UFW с NAT: необходимо заблокировать все запросы NAT, кроме одного IP-адреса, не отключая сервер NAT от Интернета. Это возможно?

user156514

04.02.2023, 18:03

У меня есть небольшой кластер киосков, использующих один RPi для загрузки, dhcp, dns, radius и nat в Интернет. RPi4 с RPi-версией Ubuntu 18.04.

То, с чем я борюсь, - это создание конфигурации правил UFW для блокировки всех запросов NAT из частной сети в Интернет, кроме одного IP-адреса.

Моя первая попытка заблокировать внешний интерфейс не удалась, так как он заблокировал доступ NAT-сервера наружу.

есть ли способ построить такое правило? Например, разрешить всем NAT 1.1.1.1. Внутренняя локальная сеть с интерфейсом NAT использует eth0, глобальная сеть использует eth1.

ufw запрещает вход с eth0 на исходящий eth1
ufw разрешить вход с eth0 на [eth1 ip 1.1.1.1] порт 443 proto tcp

0 + 0

Raspberry Pi

18.04

Thomas Ward

04.02.2023, 18:05

Что вы подразумеваете под **запросами** NAT? Запросы NAT не обрабатываются автоматически, если у вас не настроен UPnP, что является нетипичной настройкой. (UFW также не является достаточно сложным инструментом для таких сложных вещей NAT)

Ответить

user156514

04.02.2023, 18:32

внутренняя сеть использует RPi в качестве ретранслятора, возможно, я использовал неправильный термин. Я использую простой sysctl.conf с включенной маршрутизацией и конфигурацией IPTables, которую я заметил для маршрутизации NAT. близко к этому: https://gist.github.com/cellularmitosis/8294f0800e6d4b4022772fe8869d8a6f

Ответить

Admin

Этот вопрос на других языках:

EN: UFW with NAT : Need to block all NAT requests except to one IP with out cutting NAT server from internet. Is this possible?

TH: UFW กับ NAT : ต้องบล็อกคำขอ NAT ทั้งหมดยกเว้น IP เดียวโดยไม่ตัดเซิร์ฟเวอร์ NAT จากอินเทอร์เน็ต เป็นไปได้ไหม

RO: UFW cu NAT: Trebuie să blocați toate cererile NAT, cu excepția unui singur IP, fără a tăia serverul NAT de la internet. Este posibil?

RU: UFW с NAT: необходимо заблокировать все запросы NAT, кроме одного IP-адреса, не отключая сервер NAT от Интернета. Это возможно?

VI: UFW with NAT : Cần chặn tất cả các yêu cầu NAT ngoại trừ một IP mà không cắt máy chủ NAT khỏi internet. Điều này có thể không?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.