私はインターネットとLANの間のルーターとして機能するUbuntu 16.04ホストでufwを実行しています。 (IPv6操作を実行するのに十分なICMPv6を手動でロック解除するのは混乱しすぎるため、raw iptablesの代わりにufwを使用します。)
WAN インターフェイスからの着信トラフィックを拒否する ufw ルールは、ルータ自体ではなくホストに向かうトラフィックに影響を与えないようです。たとえば、ufw deny in on $WAN_INTERFACE to any proto tcp($WAN_INTERFACEルータの WAN インターフェイスを表します)、LAN のルータではなくホストへの着信 TCP 接続をブロックしません. (LANホストにはグローバルIPv6アドレスがあるため、アドレス指定が可能です。ufwはIPv6ルールが追加されたことを報告します。)
ufwを使用してデフォルトでWANインターフェイス(宛先ホストに関係なく)から着信TCP接続をブロックし(ターゲットホストに関係なく)、WANインターフェイスから着信特権ポートUDP接続をブロックするにはどうすればよいですか。 (WebRTCの上位UDPポートを許可したい)
ベストアンサー1
route配信に適用されるルールを作成するにはキーワードが必要であることがわかりました。したがって:ufw route deny in on $WAN_INTERFACE to any proto tcp