โดยพื้นฐานฉันมีสองเครื่อง X และ Y
ฉันต้องการบล็อก "http: // <IP-of-Y-Here> / AFolder /" จาก machine X บน HTTP port 80 โดยใช้ ufw
สิ่งนี้สามารถทำได้สำเร็จ (สุดยอด) โดยใช้ ufw ถึง:
sudo ufw deny out 80
แต่มันเป็นไปได้ที่จะทำบางสิ่งตามแนวของ
ufw deny from (X IP ADDRESS) port 80 to (Y IP ADDRESS)/AFolder
ที่จะตอบสนองความต้องการของฉัน
คำตอบ:
ไม่คุณไม่สามารถใช้ ufw เพื่อปิดกั้นการเข้าถึงหน้าบางหน้าบนเว็บเซิร์ฟเวอร์ แต่ไม่ใช่หน้าอื่น ๆ
ufw เป็นส่วนหน้าที่iptablesควบคุมไฟร์วอลล์netfilterซึ่งสร้างไว้ในเคอร์เนล Linux นี่เป็นไฟร์วอลล์ธรรมดา - คุณสามารถใช้มันเพื่อกรองแพ็คเก็ตตามส่วนหัวของพวกเขา
ที่อยู่ IP และพอร์ตจะรวมอยู่ในส่วนหัวของแพ็คเก็ต แต่สิ่งที่เอกสารเว็บที่ถูกดึงไม่ได้ แต่ข้อมูลนี้จะถูกส่งในส่วนของแพ็กเก็ตหลังจากสร้างการเชื่อมต่อแล้ว
ตามที่คุณอาจทราบอยู่แล้วมันเป็นไปได้ที่จะปิดกั้นการเข้าถึงเว็บไซต์บางแห่ง (โดยทั่วไปมักจะเป็นเรื่องง่ายสำหรับบางคนที่จะหลีกเลี่ยงการบล็อก) และมีระบบสาธารณูปโภคที่ให้ความละเอียดในการบล็อกหน้าเว็บบางหน้า เซิร์ฟเวอร์เดียวกัน แต่เพื่อพูดถึงสิ่งที่คุณถาม: ufw จะไม่ทำเช่นนี้
ufwคุณสามารถปิดกั้นการเข้าถึงพอร์ตบนเซิร์ฟเวอร์ที่มี man ufwมีตัวอย่างทั้งหมด แต่สมมติว่าเปิดใช้งานมันควรเป็นดังนี้:
sudo ufw deny out to <<ip address>> port 80
ฉันเพิ่งทดสอบสิ่งนี้กับเซิร์ฟเวอร์ของฉันเองและใช้งานได้ โปรดจำไว้ว่าพอร์ต 443 ใช้สำหรับ SSL เพื่อที่อาจต้องการบล็อกด้วย
จำไว้ว่าสิ่งนี้จะบล็อกพอร์ตทั้งหมด 80 บนเซิร์ฟเวอร์นี้
หากคุณต้องการเริ่มการกรองตามโฟลเดอร์ย่อย (อนุญาตบางเส้นทาง แต่ไม่ใช่แบบอื่น) คุณจะต้องมีบางสิ่งที่พร็อกซีร้องขอ ไฟร์วอลล์ไม่ได้ดูเนื้อหามันดูที่การเชื่อมต่อ สำหรับไฟร์วอลล์การร้องขอสำหรับ / โฟลเดอร์ย่อยจะเหมือนกับคำขอไปยัง / a-different-subfolder
ดังนั้นสิ่งที่คุณกำลังมองหาคือพร็อกซีโปร่งใสที่คุณสามารถบิดเข้าไปใน nixing การรับส่งข้อมูลของคุณ ซอฟต์แวร์ควบคุมโดยผู้ปกครองน่าจะเป็นทางออกที่ดีที่สุดของคุณสำหรับการติดตั้งอย่างรวดเร็ว อย่างที่dansguardianเคยเป็นที่นิยมและฉันอยากจะบอกว่ามันเป็นการสำรวจ ข้อมูลเพิ่มเติมมีอยู่ในวิกิ: