UFW: permiteți aplicația/profilul numai de la un anumit IP

Doresc să restricționez accesul extern la e. g. Dovecot la anumite IP-uri sursă. Permiterea unui profil de aplicație funcționează foarte bine, dar sursa conexiunii nu este niciodată limitată ("De la: oriunde"):

$ sudo ufw status

La Acțiune De la
-- ------ ----
OpenSSH ALLOW oriunde                  
Nginx Full ALLOW Oriunde                  
Postfix ALLOW oriunde                  
Dovecot IMAP ALLOW Oriunde      

Dar cum pot restricționa Dovecot IMAP la o anumită sursă IP?

Am incercat:

$ sudo ufw permit „Dovecot IMAP” de la 1.1.1.1
EROARE: Număr greșit de argumente

Deci asta pare să nu funcționeze...

Se solicită Ubuntu 20.04 LTS, ufw 0.36

Răspunsul scurt:

sudo ufw permite de la <adresa IP>/<mască de subrețea> la orice aplicație <numele profilului>

Nu uitați să citați „Dovecot IMAP”, în cazul dvs.

Răspunsul lung:

Am încercat: $ sudo ufw permit „Dovecot IMAP” de la 1.1.1.1

Deși aceasta ar fi cea mai intuitivă comandă, sintaxa este puțin mai complicată.

nu stiu ce Dovecot IMAP este, așa că voi lua OpenVPN ca exemplu.

Dorim să permitem un profil de aplicație prin ufw numai dacă provine de la o anumită IP/subrețea.

Luați în considerare că avem următoarele profilul aplicației ufw în /etc/ufw/applications.d/ numit openvpn (numele fișierului de profil este important aici):

[OpenVPN]
title=Server OpenVPN
description=Această regulă permite conexiuni la serverul VPN la <servername>.
porturi=8880/udp

NOTĂ: Utilizăm un port personalizat aici pentru OpenVPN.

Acum adăugați regula la ufw cu:

 sudo ufw permite de la 10.0.0.0/24 la orice aplicație openvpn

Asta va deschide portul specificat în /etc/ufw/applications.d/openvpn pentru intrare conexiuni de la 10.0.0.0/24.

Si verifica:

sudo ufw status verbose

Dacă a funcționat, ar trebui să aveți o ieșire ca:

Stare: activ
Înregistrare: activată (scăzută)
Implicit: deny (incoming), allow (outgoing), allow (direcționat)
Profiluri noi: săriți

La Acțiune De la
-- ------ ----
8880/udp (OpenVPN) PERMITERE ÎN 10.0.0.0/24

Aveți grijă la numele fișierului de profil și la numele serviciului.

sudo ufw permite de la 10.0.0.0/24 proto udp la orice port openvpn

Aceasta este o sintaxă foarte asemănătoare, de asemenea corectă. Dar se aplică configurației portului serviciului în /etc/services , care poate să nu fie cea pe care doriți să o permiteți (cum am schimbat portul OpenVPN la 8880). În acest caz, mai avem următoarele în /etc/services :

openvpn 1194/tcp
openvpn 1194/udp

Ufw recunoaște openvpn ca serviciu, dacă nu spunem altceva.

orice port openvpn (<- serviciu)

orice aplicație openvpn (<- profil aplicație)

Deci emitent sudo ufw permite de la 10.0.0.0/24 proto udp la orice port openvpn rezultă în:

Stare: activ
Înregistrare: activată (scăzută)
Implicit: deny (incoming), allow (outgoing), allow (direcționat)
Profiluri noi: săriți

La Acțiune De la
-- ------ ----
1194/udp PERMITERE ÎN 10.0.0.0/24

Pe aici am deschis efectiv un port pentru OpenVPN, dar nu portul pe care l-am specificat în profilul nostru de aplicație /etc/ufw/applications.d/openvpn.

Nu am încercat niciodată, dar ar trebui să funcționeze dacă schimbați portul în /etc/services (riscând să spargeți altceva).

Poti sa verifici această pagină de manual Ubuntu pentru informații detaliate despre comanda ufw.

Sper ca ajuta.