Acontece que a palavra-chave route é necessária para criar uma regra que se aplique ao encaminhamento. Portanto: ufw route deny in on $WAN_INTERFACE to any proto tcp
Eu tenho o ufw rodando em um host Ubuntu 16.04 que atua como o roteador entre a Internet e a minha LAN. (Eu estou usando o ufw em vez do iptables bruto, porque desbloquear manualmente o ICMPv6 o suficiente para fazer o IPv6 funcionar é muito confuso.)
Parece que as regras do ufw que negam o tráfego de entrada na interface WAN não afetam o tráfego destinado a outros hosts além do próprio roteador. Por exemplo, ufw deny in on $WAN_INTERFACE to any proto tcp (onde $WAN_INTERFACE obviamente representa a interface WAN do roteador) não bloqueia conexões TCP de entrada para hosts não roteadores na LAN. (Os hosts da LAN têm endereços IPv6 globais, portanto, eles podem ser endereçados. O ufw reporta que as regras do IPv6 são adicionadas.)
Como bloqueio padrão de conexões TCP de entrada na interface WAN, independentemente do host de destino e bloqueio de conexões UDP de porta com privilégios na interface WAN, independentemente do host de destino usando o ufw? (Eu quero permitir portas UDP superiores para WebRTC.)
Acontece que a palavra-chave route é necessária para criar uma regra que se aplique ao encaminhamento. Portanto: ufw route deny in on $WAN_INTERFACE to any proto tcp