特定のホスト/ダイナミックDNSのUFWルール

Question

特定のホストのルールを追加するためにUFW（Uncomplicated Firewall）を設定するにはどうすればよいですか？例えば。 yourpc.no-ip.orgからのみSSHを許可したいですか？

Force · Accepted Answer

特定のホストのルールを動的に作成する非常に便利なスクリプトを見つけましたこのブログで。スクリプトはcronで実行する必要があるため、IPが変更された場合にホスト名を検索し、ルールを追加/削除できます。

#!/bin/bash HOSTS_ALLOW=/etc/ufw-dynamic-hosts.allow IPS_ALLOW=/var/tmp/ufw-dynamic-ips.allow add_rule() { local proto=$1 local port=$2 local ip=$3 local regex="${port}\/${proto}.*ALLOW.*IN.*${ip}" local rule=$(ufw status numbered | grep $regex) if [ -z "$rule" ]; then ufw allow proto ${proto} from ${ip} to any port ${port} else echo "rule already exists. nothing to do." fi } delete_rule() { local proto=$1 local port=$2 local ip=$3 local regex="${port}\/${proto}.*ALLOW.*IN.*${ip}" local rule=$(ufw status numbered | grep $regex) if [ -n "$rule" ]; then ufw delete allow proto ${proto} from ${ip} to any port ${port} else echo "rule does not exist. nothing to do." fi } sed '/^[[:space:]]*$/d' ${HOSTS_ALLOW} | sed '/^[[:space:]]*#/d' | while read line do proto=$(echo ${line} | cut -d: -f1) port=$(echo ${line} | cut -d: -f2) Host=$(echo ${line} | cut -d: -f3) if [ -f ${IPS_ALLOW} ]; then old_ip=$(cat ${IPS_ALLOW} | grep ${Host} | cut -d: -f2) fi ip=$(Dig +short $Host | tail -n 1) if [ -z ${ip} ]; then if [ -n "${old_ip}" ]; then delete_rule $proto $port $old_ip fi echo "Failed to resolve the ip address of ${Host}." 1>&2 exit 1 fi if [ -n "${old_ip}" ]; then if [ ${ip} != ${old_ip} ]; then delete_rule $proto $port $old_ip fi fi add_rule $proto $port $ip if [ -f ${IPS_ALLOW} ]; then sed -i.bak /^${Host}*/d ${IPS_ALLOW} fi echo "${Host}:${ip}" >> ${IPS_ALLOW} done

/etc/ufw-dynamic-hosts.allowの内容は次のようになります。

tcp:22:yourpc.no-ip.org

また、5分ごとにスクリプトを実行するためのcrontabエントリは次のようになります。

*/5 * * * * /usr/local/sbin/ufw-dynamic-Host-update > /dev/null