Configurazione Gufw

[vda]

Buongiorno a tutto il forum,

spero che qualcuno sappia darmi una mano nella soluzione del seguente problema: ho realizzato un piccolo web server domestico semplicemente installando XAMPP sul mio pc, allo scopo di poter fare dei test su alcune pagine php.

Per certi motivi, è necessario che il web server (all'indirizzo 192.168.1.33) possa accettare richieste solo da alcuni indirizzi ip sulla rete (192.168.1.34, 192.168.1.35 e 192.168.1.36). A tal fine, ho installato, sulla macchina che ospita il web server, Gufw per poter configurare agevolmente il firewall di Ubuntu, e lo ho configurato come segue (riporto dal registro)

Codice: Seleziona tutto

ufw default deny incoming
ufw default allow outgoing
ufw allow in from 192.168.1.34 to 192.168.1.36

In altri termini, volevo abilitare il traffico in uscita e vietare quello in ingresso se non proveniente dal range di indirizzi 192.168.1.34 - 192.168.1.36.

Però, evidentemente, sbaglio qualcosa nell'ultima regola, perchè con queste impostazioni il servizio web diventa inaccessibile da qualunque indirizzo.

Grazie anticipatamente della collaborazione, 

[ReMichael]

Puoi fare questa cosa direttamente da apache

Una direttiva del tipo:

Codice: Seleziona tutto

Order deny,allow
Deny from all
Allow from 192.168.1.34 .....

[vda]

Grazie mille, proverò senz'altro, ma, con l'occasione, volevo impratichirmi anche un po' col firewall in vista di sviluppi futuri.

In proposito, una soluzione di compromesso l'avrei trovata. Difatti, visto che funziona la regola per singolo indirizzo,

Codice: Seleziona tutto

sudo ufw allow from ip_address 

potrei applicarla per ogni indirizzo da abilitare alla richiesta del servizio.

Il limite sta nel fatto che, nel caso di un intervallo di indirizzi molto ampio, la cosa diventa scomoda... Come fare, dunque, a specificare un intervallo di indirizzi da abilitare in ingresso?

Grazie ancora,

[ReMichael]

so che si possono specificare delle classi, tipo 192.168.0.0/16, però range di indirizzi ip non ho idea...

[vda]

so che si possono specificare delle classi, tipo 192.168.0.0/16, però range di indirizzi ip non ho idea...

In effetti, ho già verificato, che, come dici tu, è possibile abilitare gli indirizzi di una sottorete utilizzando una subnet mask:

Codice: Seleziona tutto

sudo ufw allow ip_address/n 

dove - lo ricordo per chi ci legge e, come me, non ha troppa confidenza con l'argomento -

- n rappresenta la subnet mask
- gli indirizzi dell'intervallo si ottengono pensando ip_address espresso in notazione binaria come sequenza di quattro otteti di bit, tenendo fissi i primi n degli 8x4=32 bit di ip_address e valorizzando (0/1) i rimanenti 32-n bit in tutte le possibili combinazioni.

Ed, infatti, a titolo d'esempio, digitando

Codice: Seleziona tutto

sudo ufw allow 192.168.1.34\30 

vengono abilitati in ingresso gli indirizzi 192.168.1.32, 192.168.1.33, 192.168.1.34 e 192.168.1.35.

E se, invece, avessi voluto abilitare solo 192.168.1.32, 192.168.1.33 e 192.168.1.34 oppure gli ip 192.168.1.34, 192.168.1.35 e 192.168.1.36?

Ciao, 

[0day]

tra deny e reject che differenza c'è? grazie

[ReMichael]

tra deny e reject che differenza c'è? grazie

dal manuale:

Sometimes it is desirable to let the sender know when traffic is  being
denied,  rather  than  simply  ignoring  it. In these cases, use reject
instead of deny