rutas pero no otras), necesitará algo que represente las solicitudes. Un firewall no mira el contenido, mira las conexiones. Para un firewall, una solicitud de/subcarpeta es lo mismo que una solicitud de/a-different-subfolder.

Entonces, lo que está buscando es un proxy transparente que pueda girar para reducir parte de su tráfico. El software de control parental es probablemente su mejor opción para una configuración rápida. Algo como dansguardian ciertamente solía ser popular y diría que justifica la exploración. Más información está disponible en la wiki:

6
Oli