w zasadzie mam dwie maszyny X i Y.
Chcę zablokować „http: // <IP-of-Y-Here> / AFolder /” z komputera X na porcie HTTP 80 za pomocą ufw.
Trywialnie można to zrobić (okropnie) za pomocą ufw poprzez:
sudo ufw deny out 80
Ale czy można zrobić coś w stylu:
ufw deny from (X IP ADDRESS) port 80 to (Y IP ADDRESS)/AFolder
To spełni moje wymagania?
Nie, nie można używać ufw do blokowania dostępu do niektórych określonych stron na serwerze WWW, ale nie innych.
ufw to nakładka iptablessterująca zaporą netfilter , która jest wbudowana w jądro Linuksa. Jest to zwykła zapora ogniowa - możesz jej użyć do filtrowania pakietów na podstawie ich nagłówków.
Adres IP i port są zawarte w nagłówkach pakietu, ale nie jest pobierany dokument internetowy . Zamiast tego informacje te są przesyłane w treści pakietów, po nawiązaniu połączenia.
Jak zapewne wiesz, możliwe jest zablokowanie dostępu do niektórych stron internetowych (chociaż zwykle bardzo łatwo jest obejść blokadę), a istnieją narzędzia, które zapewniają szczegółowość blokowania określonych stron, jednocześnie umożliwiając dostęp do innych stron w ten sam serwer. Ale aby odpowiedzieć na to, o co prosiłeś: ufw tego nie zrobi.
Możesz zablokować dostęp do portu na serwerze za pomocą ufw. man ufwma całą masę przykładów, ale przy założeniu, że jest włączony, powinno być tak:
sudo ufw deny out to <<ip address>> port 80
Właśnie przetestowałem to na własnym serwerze i działa. Pamiętaj, że port 443 jest używany dla protokołu SSL, więc może też być potrzebne blokowanie.
Pamiętaj, że blokuje to cały port 80 na tym serwerze.
Jeśli chcesz rozpocząć filtrowanie na podstawie podfolderów (zezwalając na niektóre ścieżki, ale nie na innych), potrzebujesz czegoś, co zastępuje żądania. Zapora ogniowa nie patrzy na treść, tylko na połączenia. W przypadku zapory żądanie do / podfolderu jest takie samo jak żądanie do / a-different-subfolder.
To, czego szukasz, to przezroczysty serwer proxy, który możesz przekręcić w celu ograniczenia ruchu. Oprogramowanie do kontroli rodzicielskiej jest prawdopodobnie najlepszym rozwiązaniem do szybkiej konfiguracji. Coś takiego z dansguardianpewnością było popularne i powiedziałbym, że to uzasadnia eksplorację. Więcej informacji jest dostępnych na wiki: