ufwを使用して特定のIPへの発信接続を許可する
サーバーのIPアドレスを攻撃者に公開するvBulletinフォーラムを利用したくなかったので、UFWで送信接続を全体的に無効にしました(CloudFlareを使用しています)。
これを行っていると、コードを介して内部的に呼び出される特定のIPアドレスを照会できないことに気付きました。 私の質問は、この特定のIP(たとえば、255.255.255.255)アドレスのみに発信接続を許可するにはどうすればよいですか?
ありがとう!
非常に簡単な修正!これがどのようにしてできるのかと思っている人は次のとおりです:
1)オープン/etc/ufw/before.rulesそしてこのルールを最後の行のCOMMITの上に挿入します
-A ufw-before-output -m owner --uid-owner {user} -p {protocol} --dport {port} -d {ip} -j ACCEPT
それぞれの値を次のように入力します。
{user}-これを許可するユーザー(www-data)
{protocol}- udpまたはtcp
{port}-許可するポート
{ip}-許可するIPアドレス。
例:
# server
-A ufw-before-output -m owner --uid-owner www-data -p udp --dport 6666 -d 255.255.255.255 -j ACCEPT # gameserver
-A ufw-before-output -m owner --uid-owner www-data -p tcp --dport 3306 -d 255.255.255.255 -j ACCEPT # mysql
# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT
2)ufwを再起動しますservice ufw restart
後ですべて正しく動作するはずです! 「-dport6666,5555」のように2つのポートを1つに配置しないでください。通常はエラーになります。
次のコマンドを使用して、特定のポートの特定のIPへの発信トラフィックを正常に許可しました。
ufw allow out from any to <the.target.ip> port <port_number>