UFW: Chỉ cho phép ứng dụng/hồ sơ từ IP cụ thể

Tôi muốn hạn chế quyền truy cập bên ngoài vào e. g. Dovecot cho các IP nguồn cụ thể. Việc cho phép cấu hình ứng dụng hoàn toàn hoạt động tốt nhưng nguồn của kết nối không bao giờ bị giới hạn ("Từ: Mọi nơi"):

$ sudo ufw trạng thái

Đến hành động từ
-- ------ ----
OpenSSH CHO PHÉP mọi nơi                  
Nginx Full CHO PHÉP mọi nơi                  
Postfix CHO PHÉP mọi nơi                  
Dovecot IMAP CHO PHÉP mọi nơi      

Nhưng làm cách nào tôi có thể hạn chế Dovecot IMAP đối với một IP nguồn cụ thể?

tôi đã thử:

$ sudo ufw cho phép "Dovecot IMAP" từ 1.1.1.1
LỖI: Sai số đối số

Vì vậy, điều này dường như không hoạt động ...

Yêu cầu Ubuntu 20.04 LTS, ufw 0.36

Câu trả lời ngắn gọn:

sudo ufw cho phép từ <địa chỉ IP>/<mặt nạ mạng con> đến bất kỳ ứng dụng nào <tên hồ sơ>

Hãy nhớ trích dẫn 'Dovecot IMAP', trong trường hợp của bạn.

Câu trả lời dài:

Tôi đã thử: $ sudo ufw allow "Dovecot IMAP" từ 1.1.1.1

Tho đó sẽ là lệnh trực quan nhất, cú pháp phức tạp hơn một chút.

tôi không biết cái gì Dovecot IMAP là, vì vậy tôi sẽ lấy OpenVPN làm ví dụ.

Chúng tôi muốn cho phép một hồ sơ ứng dụng thông qua ufw chỉ có nếu nó đến từ một IP/mạng con nhất định.

Hãy xem xét chúng tôi có những điều sau đây hồ sơ ứng dụng ufw trong /etc/ufw/applications.d/ có tên openvpn (tên tệp hồ sơ rất quan trọng ở đây):

[OpenVPN]
title=Máy chủ OpenVPN
description=Quy tắc này cho phép kết nối với máy chủ VPN tại <tên máy chủ>.
cổng = 8880/udp

GHI CHÚ: Chúng tôi đang sử dụng một cổng tùy chỉnh ở đây cho OpenVPN.

Bây giờ hãy thêm quy tắc vào ufw với:

 sudo ufw cho phép từ 10.0.0.0/24 cho bất kỳ ứng dụng openvpn nào

Điều này sẽ mở cổng quy định tại /etc/ufw/applications.d/openvpn cho đến kết nối từ 10.0.0.0/24.

Và kiểm tra:

trạng thái sudo ufw dài dòng

Nếu nó hoạt động, bạn sẽ có một đầu ra như:

Trạng thái: Đang hoạt động
Ghi nhật ký: bật (thấp)
Mặc định: từ chối (đến), cho phép (đi), cho phép (được định tuyến)
Hồ sơ mới: bỏ qua

Đến hành động từ
-- ------ ----
8880/udp (OpenVPN) CHO PHÉP TRONG 10.0.0.0/24

Hãy cẩn thận với tên tệp hồ sơ và tên dịch vụ.

Sudo ufw cho phép từ 10.0.0.0/24 proto udp tới bất kỳ cổng openvpn nào

Đây là một cú pháp rất giống nhau, cũng chính xác. Nhưng nó áp dụng cho cấu hình cổng của dịch vụ trong /etc/services , đây có thể không phải là cấu hình bạn muốn cho phép (như chúng tôi đã thay đổi cổng OpenVPN thành 8880). Trong trường hợp này, chúng tôi vẫn có những điều sau trong /etc/services :

openvpn 1194/tcp
openvpn 1194/udp

Ufw công nhận openvpn như dịch vụ, trừ khi chúng tôi nói điều gì khác.

bất kỳ cổng openvpn nào (<- dịch vụ)

bất kỳ ứng dụng openvpn nào (<- hồ sơ ứng dụng)

Vì vậy ban hành Sudo ufw cho phép từ 10.0.0.0/24 proto udp tới bất kỳ cổng openvpn nào kết quả trong:

Trạng thái: Đang hoạt động
Ghi nhật ký: bật (thấp)
Mặc định: từ chối (đến), cho phép (đi), cho phép (được định tuyến)
Hồ sơ mới: bỏ qua

Đến hành động từ
-- ------ ----
1194/udp CHO PHÉP TRONG 10.0.0.0/24

Cách này chúng tôi đã mở một cổng hiệu quả cho OpenVPN, nhưng không phải cổng chúng tôi đã chỉ định trong hồ sơ ứng dụng /etc/ufw/applications.d/openvpn của chúng tôi.

Chưa bao giờ thử nhưng sẽ hoạt động nếu bạn thay đổi cổng trong/etc/services (có nguy cơ làm hỏng thứ khác).

Bạn có thể kiểm tra trang chủ Ubuntu này để biết thông tin chi tiết về lệnh ufw.

Hy vọng nó giúp.