Запрет взаимодействия с приватными сетями

Возможны проблемы, когда внезапно приходят жалобы от дата-центра о сканировании частных сетей, хотя нарочно Вы этого не делали. Мы можем заблокироват все частные сети для решения данной проблемы.

Установка ufw

Для начала следует проверить наличие утилиты ufw на Вашем сервере.

sudo apt install ufw

Далее, перед ее включением, нам следует указать важные настройки, чтобы не потерять доступ к сервисам. Разрешим порты сервисов SSH, HTTP, HTTPS.

sudo ufw allow 22
sudo ufw allow 80
sudo ufw allow 443

Готово. Теперь включим наш файрволл.

sudo ufw enable

Далее мы можем проверить статус файрволла командой

sudo ufw status

Блокировка частных сетей

Все отлично! Теперь перейдем к блокировке приватных сетей.

К ним относятся:

  • 10.0.0.0/8

  • 172.16.0.0/12

  • 192.168.0.0/16

  • 100.64.0.0/10

Заблокировать их достаточно просто, используем команды:

sudo ufw deny out from any to 10.0.0.0/8
sudo ufw deny out from any to 172.16.0.0/12
sudo ufw deny out from any to 192.168.0.0/16
sudo ufw deny out from any to 100.64.0.0/10
sudo ufw deny out from any to 198.18.0.0/15
sudo ufw deny out from any to 169.254.0.0/16

После добавления мы можем еще раз проверить статус правил:

sudo ufw status

# Либо при помощи iptables:
iptables-save

Теперь, если мы попытаемся обратиться к адресу частной сети, то получим ошибку. Например, через команду ping:

ping 198.18.22.62

Все готово!

Разблокировка сетей (при необходимости)

Проверяем список актуальных правил ufw вместе с их нумерацией:

sudo ufw status numbered

И теперь мы можем удалить необходимо правило командой

sudo ufw delete <номер правила>

Например, удалим правило №7:

sudo ufw delete 7
Правило удалено!

Теперь при попытке повторного обращения к адресу 198.18.22.62 у нас не будет ограничений:

Спасибо за ознакомление! Теперь Вы умеете закрывать (и открывать) доступ своему серверу к частным сетям при помощи ufw.

PreviousСкачивание файловNextРабота с TCPDump

Last updated