先週に引き続き,
特定のIPアドレスからの接続を許可する
ネットワークの構成上,
$ sudo ufw allow from 192.168.254.0/24
この設定は,
$ sudo ufw allow from 192.168.254.10
さらに,
$ sudo ufw allow from 192.168.254.20 to any port ssh
上記では/etc/
以下は,
$ sudo ufw allow from 192.168.254.0/24 to any app Samba
ルールの組み合わせと入れ替え
前掲のLIMITキーワードによる指定を行った場合,
次のような環境を想定してみましょう。
- SSHサーバーは,
外部のネットワークと内部のネットワークの双方に接続されている。 - 外部からのSSHブルートフォースを防ぎたい。
- 内部からは,
192. 168. 254. 10からscpを用いてコンテンツをアップロードしている。 - このscpは非常に頻繁に行われている。
このような環境では,
このような場合は,
$ sudo ufw allow from 192.168.254.10 to any port ssh $ sudo ufw limit ssh
このように設定することで,
ここで重要なのは,
上記の設定手順では,
・誤った例
$ sudo ufw limit ssh
$ sudo ufw allow from 192.168.254.10 to any port ssh
この状態でstatusを見ると,
このような状況で,
一つの方法は,
$ sudo ufw delete limit ssh $ sudo ufw limit ssh
この状態でstatusを見ると,
ただし,
このような場合,
最初に,
$ sudo ufw status numbered
図4における,
$ sudo ufw delete limit from 192.168.254.20 to any port ssh $ sudo ufw insert 1 limit from 192.168.254.20 to any port ssh
- 注1
- この例ではルールが三つしかありませんから,
現実的にはDENYする設定を削除して追加しなおせば解決します。ですが, より多くのルールが存在する場合, 非常に厄介なことになるでしょう。 - 注2
- ただし,
この例ではすでに 「LIMIT 192. 168. 254. 20」 のルールが存在していますので, このルールを削除する必要があります。若干挙動としては不完全ですが (同じルールがinsertされたのなら, それは 「移動」 として扱う方が妥当な挙動です), このあたりはufwの将来の拡張に期待してください。
この操作を実際に行った例は,