Проблема в:
На сервере, который имеет несколько интерфейсов, loopback, eth0 с общедоступным IP и несколько виртуальных интерфейсов Docker, я хотел использовать UFW для запрета всего входящего трафика на eth0 для других портов, кроме тех, которые я указал.
Для начала попробовал:
ufw deny in on eth0 from any to any
что дало мне следующий статус:
root@debian:~# ufw status numbered
Status: active
To Action From
-- ------ ----
[ 1] 22/tcp ALLOW IN Anywhere
[ 2] 80/tcp ALLOW IN Anywhere
[ 3] 2222/tcp ALLOW IN Anywhere
[ 4] Anywhere on eth0 DENY IN Anywhere
[ 5] 22/tcp ALLOW IN Anywhere (v6)
[ 6] 80/tcp ALLOW IN Anywhere (v6)
[ 7] 2222/tcp ALLOW IN Anywhere (v6)
[ 8] Anywhere (v6) on eth0 DENY IN Anywhere (v6)
Что выглядит хорошо, но не работает.
Я тоже пытался сделать ufw deny proto tcp from any
Хотя, вероятно, это не то, что я хочу, потому что это может блокировать соединения в связанных контейнерах Docker.
Итак, я думаю, что либо в исходных правилах есть ошибка, либо iptables как-то вообще не включен (?! Это возможно ??).
Итак, для первого случая show raw можно найти здесь http://pastebin.com/ABwVnx0S (Я поместил его сюда, потому что он слишком велик для ServerFault)
Что в этом плохого?
Спасибо!