Com base nos seus comentários, acho que você não conseguiu entender o que é ufw e qual é o escopo da cobertura para firewalls de software em sistemas individuais.
Esta é uma análise detalhada da situação e fornece informações sobre as especificidades de ufw e as regras de uma rede:
-
ufwafetará apenas um sistema - o sistema está ativado. Ou seja, o Ubuntu System # 1 (para manter o controle) temufwhabilitado com uma regra de negação implícita. Isso afeta apenas o Ubuntu System # 1 e substitui a regra "ACCEPT" padrão que existe no sistemaiptables/netfilter(do qualufwé apenas um front end fácil de gerenciar). - Como o Ubuntu System # 2 não possui
ufwhabilitado, não existe uma regra de "negação". Comoufwnão existe, o sistemaiptables/netfiltersubjacente obtém a regra "ACCEPT" padrão que é colocada na instalação (ufwaltera essas regras e é apenas um "fácil de gerenciar" front-end para aqueles). - O Firewall do Windows no Windows XP (se ativado) poderá negar conexões com a máquina Windows. Não pode afetar outros sistemas na rede
Se você quiser que o Ubuntu System # 2 tenha a regra de negação, instale ufw nesse sistema, habilite-o e então a regra de negação implícita existirá.
O que você deseja, no entanto, é uma regra de controle de acesso em toda a rede, controlando qual tráfego é permitido entre sistemas. A única maneira de conseguir isso é mover o firewall e os controles de rede para seu próprio dispositivo, uma caixa separada do Ubuntu tratando do roteamento de tráfego entre todos os sistemas da sua rede ou um Firewall de hardware para isso (como um Cisco ASA ou um aparelho pfSense).
Considere a seguinte rede:
Eu tenho uma rede LAN e há um roteador gerenciando conexões da LAN para a Internet (ou outras redes). Todo computador tem 192.168.252.XXX, com endereçamento estático. Cinco computadores estão nesse segmento da rede. Desejo restringir a comunicação entre as máquinas para que sejam apenas ICMP PING pacotes e aplique essa restrição a todas as máquinas.
Minhas opções para implementação são as seguintes:
-
Instale firewalls de software em cada máquina e configure os firewalls de software para aceitar apenas determinados tipos de tráfego das outras máquinas na rede para cada computador. No entanto, permita todo o tráfego entre cada sistema e o gateway / roteador.
-
Instale um firewall de hardware adequado às suas configurações de rede para substituir o roteador e forneça uma definição explícita de regras para tráfego intra-rede permitido (interno à LAN específica) e tráfego entre redes (comunicação entre redes, fora de sua LAN) . Configure da seguinte forma
- Configure o firewall do hardware para permitir a saída para a Internet (uma regra basicamente dizendo "Tudo Interno - > Qualquer coisa Not Internal" (NÃO 192.168.252.0/24) é PERMITIDO).
- Configure o firewall de hardware para a própria LAN para o tráfego entre sistemas PERMITIDO, neste caso apenas ICMP (uma regra basicamente dizendo qualquer coisa de 192.168.252.0/24 a 192.168.252.0/24 em que o protocolo é ICMP).
- Todos os padrões de tráfego que não correspondem às regras mencionadas são automaticamente negados.
-
Substitua o roteador por uma caixa do Ubuntu com portas Ethernet suficientes para fornecer conexões suficientes para sua rede e sem fio, se precisar, configure-o para fazer DHCP, NAT, etc. e configure as regras de firewall no Ubuntu caixa para lidar com o tráfego dentro e fora da rede (semelhante ao anterior).
Para fornecer a você outro ponto de vista, no entanto, o que impulsiona essa resposta, minha rede em casa tem muitos segmentos de rede local (como VLANs ou LANs virtuais). Eu uso um firewall de hardware (um dispositivo pfSense, US $ 500ish) para lidar com as VLANs na minha rede (DHCP, NAT para a Internet, etc.), bem como regras de inter-comunicação entre os segmentos, que restringem o acesso. As máquinas que uso ativamente existem em uma VLAN, enquanto as máquinas de acesso restrito existem em uma VLAN separada e em um intervalo de rede. A comunicação para aqueles é restrita por uma regra em ambos os lados que dita qual tráfego é permitido passar entre os segmentos. Essencialmente, esta é a segunda opção de cima, implementada de uma forma muito mais avançada.